Standard di crittografia

Gli standard derivano dalla tua politica. Questi hanno un ambito più ristretto e aiutano a definire il framework e l'architettura per l'implementazione. Ad esempio, se la politica dell'organizzazione prevede la crittografia dei dati inattivi, uno standard definirebbe il tipo di crittografia richiesto e fornirebbe indicazioni generali su come aderire alla politica.

Gli standard di crittografia in genere specificano quanto segue:

• I tipi di crittografia da utilizzare

• Specifiche minime per le chiavi di crittografia

• Chi ha accesso alle chiavi di crittografia

• Dove devono essere archiviate le chiavi di crittografia

• Criteri per la scelta di una forza di chiave appropriata nella scelta delle tecniche di crittografia o hashing

• Frequenza di rotazione dei tasti

Sebbene sia raramente necessario aggiornare una politica di crittografia, gli standard di crittografia sono soggetti a modifiche. Il settore della sicurezza informatica si evolve costantemente per far fronte al panorama delle minacce in continua evoluzione. Pertanto, i vostri standard dovrebbero cambiare per adottare le tecnologie e le migliori pratiche più recenti al fine di fornire la migliore protezione possibile per i dati aziendali.

In un'organizzazione aziendale, i vicepresidenti, i direttori o gli amministratori dei dati in genere definiscono gli standard di crittografia e un responsabile della conformità in genere li esamina e li approva.

Considerate le seguenti categorie di fattori quando definite e mantenete gli standard di crittografia nella vostra organizzazione:

• Considerazioni relative a costi e prestazioni

• Controllo degli accessi con chiave

• Tipi di crittografia

• Specifiche delle chiavi di crittografia

• Luogo di archiviazione delle chiavi

Considerazioni relative a costi e prestazioni

Nel determinare gli standard di crittografia per i dati inattivi, tenete conto dei seguenti fattori operativi:

• Le risorse hardware disponibili devono essere in grado di supportare i vostri standard su larga scala.

• Il costo della crittografia varia in base alla lunghezza della chiave, alla quantità di dati e al tempo necessario per eseguire la crittografia. Ad esempio, rispetto alla crittografia simmetrica, la crittografia asimmetrica utilizza chiavi più lunghe e richiede più tempo.

• Considerate i requisiti prestazionali delle vostre applicazioni aziendali. Se la tua applicazione richiede una bassa latenza e un throughput elevato, allora potresti voler utilizzare la crittografia simmetrica.

Controllo degli accessi con chiave

Identifica le policy di controllo degli accessi per le chiavi di crittografia in base al principio del privilegio minimo. Il privilegio minimo è la best practice di sicurezza che consiste nel concedere agli utenti l'accesso minimo di cui hanno bisogno per svolgere le proprie funzioni lavorative. Nei tuoi standard, definisci una politica di controllo degli accessi che:

• Identifica i ruoli che gestiscono le chiavi di crittografia a chiave e le chiavi di dati.

• Definisce e associa le autorizzazioni chiave ai ruoli. Ad esempio, definisce chi dispone dei principali privilegi di amministratore e chi dispone dei privilegi utente chiave. Gli amministratori chiave possono creare o modificare chiavi di crittografia a chiave e gli utenti chiave possono crittografare e decrittografare i dati e generare chiavi di dati.

Tipi di crittografia

Nei tuoi standard, definisci quali tipi e funzionalità di crittografia sono adatti alla tua organizzazione:

• Documenta quando utilizzare algoritmi di crittografia simmetrici e asimmetrici. Per ulteriori informazioni, consulta e nella sezione Domande frequentiQuando è necessaria la crittografia simmetrica?. Quando è necessaria la crittografia asimmetrica?

• Decidi se utilizzare la crittografia delle buste e definisci le circostanze. Per ulteriori informazioni, consulta la Quando è necessaria la crittografia delle buste? sezione Domande frequenti.

• Definisci i criteri per quando utilizzare alternative di crittografia, come la tokenizzazione e l'hashing.

Specifiche delle chiavi di crittografia

Definisci le specifiche richieste per le tue chiavi di crittografia, come la potenza delle chiavi e gli algoritmi. Queste specifiche devono essere conformi ai regimi normativi e di conformità definiti nella politica. Valuta la possibilità di definire le seguenti specifiche:

• Definite la potenza minima della chiave e gli algoritmi per i tipi di crittografia simmetrica e asimmetrica. I fattori di forza chiave includono la lunghezza, la casualità e l'unicità.

• Definisci quando vuoi implementare nuove versioni degli algoritmi di crittografia. Ad esempio, i tuoi standard potrebbero indicare Implementa la versione più recente dell'algoritmo entro 30 giorni dal rilascio o Usa sempre una versione precedente all'ultima versione.

• Definite l'intervallo di rotazione delle chiavi di crittografia.

Luogo di archiviazione delle chiavi

Nei vostri standard, tenete conto di quanto segue quando decidete dove archiviare le chiavi di crittografia:

• I requisiti di conformità e normativi potrebbero stabilire dove archiviare le chiavi di crittografia.

• Decidi se archiviare le chiavi in una posizione centralizzata o con i dati corrispondenti. Per ulteriori informazioni, consulta la Perché devo gestire centralmente le chiavi di crittografia? sezione Domande frequenti.

• Se scegli lo storage centralizzato, decidi se archiviare le chiavi in un'infrastruttura gestita dall'azienda, come un modulo di sicurezza hardware (HSM) o in un provider di servizi gestiti, ad esempio. AWS Key Management ServicePer ulteriori informazioni, consulta Quando è necessario utilizzare un modulo di sicurezza hardware (HSM)? la sezione Domande frequenti.