Politika kriptografskih kontrol

Politika kriptografskih kontrol (P18) določa obvezne kontrole, ki urejajo uporabo kriptografskih mehanizmov v celotni organizaciji, da se zagotovi zaupnost, celovitost in avtentičnost vseh občutljivih in reguliranih informacij. Ker je kriptografija temelj varnih komunikacij, skladnosti s predpisi in varstva podatkov, ta politika opisuje podrobne zahteve, usklajene z vodilnimi globalnimi standardi in razvijajočimi se regulativnimi zahtevami. Primarni namen je zagotoviti, da se ustrezne kriptografske metode dosledno uporabljajo povsod, kjer se občutljivi podatki prenašajo, obdelujejo ali shranjujejo, s čimer se gradi zaupanje v organizaciji in podpira varno delovanje na vseh poslovnih področjih. Politika velja za celotno organizacijo in zajema vse poslovne funkcije, vse osebje ter relevantne ponudnike storitev tretjih oseb, ki sodelujejo pri kriptografskih operacijah. Pokritost se razteza na produkcijsko okolje, razvoj, pripravljalna okolja, sisteme za varnostno kopiranje in okolje za obnovitev po nesreči, z izrecnim sklicevanjem na sisteme, ki obdelujejo zaupne, strogo zaupne ali regulirane podatke. Primeri uporabe kriptografije vključujejo simetrično in asimetrično šifriranje, digitalne podpise, varno zgoščevanje in šifriranje na ravni API ter robustno generiranje, distribucijo in uničenje ključev, vključno s tehnologijami, kot so moduli strojne varnosti (HSM), zaupanja vredni moduli platforme (TPM) in sistemi za upravljanje ključev (KMS). Vzpostavljen je močan okvir upravljanja, ki ga vodi vodja informacijske varnosti ali CISO, ki je lastnik politike in zagotavlja njeno skladnost z ISO/IEC 27001:2022 Priloga A Kontrola 8.24, med drugim. Vodja kriptografskih operacij vzdržuje seznam odobrenih kriptografskih metod (ACML) in register upravljanja ključev ter vodi pregled in integracijo novih tehnologij. Neposredni vodje, sistemski administratorji, lastniki sredstev, razvijalci in ponudniki tretjih oseb imajo jasno določene odgovornosti za odobritev, konfiguracijo, uveljavljanje in pregled kriptografskih kontrol na svojih področjih. Letni pregledi in kriptografski pregledi zasnove (CDR) so obvezni za vse nove ali spremenjene uvedbe, kar zagotavlja usklajenost s trenutnimi grožnjami in regulativnimi zahtevami. Zahteve za implementacijo politike so celovite. Uporabljajo se lahko samo algoritmi in protokoli, ki jih odobri organizacija, vključno z AES-256 za simetrično šifriranje, RSA 2048+/ECC za asimetrično, SHA-256/SHA-3 za zgoščevanje in TLS 1.2+ za transport. Opredeljen je formalni, centralno upravljan proces upravljanja ključev, ki zajema varno generiranje ključev, hrambo, uporabo, rotacijo, preklic, uničenje in obnovitev certifikatov. Ločevanje dolžnosti in dvojno skrbništvo za občutljive operacije zagotavljata odgovornost in zmanjšujeta tveganje notranjih groženj, medtem ko stalno spremljanje prepoznava potek veljavnosti certifikatov, uporabo zastarelih šifer in nepooblaščen dostop do ključev. Obravnava tveganj, izjem in uveljavljanja je stroga. Odstopanje od standardnih algoritmov zahteva dokumentiran postopek odobritve, vključno z oceno tveganja in nadomestnimi kontrolami. Letna presoja kriptografskih kontrol, stroga eskalacija za neskladnost ali kompromitacijo ključev ter formalni disciplinski ali pogodbeni ukrepi so standardni postopki. Politika se redno pregleduje in posodablja kot odziv na nove kriptografske ranljivosti, regulativne spremembe, operativne revizije ali pomembne nadgradnje orodij, s centralizirano komunikacijo in nadzorom različic prek registra nadzora dokumentov ISMS.