Verschlüsselungs-Framework - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselungs-Framework

Ein Framework bezieht sich in diesem Zusammenhang auf eine Reihe von Standardarbeitsanweisungen, die befolgt werden müssen, wenn Sie die Verschlüsselungsstandards oder -richtlinien ändern. Das Framework ist das Gerüst, das Ihnen bei der Umsetzung der Standards hilft. Es hilft, Worte in Taten umzuwandeln. Das Framework verbindet die Personen, die Standards definieren, mit den Personen, die sie umsetzen.

Frameworks umfassen in der Regel die folgenden Themen:

Datenklassifizierung

Die Datenklassifizierung spielt eine wichtige Rolle bei der Entwicklung einer Verschlüsselungsstrategie. Bei der Datenklassifizierung werden Daten einer Kategorie zugewiesen, die auf der Sensitivität der Daten basiert. Die folgenden Kategorien sind gängige Datenklassifizierungskategorien, in aufsteigender Reihenfolge ihrer Sensibilität, aufgeführt: öffentlich, privat, intern, vertraulich und eingeschränkt.

Ihr Verschlüsselungsframework sollte die folgenden Informationen zur Datenklassifizierung enthalten:

  • Die Datenklassifizierungskategorien für Ihr Unternehmen.

  • Die Klassifizierungskriterien, die verwendet werden, um Daten in die entsprechende Kategorie einzuordnen. Beispielsweise könnte das Handelsrezept eines Unternehmens als eingeschränkt eingestuft werden, personenbezogene Daten von Mitarbeitern könnten vertraulich sein und die interne Kommunikation zwischen Mitarbeitern über offizielle Kanäle könnte intern erfolgen.

  • Das Verfahren zur Heraufstufung und Herabstufung von Daten zwischen Kategorien.

  • Die Zugriffskriterien für jede Datenklassifizierungskategorie.

  • Die Art des Verschlüsselungsschlüssels, der für jede Kategorie erforderlich ist.

Klassifizierung der Umwelt

Ihr Unternehmen verfügt möglicherweise über mehrere Umgebungen wie Entwicklung, Testing, Sandbox, Vorproduktion und Produktion. Jede Umgebung kann unterschiedliche Datentypen enthalten und unterschiedliche Verschlüsselungsanforderungen haben.

Ihr Verschlüsselungs-Framework sollte die folgenden Informationen zu Ihren Umgebungen enthalten:

  • Definieren Sie Ihre Unternehmensumgebungen.

  • Definieren Sie die Verschlüsselungsanforderungen für jede Umgebung. Sie können beispielsweise einen einzigen Verschlüsselungsschlüssel für alle Datenkategorien in Ihrer Entwicklungsumgebung verwenden, und in Ihrer Produktionsumgebung können Sie für jede Geschäftsanwendung oder Datenklassifizierungskategorie unterschiedliche Verschlüsselungsschlüssel verwenden.

Veränderungsereignisse und -prozesse

Verschlüsselungsstandards unterliegen häufigen Änderungen, sodass Sie mit den neuesten Technologien, Best Practices und Innovationen Schritt halten können. Im Folgenden sind häufig auftretende Änderungsereignisse aufgeführt, die zu einer Überarbeitung Ihrer Verschlüsselungsstandards führen können:

  • Änderungen der Mindestlänge von Verschlüsselungsschlüsseln

  • Änderungen der Stärke eines Verschlüsselungsalgorithmus

  • Änderungen daran, wer auf Verschlüsselungsschlüssel zugreifen kann und wie

  • Änderungen der Rotationsintervalle für Ihre Tasten

  • Änderungen am Prozess zum Löschen von Schlüsseln

  • Änderungen des wichtigsten Speicherorts oder der Richtlinien

  • Änderungen am Verfahren zum Sichern und Wiederherstellen von Schlüssels

Ihr Verschlüsselungsframework sollte Folgendes enthalten, um Ihr Unternehmen auf die Verwaltung, Implementierung und Kommunikation von Änderungen der Verschlüsselungsstandards oder -richtlinien vorzubereiten:

  • Änderungskontrollprozess — Der Zweck dieses Prozesses besteht darin, die bevorstehende Änderung zu planen und sich darauf vorzubereiten. Wenn Sie Ihre Verschlüsselungsstandards oder -richtlinien ändern müssen, ist dieser wiederholbare und skalierbare Prozess darauf ausgelegt, Folgendes zu definieren:

    • Wie Ihr Unternehmen die Auswirkungen des Wandels bewertet

    • Wer kann Änderungen einleiten

    • Wer ist für die Umsetzung der Änderung verantwortlich

    • Wer ist für die Genehmigung der Änderung verantwortlich

    • Wie Ihre Organisation die Änderung gegebenenfalls rückgängig machen würde

  • Überprüfbarkeit und Rückverfolgbarkeit von Änderungen — Dieser Prozess definiert, wie Ihr Unternehmen Änderungen prüft und nachverfolgt, sowohl auf Metadatenebene als auch auf Datenebene. Es sollte definieren, wie Sie Aufzeichnungen führen und auf diese zugreifen über:

    • Was hat sich geändert

    • Als es geändert wurde

    • Wer hat die Änderung initiiert, genehmigt und umgesetzt

    Wenn Ihr Unternehmen beispielsweise die Mindeststärke des Verschlüsselungsschlüssels ändert, sollten Sie in der Lage sein, die ursprünglichen und die neuen Anforderungen zu ermitteln, wann die Änderung wirksam war und wer am Änderungsprozess beteiligt war.

  • Rollout-Prozess für Änderungen — Der Zweck dieses Prozesses besteht darin, zu definieren, wie Ihre Organisation die Änderung umsetzt, nachdem Sie sich dafür entschieden haben. Dieser Prozess definiert:

    • Wer sind die Stakeholder

    • Ob Sie ein Pilotprojekt oder einen Machbarkeitsnachweis absolvieren sollten

    • Wie und wann sollten Sie den Status der Änderung mitteilen

    • So machen Sie die Änderung rückgängig, falls erforderlich.

    • Wie lang sollte der Beobachtungszeitraum nach der Umsetzung der Änderung sein.

    • Wie wird der Beobachtungsprozess aussehen, um die Auswirkungen der Änderung zu beobachten, einschließlich der Art und Weise, wie Feedback zu der Änderung gesammelt und die Wirksamkeit bewertet werden kann

  • Stilllegungsprozess — Mit diesem Prozess soll festgelegt werden, wie Ihr Unternehmen mit der Außerbetriebnahme verschlüsselungsbezogener Ressourcen und Informationen umgeht. Es enthält Anweisungen für den tatsächlichen Ruhestand sowie den Kommunikationsprozess für den Ruhestand.