Používanie kryptografických prostriedkov a šifrovania – vzor smernice

Používanie kryptografických prostriedkov a šifrovania

(interná smernica)

Táto smernica je spracovaná na základe dobrej praxe a reflektuje pravidlá a postupy v kontexte požiadaviek medzinárodnej normy STN ISO/IEC 27001:2014, ako aj platnej legislatívy v oblasti kybernetickej a informačnej bezpečnosti v rámci riadenia kryptografických a šifrovacích metód v organizácii.

1. Kľúčové súvisiace predpisy a normy

1. Súbor medzinárodných noriem radu ISO/IEC 27000
2. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
3. Vyhláška č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
4. Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe
5. Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

2. Účel smernice

Dôvernosť, integrita, dostupnosť a hodnovernosť údajov v rámci sietí a informačných systémov, prostredníctvom ktorých je poskytovaná základná služba, sa v organizácii zabezpečuje okrem iných opatrení aj pomocou kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy, pričom sú určené pravidlá kryptografickej ochrany údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov organizácie.

Účelom tejto smernice je definovanie vhodných algoritmov, protokolov a softvérov na šifrovanie dát v organizácii XYZ. Smernica sa vzťahuje na všetkých pracovníkov organizácie, ktorí majú prístup k informačným systémom organizácie.

3. Zásady, zodpovednosti a rozsah

Oblasťou ochrany informácií metódou ich modifikácie do (pre neoprávnenú osobu) nečitateľnej podoby sa zaoberá vedná disciplína „Kryptológia“. Tá v sebe zahŕňa:

1. kryptografiu – v rámci nej sa realizujú návrhy protokolov, algoritmov a schém, určených na ochranu dôvernosti, integrity a autenticity údajov. Ide o konkrétne metódy úpravy dát, správ či informácií do podoby, ktorá je nečitateľná bez špeciálnych znalostí;
2. kryptoanalýzu – v rámci nej sa skúmajú eventuality útokov na takto zabezpečené údaje, teda na „prelomenie“ definovaných algoritmov/protokolov/schém).

Smernica je určená všetkým pracovníkom manažmentu organizácie zodpovedným za prevádzku a vývoj informačných systémov. Je tiež určená pracovníkom zodpovedným za plánovanie, architektúru, vývoj, testovanie a kontrolu kvality a bezpečnosti takýchto informačných systémov.

Zamestnanci sú povinní akceptovať túto smernicu a dodržiavať pravidlá v nej uvedené. Každé porušenie tejto smernice bude riešené ako závažné porušenie pracovnej disciplíny v súlade s pracovným a disciplinárnym poriadkom organizácie.

Vedenie organizácie musí zabezpečiť, aby pracovníci boli oboznámení s touto smernicou a porozumeli svojim úlohám.

Platí, že každý prenos digitálnej dôvernej informácie cez verejnú sieť (napr. FTP, e-mail, uloženie dát na prenosné zariadenia USB, CD/DVD, prenosný harddisk ...