נוהל: מדיניות לשימוש בבקרות הצפנה A10.1.1
מטרה
מטרת הנוהל היא להבטיח כי מידע רגיש בארגון יהיה מוגן באמצעות בקרות הצפנה מתאימות, על מנת למנוע גישה בלתי מורשית, שינוי בלתי מורשה או חשיפת מידע.
תחום יישום
הנוהל חל על כל המידע הרגיש בארגון, לרבות מידע אישי, מידע עסקי רגיש ומידע קניין רוחני.
הגדרות
- מידע רגיש: מידע בעל ערך או חשיבות גבוהה, אשר חשיפתו עלולה לגרום לנזק לארגון או לאנשים.
- בקרות הצפנה: אמצעי טכנולוגיים או פרוצדוריים המשמשים להצפנת מידע.
אחריות
הנהלה:
- אחראית על קביעת מדיניות לשימוש בבקרות הצפנה בארגון.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות לשימוש בבקרות הצפנה בארגון.
- אחראית על מעקב אחר ביצוע מדיניות לשימוש בבקרות הצפנה בארגון.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות לשימוש בבקרות הצפנה בארגון.
- אחראי על ניהול תהליך יישום מדיניות לשימוש בבקרות הצפנה בארגון.
מנהלי מחלקות:
- אחראים על יישום מדיניות לשימוש בבקרות הצפנה במחלקות שלהם בהתאם להנחיות הממונה על אבטחת המידע.
עובדים:
- אחראים על עמידה במדיניות לשימוש בבקרות הצפנה.
תהליך
1. קביעת מדיניות לשימוש בבקרות הצפנה
הנהלת הארגון תקבע מדיניות לשימוש בבקרות הצפנה, אשר תכלול את הנושאים הבאים:
- סוגים של מידע המוגנים על ידי הצפנה.
- סוגי בקרות הצפנה המותרות לשימוש.
- אופן יישום בקרות הצפנה.
2. יישום מדיניות לשימוש בבקרות הצפנה
מדיניות לשימוש בבקרות הצפנה תיושם בארגון בהתאם להנחיות הממונה על אבטחת המידע.
3. ניהול מדיניות לשימוש בבקרות הצפנה
מדיניות לשימוש בבקרות הצפנה תשמר בהתאם להנחיות הממונה על אבטחת המידע.
הנחיות נוספות
- ביקורת תקופתית: החברה תבצע ביקורות תקופתיות על תהליך יישום מדיניות לשימוש בבקרות הצפנה, כדי לוודא שהמידע הרגיש מוגן בצורה אפקטיבית.
- בחירת בקרות הצפנה: החברה צריכה לבחור את סוגי בקרות ההצפנה המתאימים ביותר בהתאם לגודל הארגון, לרגישות המידע המוגן ולמדיניות האבטחת המידע של הארגון.
דוגמאות לסוגי בקרות הצפנה
- הצפנה סימטרית: שימוש באותו מפתח הצפנה להצפנת המידע ופענוח המידע.
- הצפנה אסימטרית: שימוש בשני מפתחות הצפנה, מפתח פרטי ומפתח ציבורי.
- הצפנה ברמה גבוהה: שימוש באלגוריתמים הצפנה מתקדמים, כגון AES-256.