Миграция към постквантова криптография с ISO 27001

Бученето на проектора е единственият звук в заседателната зала. Сара, CISO, току-що е приключила тримесечния си доклад за риска, когато главният изпълнителен директор вдига разпечатка от финансова новинарска статия. Заглавието е директно: „Квантовото обратно броене: остарели ли са вече вашите данни?“

„Сара,“ казва той — не толкова обвинително, колкото с реална тревога, „похарчихме милиони за криптиране. В съответствие сме. Сигурни сме. Тази статия твърди, че достатъчно мощен квантов компютър може да разбие всичко това. Изложени ли сме на риск? А какво става с данните, които криптираме и съхраняваме в момента? Това бомба със закъснител ли е?“

Този разговор вече се премества от конференциите по сигурност към изпълнителните комитети. Въпросът вече не е дали квантовите изчисления са интересни за изследователите. Въпросът е дали днешните криптографски решения могат да защитят утрешните бизнес задължения.

За много организации честният отговор е неудобен. Криптографията е навсякъде: TLS шлюзове, VPN, клиентски портали, токени за идентичност, резервни копия на бази данни, мобилни приложения, платежни платформи, S/MIME, SSH, API интеграции, SaaS услуги, хардуерни модули за сигурност (HSM), облачни услуги за управление на ключове, подписване на фърмуер, подписване на код и цифрови договори.

Точно това е проблемът. Криптографията е навсякъде, но собствеността върху нея често не е никъде.

Миграцията към постквантова криптография не се отнася само до бъдещ криптографски релевантен квантов компютър. Тя се отнася и до днешния риск „събери сега, дешифрирай по-късно“, при който противници прихващат криптирани данни сега и изчакват бъдещи възможности, които да направят декриптирането практично. Ако организацията ви съхранява лични данни, здравни записи, регулирани финансови данни, търговски тайни, правна кореспонденция, данни за национална инфраструктура, продуктов фърмуер или дългосрочна интелектуална собственост, рискът вече е риск, свързан с жизнения цикъл.

Готовият за квантовата ера план за миграция на криптографията не е панически проект. Той е структурирана програма за управление, инвентаризация, доставчици, архитектура, тестване и одит. Практическият въпрос за CISO е прост:

Как да изградим план за постквантова миграция, който е убедителен за висшето ръководство, използваем за инженерите и защитим пред одиторите?

Отговорът е работата да се закрепи в ISO/IEC 27001:2022, контролите да се тълкуват чрез ISO/IEC 27002:2022, стандартите на NIST за постквантова криптография да се използват като технически ориентир и да се създаде единен модел на доказателства, който поддържа задълженията по ISO 27001, NIST, COBIT 2019, GDPR, DORA и NIS2.

Защо постквантовата криптография трябва да бъде в ISMS

Често срещана грешка е постквантовата миграция да се възлага само на криптографски инженери. Инженерите са съществени, но не могат сами да решат управленския проблем.

Постквантовата миграция засяга управление на активите, класификация на данните, управление на доставчици, сигурна архитектура, управление на ключове, разработка на приложения, сигурност на облачни услуги, реагиране при инциденти, непрекъсваемост на дейността, правен риск, регулаторна отчетност и доказателства за одит. Това са теми на ISMS.

ISO/IEC 27001:2022 предоставя управленската рамка. Стандартът изисква организацията да разбира контекста, заинтересованите страни, риска, целите, отговорностите, компетентността, документираната информация, оперативното планиране, оценката на резултатността, вътрешния одит, прегледа от ръководството и непрекъснатото подобрение. След това ISO/IEC 27002:2022 дава тълкуване на контролите, особено около 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities и 5.30 ICT readiness for business continuity.

В Clarysec именно затова готовността за постквантова криптография се разглежда като трансформация, водена от ISMS, а не като изолирана подмяна на алгоритми.

Както е посочено в Zenith Blueprint: An Auditor’s 30-Step Roadmap на Clarysec, фаза 2, стъпка 8, „Определяне на обхвата на активи, зависимости и доказателства“:

„На една контрола не може да се има доверие, докато организацията не може да докаже къде се прилага, кой е нейният собственик, кои доказателства я подкрепят и кой риск намалява.“

Това изречение е особено важно за постквантовата криптография. Преди да замените алгоритми, трябва да знаете къде се използват алгоритмите.

Zenith Controls: The Cross-Compliance Guide на Clarysec представя криптографията като свързана верига от доказателства, а не като единична техническа настройка:

„Увереността в криптографията се одитира през жизнения цикъл на информацията: идентифициране, класификация, одобрено използване, защита на ключове, оперативен мониторинг, зависимост от доставчици, обработване на изключения и съхранение на доказателства.“

Този поглед през жизнения цикъл предотвратява най-честия провал: да се пита само „Използваме ли алгоритми, безопасни спрямо квантови атаки?“ По-добрите въпроси са:

• Кои системи се нуждаят първи от постквантова миграция?
• Кои данни имат срок на поверителност, по-дълъг от хоризонта на квантовия риск?
• Кои доставчици контролират нашето криптиране, подписи, сертификати или управление на ключове?
• Кои приложения са крипто-гъвкави и кои са с твърдо заложени зависимости?
• Кои компенсиращи контроли съществуват, докато миграцията не е завършена?
• Кои доказателства ще докажат, че решенията са били основани на риска и прегледани?

От квантова заплаха към одитируем бизнес риск

Полезният план за постквантова миграция започва със сценарии на риска. Избягвайте неясни твърдения като „квантовите изчисления могат да разбият криптирането“. Вместо това създайте одитируеми записи за риска, които свързват бизнес въздействие, заплаха, уязвимост, засегнати активи, текущи контроли, остатъчен риск и действия за третиране.

Например:

„Криптирани клиентски документи за идентичност, съхранявани седем години, може да бъдат уязвими на бъдещо декриптиране, ако резервни копия бъдат извлечени днес и текущата криптография с публичен ключ стане разбиваема в бъдеще.“

Този сценарий насочва към съхранение на данни, криптиране на резервни копия, управление на ключове, контрол на достъпа, хостинг от доставчик, мониторинг и приоритет на миграцията.

Друг пример:

„Подписването на фърмуер за свързани устройства разчита на схеми за подписи, които може да не останат надеждни през очаквания жизнен цикъл на устройството.“

Това насочва към продуктова сигурност, сигурни механизми за актуализация, възможности на HSM, безопасност на клиентите, увереност в дизайна от доставчика и дългосрочна оперативна устойчивост.

Трети пример:

„Архивирана правна кореспонденция, криптирана днес, може да изисква поверителност за повече от петнадесет години, което създава експозиция тип „събери сега, дешифрирай по-късно“.“

Това насочва към класификация, срок за съхранение, криптографска защита, правно задържане, сигурни комуникации и приемане на риска от висшето ръководство.

Рискът не е само бъдещ „Q-Day“. Той включва три свързани опасения:

1. Събери сега, дешифрирай по-късно — противници събират криптирани данни днес за бъдещо декриптиране.
2. Компрометиране на цифрови подписи — бъдещи атаки подкопават доверието в софтуерни актуализации, токени за идентичност, правни документи, фърмуер и финансови транзакции.
3. Отказ поради криптографска концентрация — широк клас продукти, протоколи, библиотеки или доставчици остарява едновременно.

Enterprise Policy на Clarysec, Cryptography and key management policy, клауза 5.1, формулира управленското изискване така:

„Криптографските контроли трябва да се избират, внедряват, преглеждат и извеждат от употреба въз основа на класификацията на информацията, необходимия срок на защита, одобрените криптографски стандарти, собствеността върху ключовете и документираните решения за третиране на риска.“

Тази клауза е критична, защото срокът на защита става фактор за приоритизация. Краткоживеещи сесийни данни и дългосрочни медицински записи не носят един и същ квантов риск. Ключ за подписване на код, който поддържа доверието в устройства за петнадесет години, има различен рисков профил от краткосрочен вътрешен тестов сертификат.

Същото семейство политики, цитирано в материалите на Clarysec като Cryptographic Controls Policy, може също да формализира очакванията за преглед чрез формулировка като:

Клауза 5.4: Стандарти за алгоритми и дължини на ключове
„Всички криптографски алгоритми и дължини на ключове, използвани в организацията, трябва да се избират от одобрен списък, поддържан от екипа по информационна сигурност. Този списък трябва да се преглежда ежегодно спрямо добри практики в индустрията и указания от национални органи по киберсигурност (напр. NIST, ENISA), със специално внимание към развитието на постквантовите криптографски стандарти. Пътна карта за мигриране на системи от алгоритми, уязвими на квантово базирани атаки, трябва да се поддържа като част от инвентара на криптографските активи.“

Това не изисква небезопасно ранно внедряване. Изисква осведоменост, планиране, преглед и доказателства.

Използвайте NIST PQC стандартите като технически ориентир

Работата на NIST по постквантова криптография дава на организациите надеждна техническа посока. NIST е стандартизирал ML-KEM за установяване на ключове, ML-DSA за цифрови подписи и SLH-DSA за хеш-базирани подписи без състояние. Тези стандарти дават на доставчиците и архитектите основа за пътни карти и пилотни проекти.

За CISO целта не е да запомнят детайлите на алгоритмите. Целта е да създадат миграционен път, който може да поеме одобрени криптографски решения, без да нарушава бизнес услугите, ангажиментите за съответствие или одитната проследимост.

План за миграция, съгласуван с NIST, следва да включва четири направления:

1. Откриване — идентифициране къде съществува уязвима криптография с публичен ключ.
2. Приоритизация — подреждане на системите според чувствителност на данните, срок на защита, експозиция, въздействие върху целостта и критичност за бизнеса.
3. Преходна архитектура — определяне къде хибридни, крипто-гъвкави или постквантови механизми ще бъдат тествани и възприети.
4. Увереност — създаване на доказателства, че решенията, изключенията, зависимостите от доставчици, тестовете и остатъчните рискове са контролирани.

Крипто-гъвкавостта заслужава специално внимание. Крипто-гъвкава система може да променя алгоритми, размери на ключове, библиотеки, сертификати и протоколи без съществено препроектиране. В постквантовата ера крипто-гъвкавостта не е лукс. Тя е изискване за устойчивост.

Ако платежен API има твърдо заложени криптографски библиотеки и няма документиран собственик, той не е крипто-гъвкав. Ако мобилно приложение фиксира сертификати без управляван път за актуализация, миграцията може да стане скъпа. Ако IoT устройство има петнадесетгодишен живот на терен и не може да поддържа по-големи подписи или сигурни актуализации на фърмуер, рискът е стратегически.

Изградете криптографския инвентар, преди да изберете миграционния път

Повечето организации нямат пълен криптографски инвентар. Те може да имат инвентар на сертификати, таблица за управление на ключове, HSM записи, списък на облачен KMS или записи в CMDB. Рядко имат единен поглед върху криптографските зависимости.

Планът за миграция към постквантова криптография се нуждае от криптографска спецификация на компонентите, или CBOM. Не е необходимо тя да бъде съвършена в първия ден. Необходимо е да бъде структурирана, да има собственик и да се подобрява непрекъснато.

Като минимум регистрирайте следните полета:

Първоначален инвентар може да изглежда така:

Тази таблица веднага показва защо инвентарът е важен. AES-256 не е същият тип квантов риск като RSA или ECC, но архивираните пациентски записи все още може да зависят от уязвимо обвиване на ключове, сертификати, системи за идентичност или канали за пренос на резервни копия. Подписването на код може да не защитава поверителност, но защитава целостта на софтуера и доверието.

В Zenith Controls криптографията е кръстосано съпоставена с поддържащи стандарти, които добавят дълбочина. ISO/IEC 27005 подпомага управлението на риска за информационната сигурност и помага квантовата неопределеност да се преведе в структурирани сценарии на риска. ISO/IEC 27017 поддържа специфични за облака контроли за сигурност, което е съществено, когато криптографските услуги се предоставят чрез облачен KMS, управляван TLS, SaaS криптиране или платформени сертификати. ISO/IEC 27018 е релевантен, когато лични данни се обработват в публични облачни услуги. ISO 22301 е релевантен, когато криптографски отказ може да засегне непрекъсваемостта на критични услуги. ISO/IEC 27036 поддържа сигурността на взаимоотношенията с доставчици, което е решаващо, когато доставчици управляват криптиране, подписи, сертификати или сигурни комуникации от ваше име.

Изводът е прост: не можете да мигрирате това, което не можете да намерите.

Приоритизирайте по чувствителност, срок, експозиция и трудност на миграцията

След като CBOM съществува, приоритизацията става основана на доказателства. Най-добрата отправна точка е малък брой критични системи, а не упражнение за съвършенство в цялото предприятие.

Представете си компания за финансови услуги с три системи с висока стойност:

• Хранилище за клиентски документи, което съхранява доказателства за идентичност за десет години
• B2B API шлюз, поддържащ партньорски транзакции
• Платформа за подписване на код за актуализации на desktop софтуер

Използвайки Zenith Blueprint, фаза 2, стъпка 8, екипът извлича активи от CMDB, сертификати от платформата за управление на сертификати, ключове от HSM и облачния KMS, класове данни от регистъра за поверителност и зависимости от доставчици от записите за снабдяване.

След това екипът оценява системите:

Хранилището за клиентски документи става приоритет заради срока на поверителност. Платформата за подписване на код става приоритет, защото доверието в подписите влияе върху целостта на софтуера и безопасността на клиентите. API шлюзът е с висок приоритет заради външната експозиция, но съхраняваните от него данни може да имат по-кратък срок на поверителност.

След това регистърът на риска трябва да свърже всеки сценарий с третиране и доказателства:

Enterprise Policy на Clarysec, Secure development policy, клауза 6.4, дава гледната точка на доставката на софтуер:

„Прегледите на дизайна по сигурността трябва да оценяват криптографски зависимости, жизнен цикъл на библиотеки, гъвкавост на алгоритми, управление на тайни, механизми за актуализация и компоненти, контролирани от доставчици, преди одобрение за продукционна среда.“

Тази клауза превръща готовността за постквантова криптография в инженерно изискване. Тя предотвратява внедряването на нови системи, които по-късно не могат да бъдат мигрирани.

Следвайте 12-месечна пътна карта, разбираема за одиторите

За много организации постквантовата миграция ще отнеме години. Първата година трябва да премести организацията от неопределеност към управлявана миграция.

В Zenith Blueprint, фаза 3, стъпка 14, „Проектиране на третиране на риска и собственост“, пътната карта предупреждава срещу нефинансирани намерения за сигурност:

„План за третиране без собственик, очакване за доказателства, път за бюджетиране и дата за преглед не е план. Това е нерешен риск с по-добро форматиране.“

Точно така се провалят програмите за постквантова криптография. Те произвеждат слайдове за осведоменост, но не и списък със задачи за ремедиация със собственици. Обсъждат алгоритми, но не актуализират договорите с доставчици. Документират риск, но не тестват миграционни модели.

Убедителната пътна карта създава записи на решения, собственици, зависимости, очаквания за доказателства, бюджети и дати за преглед.

Включете доставчиците в програмата рано

Много криптографски зависимости са възложени навън. Доставчиците на облачни услуги терминират TLS. SaaS платформите криптират записи. Доставчиците на идентичност подписват токени. Платежните процесори управляват сертификати. Хардуерните доставчици контролират подписването на фърмуер. Доставчиците на управлявани услуги оперират VPN и шлюзове за сигурност.

Дори вътрешният ви екип да е готов, миграцията ви може да бъде блокирана от възможностите на доставчика.

Enterprise Policy на Clarysec, Third-party and supplier security policy, клауза 5.6, гласи:

„Доставчиците, предоставящи услуги със значение за сигурността, трябва да разкриват съществени зависимости, криптографски отговорности, доказателства за увереност, процеси за обработване на уязвимости и промени в пътни карти, които могат да повлияят на рисковия профил на организацията.“

За готовност за постквантова криптография попитайте критичните доставчици:

• Кои алгоритми, протоколи, сертификати и услуги за управление на ключове защитават нашите данни или транзакции?
• Поддържате ли криптографски инвентар или CBOM?
• Каква е вашата постквантова пътна карта спрямо NIST?
• Ще поддържате ли хибриден обмен на ключове, постквантови подписи или устойчиво на квантови атаки установяване на ключове?
• Как ще бъдат комуникирани промените в сертификати, токени, подписване и криптиране?
• Какви действия ще се изискват от клиента?
• Какви тестови среди ще бъдат налични?
• Как ще се управляват производителност, оперативна съвместимост и връщане назад?
• Дефинирани ли са криптографските отговорности в договора или модела на споделена отговорност?
• Какви опции за изход или преносимост съществуват, ако вашата пътна карта не отговаря на нашите изисквания за риск?

Отговорите на доставчиците трябва да постъпват в регистъра на риска. Слабите отговори не винаги означават незабавна подмяна, но изискват третиране. Може да са необходими компенсиращи контроли, изменения на договори, клаузи за уведомяване, планиране на изход, засилен мониторинг или преразгледана стратегия за снабдяване.

Това е особено важно при очакванията за оперативна устойчивост в стила на DORA и NIS2. DORA поставя акцент върху управлението на ИКТ риск и управлението на риска от ИКТ трети страни, включително надзор върху критични зависимости. NIS2 Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки за управление на риска за сигурността, включително сигурност на веригата на доставки, обработване на инциденти, непрекъсваемост на дейността и криптография, когато е приложимо. GDPR Article 32 изисква сигурност, съобразена с риска, включително поверителност, целостност, наличност, устойчивост и възможност за осигуряване на непрекъсната защита на лични данни.

Регулаторният език се различава, но логиката на контролите е последователна: познавайте зависимостите си, управлявайте риска, съхранявайте доказателства и действайте, преди устойчивостта да бъде компрометирана.

Съпоставяне за множество рамки за съответствие: един план за миграция, много задължения

Силен план за миграция към постквантова криптография следва да избягва създаването на отделни пакети доказателства за всяка рамка. Едни и същи основни доказателства могат да подкрепят множество задължения, ако са структурирани правилно.

Zenith Controls съпоставя темата за криптографията в ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA и NIS2, като се фокусира върху целта на контрола, а не върху етикета, използван от всяка рамка.

Повторната употреба на доказателства е ключът. Криптографският инвентар подкрепя ISO управление на активите, резултатите Identify по NIST, видимостта на ИКТ активи по DORA, управлението на риска по NIS2 и отчетността по GDPR. Въпросниците към доставчици подкрепят ISO контролите за доставчици, риска от ИКТ трети страни по DORA, сигурността на веригата на доставки по NIS2 и управлението на доставчици по COBIT. Резултатите от миграционни тестове подкрепят сигурната промяна, тестването на устойчивостта, готовността за одит и прегледа от ръководството.

Какво ще попитат одиторите

Постквантовата криптография все още е развиваща се одитна тема, но одиторите вече имат достатъчно контролни очаквания, за да задават трудни въпроси.

Одитор по ISO/IEC 27001:2022 обикновено ще започне с риска. Той ще попита дали квантово обусловеният криптографски риск е идентифициран, оценен, третиран, наблюдаван и преглеждан в рамките на ISMS. Ще очаква доказателства, че криптографските контроли се избират въз основа на бизнес риска и че отговорностите са дефинирани.

Оценител, ориентиран към NIST, може да се фокусира върху видимостта на активите, механизмите за защита, риска във веригата на доставки, управлението на уязвимости и управленските резултати. Той може да попита дали организацията е идентифицирала системи, използващи уязвима криптография с публичен ключ, и дали планирането на миграцията е съгласувано с посоката на NIST.

Одитор по COBIT или ISACA често ще пита за управлението. Кой носи отчетност? Как съветът получава отчетност? Приоритизирани ли са инвестициите? Управляват ли се зависимостите от доставчици? Балансирани ли са ползите, рисковете и ресурсите?

Одитор по поверителност може да се фокусира върху това дали криптирането и управлението на ключове остават подходящи спрямо чувствителността и срока за съхранение на лични данни.

Проверяващ, фокусиран върху DORA или NIS2, ще разглежда устойчивостта, концентрацията при ИКТ трети страни, непрекъсваемостта на дейността и готовността за инциденти.

Zenith Controls препоръчва подготовката за одит да се разглежда като път на доказателствата. Не чакайте одиторите да поискат скрийншотове и таблици. Изградете GRC работно пространство, което свързва всеки криптографски риск с неговия собственик, засегнати активи, доставчици, решения, тестове, изключения и дати за преглед.

Актуализирайте политиките, за да стане програмата оперативна

Повечето политики за криптография са писани за традиционни изисквания за поверителност и целостност. Постквантовата миграция изисква целеви допълнения.

Вашата политика за криптография и управление на ключове следва да обхваща одобрени стандарти, честота на преглед, класификация на данните, срок на защита, гъвкавост на алгоритми, генериране на ключове, съхранение на ключове, ротация на ключове, унищожаване, собственост, жизнен цикъл на сертификати, отговорност за HSM, отговорност за облачен KMS, одобрение на изключения, криптография, контролирана от доставчици, и мониторинг на постквантовия преход.

Вашата политика за сигурна разработка следва да обхваща одобрение на криптографски библиотеки, забрана на твърдо заложени алгоритми без преглед, проследяване на зависимости, сигурни механизми за актуализация, тестове за производителност при по-големи ключове или подписи, обратна съвместимост, връщане назад и моделиране на заплахи за дългосрочни продукти.

Вашата политика за сигурност на доставчиците следва да обхваща криптографска прозрачност, искания за постквантова пътна карта, договорни задължения за уведомяване, споделена отговорност за криптиране и управление на ключове, планиране на изход и преносимост.

Вашата процедура за управление на активите следва да обхваща полета на криптографския инвентар, собственост, източници на доказателства, честота на преглед и интеграция с CMDB, облачен инвентар, управление на сертификати, HSM записи и хранилища за код.

Тук библиотеката с политики на Clarysec помага на организациите да се движат по-бързо. Вместо да започват от празна страница, екипите могат да адаптират клаузи от политики в процедури, регистри, въпросници и доказателства за одит.

Избягвайте най-честите грешки при постквантова миграция

Най-опасните грешки обикновено са управленски, а не технически.

Започване с алгоритми вместо с активи. Ако не знаете къде се използва криптография, изборът на алгоритъм няма да помогне.

Игнориране на жизнения срок на данните. Краткоживеещите транзакционни данни и дългосрочните чувствителни архиви не носят един и същ риск.

Третиране на доставчиците като по-късна фаза. Много криптографски контроли се управляват от доставчици. Ако доставчиците не бъдат включени рано, планът ви може да е нереалистичен.

Забравяне на подписите. Постквантовото планиране не е само за криптиране. Цифрови подписи, подписване на код, сертификати, токени за идентичност, актуализации на фърмуер и подписване на документи изискват внимание.

Предположение, че доставчиците на облачни услуги решават всичко. Облачните платформи ще имат основна роля, но отговорността остава споделена. Все още трябва да знаете кои услуги, конфигурации, ключове, региони и интеграции са засегнати.

Неспособност да се създадат доказателства за одит. План за миграция, който не може да бъде доказан с доказателства, няма да удовлетвори ръководството, регулаторите, клиентите или одиторите.

Пропускане на тестове за производителност и оперативна съвместимост. Постквантовите алгоритми може да повлияят на размера на полезния товар, поведението при установяване на връзка, латентността, съхранението, ограниченията при вградени системи и съвместимостта.

Показатели, които CISO трябва да докладва на съвета

Докладването към съвета трябва да бъде достатъчно просто за разбиране и достатъчно конкретно, за да води до действия. Избягвайте задълбочени дебати за алгоритми. Фокусирайте се върху експозиция, напредък, решения и остатъчен риск.

Полезно съобщение към съвета може да звучи така:

„Завършихме криптографско откриване за 72 процента от критичните услуги. Две системи имат критична дългосрочна експозиция по поверителност, а трима доставчици все още не са предоставили постквантови пътни карти. Стартирахме проект за готовност на подписването на код и преглед на зависимостите от облачен KMS. Днес не се препоръчва аварийна подмяна, но несигурността при доставчиците остава най-големият остатъчен риск.“

Това е езикът на управлявания киберриск.

Практически контролен списък за начало още тази седмица

Не е необходимо да чакате съвършена сигурност. Започнете със стъпки, които незабавно подобряват видимостта и управлението.

1. Назначете собственик на постквантовата криптография.
2. Добавете квантово обусловения криптографски риск в регистъра на риска на ISMS.
3. Идентифицирайте десетте най-важни услуги с дългосрочни чувствителни данни или високо въздействие върху целостта.
4. Изградете минимално жизнеспособен CBOM за тези услуги.
5. Поискайте от критичните доставчици тяхната постквантова пътна карта.
6. Прегледайте политиките за криптография, сигурна разработка, доставчици и активи.
7. Идентифицирайте системи с твърдо заложени алгоритми, остарели библиотеки, ръчна ротация на сертификати или слаба собственост.
8. Изберете един пилот с нисък риск за тестване на крипто-гъвкавост.
9. Дефинирайте показатели за съвета и честота на докладване.
10. Насрочете вътрешен одит, фокусиран върху криптографското управление и доказателствата.

Най-важната стъпка е да превърнете неопределеността в управлявана работа. Квантовият риск може да е насочен към бъдещето, но криптографският дълг съществува днес.

Следващи стъпки с Clarysec

Постквантовата миграция ще бъде един от най-сложните преходи в сигурността през следващото десетилетие, защото засяга идентичност, криптиране, подписи, доставчици, облак, софтуер, устройства, архиви и доказателства за одит. Организациите, които започнат с управление и инвентар, ще се движат по-бързо от тези, които чакат цикъл на подмяна в последния момент.

Clarysec може да ви помогне да изградите готов за квантовата ера план за миграция на криптографията чрез:

• Zenith Blueprint: An Auditor’s 30-Step Roadmap за поетапно внедряване и готовност за одит
• Zenith Controls: The Cross-Compliance Guide за съпоставяне с ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA и NIS2
• Cryptography and key management policy за готови за управление криптографски правила
• Third-party and supplier security policy за изисквания към пътни карти на доставчици и увереност
• Secure development policy за крипто-гъвкави инженерни практики

Най-добрият момент да започнете постквантово планиране е преди регулатор, одитор, клиент или член на съвета да поиска доказателства. Започнете с инвентара, свържете го с риска и изграждайте миграционния път с по едно контролирано решение наведнъж.