Considerazioni sulla crittografia aziendale

0

Quali sono i diversi aspetti da considerare per i criteri di crittografia aziendale?

Finora le risorse che ho sono:

link

link

link

link

La maggior parte di questi si occupa della crittografia di dati sensibili nel database. Per un audit interno sugli standard di crittografia in un'organizzazione, cos'altro dovrebbe essere preso in considerazione?

Restringendolo a questi fattori per quanto riguarda la gestione delle chiavi, quali sarebbero le migliori pratiche:

  1. Archiviazione di chiavi nel codice sorgente
  2. Archiviazione di chiavi nei file di configurazione
  3. Archiviazione di chiavi all'interno di un modulo di sicurezza hardware
  4. Archiviazione di chiavi all'interno di un keystore
  5. Politica di rotazione delle chiavi
  6. Backup delle chiavi
  7. Accesso limitato alle chiavi

Il NIST ha fornito una guida disponibile qui: link

Che cosa sarebbe rilevante dal punto di vista aziendale?

    
posta Epoch Win 19.12.2011 - 01:26
fonte

1 risposta

1

Penso che come primo passo dovresti creare una politica di classificazione dei dati in cui definirei diversi livelli di sensibilità dei dati (come pubblico, solo interno, riservato, segreto, ecc.). Allora avresti una guida chiara che i dati sono abbastanza preziosi da essere protetti con la crittografia, a riposo o in trasmissione. Definire la classificazione dei dati sarebbe di grande aiuto sia per i dipendenti aziendali (per sapere quali dati proteggere e quanto bene) che per i revisori interni ed esterni.

In termini di Crittografia in sé, raccomanderei di dichiarare esplicitamente il divieto di creare i propri schemi di crittografia: tutti dovrebbero utilizzare la libreria e i meccanismi di crittografia ben consolidati standard del settore.

    
risposta data 20.12.2011 - 17:42
fonte