⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
ET EN BG CS DA DE EL ES FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 19

Krüptograafiliste võtmete haldus ISO 27001, NIS2 ja DORA jaoks

Igor Petreski
13 min read
#Riskijuhtimine #Audit #ISMS #Pilveturve #Andmekaitse #Juurdepääsukontroll #Logimine ja seire
Krüptograafiliste võtmete haldus ISO 27001, NIS2, DORA ja GDPR jaoks

Esmaspäeva hommikul kell 08.17 saab ühe Euroopa SaaS-ettevõtte infoturbejuht arendusjuhilt sõnumi: „Roteerisime nädalavahetusel andmebaasi krüpteerimisvõtme, kuid üks integratsioon lõpetas kirjete dekrüpteerimise. Pöörasime muudatuse tagasi, kasutades hoidlast vana võtit.“

Kümme minutit hiljem küsib andmekaitseametnik, kas mõjutatud kirjed sisaldavad EL-i isikuandmeid. Finantsosakond küsib, kas sellest võib saada reguleeritud kliendi jaoks teavitamiskohustuslik operatsiooniline intsident. Hankeüksus küsib, kas kliendi hallatava võtme omanik on pilveteenuse osutaja või ettevõte. Tegevjuht küsib nõukogusaalis ainsat olulist küsimust: „Kas me suudame tõendada, et haldasime seda nõuetekohaselt?“

See on hetk, mil „me kasutame krüptimist“ lakkab olemast rahustav fraas ja muutub tõendusmaterjali probleemiks.

  1. aastal asub krüptograafiliste võtmete haldus ISO/IEC 27001:2022 kontrollimeetmete, NIS2 küberhügieeni, DORA IKT-riski juhtimise, GDPR Article 32 töötlemise turvalisuse tõendusmaterjali, pilve jagatud vastutuse ja postkvant-krüptoagiilsuse planeerimise ristumiskohas. Tegelik küsimus ei ole selles, kas krüptimine on olemas. Tegelik küsimus on selles, kas organisatsioon suudab kirjete abil näidata, et võtmed genereeritakse turvaliselt, määratakse omanikele, säilitatakse heakskiidetud KMS-i või HSM-i keskkondades, roteeritakse graafiku alusel, taastatakse turvaliselt, tühistatakse kompromiteerimise korral ning seotakse äririskiga.

Clarysec näeb valmisolekutöödes sama mustrit korduvalt. Krüptimist rakendatakse süsteemide kaupa, kuid võtmehaldus on killustatud. Sertifikaadid elavad arvutustabelites. Pilve KMS-i õigused pärinevad vanadest projektidest. Arendajad teavad, millised saladused on olulised, kuid ISMS seda ei tea. Audiitoritele esitatakse elutsükli tõendusmaterjali asemel ekraanitõmmiseid. NIS2 ja DORA meeskonnad räägivad toimepidevusest, andmekaitsemeeskonnad räägivad GDPR-i krüptimisest ja pseudonüümimisest ning krüptograafilise kontrollikeskkonna kui terviku eest ei vastuta keegi.

Küps vastus ei ole eraldiseisvalt rohkem krüptograafiat. See on juhitud krüptograafiliste võtmete haldus, mis on seotud riskikäsitluse, pilvearhitektuuri, tarnijate järelevalve, juurdepääsukontrolli, logimise, intsidentidele reageerimise ja regulatiivse tõendusmaterjaliga.

Miks võtmehaldus on nüüd juhtimisküsimus

NIS2 muudab krüptograafia- ja krüptimispoliitikad oluliste ja tähtsate üksuste minimaalsete küberturbe riskijuhtimismeetmete osaks. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid, sealhulgas riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist arendust, küberhügieeni, juurdepääsukontrolli, varahaldust ning krüptograafia- ja krüptimispoliitikaid. Samuti nõuab see, et juhtorganid kinnitaksid küberturbe riskijuhtimismeetmed ja teostaksid nende üle järelevalvet.

SaaS-i, pilve-, hallatud teenuste ja küberturbe teenuseosutajate puhul võib kohaldatavus olla laiem, kui paljud meeskonnad eeldavad. NIS2 hõlmab selliseid sektoreid nagu digitaalne taristu, pilveteenuse osutajad, andmekeskuse teenuse osutajad, DNS-teenuse osutajad, usaldusteenuse osutajad, hallatud teenuse osutajad, hallatud turbeteenuse osutajad, veebiturud, otsingumootorid ja sotsiaalvõrgustiku platvormid, kui suuruse või kriitilisuse künnised on täidetud.

DORA tõstab finantsüksuste jaoks nõuete taset. Alates 17. jaanuarist 2025 nõuab DORA dokumenteeritud IKT-riski juhtimise raamistikku, juhatuse vastutust, IKT talitluspidevuse ning reageerimis- ja taasteplaane, digitaalse operatsioonilise toimepidevuse testimist, IKT kolmandate osapoolte riskijuhtimist ja intsidentidest teavitamist. Finantsüksuste puhul, mis on riiklike NIS2 eeskirjade alusel tuvastatud, toimib DORA sektoripõhise liidu õigusaktina samaväärsete NIS2 kohustuste jaoks. Fintech-ettevõte ei peaks pidama eraldi krüptograafia juhtimist NIS2, DORA ja ISO jaoks. Vaja on ühte kaitstavat kontrollimudelit.

GDPR lisab andmekaitsealase tõendusmaterjali mõõtme. GDPR Article 32 on koht, kus krüptimist hinnatakse sageli töötlemise turvalisuse kaitsemeetmena, kuid „andmed on krüpteeritud“ ei ole täielik vastus. Regulaatorid ja audiitorid küsivad, kes kontrollib võtmeid, kuidas juurdepääsu piiratakse, kuidas kompromiteerimist tuvastatakse, kuidas taaste toimib ning kas ülesehitus vastab andmesubjektidele avalduvale riskile.

ISO/IEC 27001:2022 annab organisatsioonidele juhtimissüsteemi nende kohustuste ühendamiseks. Punktid 4.1 kuni 4.4 nõuavad konteksti, huvitatud osapoolte nõuete, ISMS-i kohaldamisala ja omavahel toimivate protsesside määratlemist. Punktid 5.1 kuni 5.3 nõuavad juhtimist, poliitikat, ressursse ja määratud vastutusi. Punktid 6.1.1 kuni 6.1.3 nõuavad riskihindamist, riskikäsitlust, kontrollimeetmete valikut, kohaldatavusdeklaratsiooni ja riskiomaniku heakskiitu. Punktid 8.1 kuni 8.3 nõuavad kontrollitud toimimist, riskide kordushindamist muudatuste korral, käsitlusplaanide rakendamist ja dokumenteeritud tulemuste säilitamist.

Krüptograafiliste võtmete halduse puhul peab ISMS vastama viiele küsimusele:

  1. Millised teabevarad, andmevood ja teenused vajavad krüptograafilist kaitset?
  2. Millised võtmed, sertifikaadid, saladused ja krüptoteenused neid kaitsevad?
  3. Kes omab, haldab, kinnitab ja seirab neid krüptograafilisi varasid?
  4. Kuidas kontrollitakse genereerimist, säilitamist, kasutamist, roteerimist, deponeerimist, taastet, tühistamist ja hävitamist?
  5. Milline tõendusmaterjal tõendab, et kontrollimeetmed toimisid kavandatud viisil?

ISO 27001 kontrolliraamistik krüptograafiliste võtmete halduseks

Clarysec käsitleb krüptograafiliste võtmete haldust kontrollimeetmete ahelana, mitte üheainsa kontrollimeetmena. Dokumendis Zenith Controls: ristvastavuse juhend Zenith Controls kaardistub teema peamiselt ISO/IEC 27002:2022 kontrollimeetmele 8.24, krüptograafia kasutamine, ning sellel on olulised toetavad seosed kontrollimeetmetega 5.17, autentimisteave, ja 5.23, infoturve pilveteenuste kasutamisel.

See seos on oluline. Võtmehalduse tõrge ei ole enamasti lihtsalt „halb krüptimine“. Sageli on see autentimisprobleem, pilvejuhtimise probleem, tarnijaprobleem, logimislünk või muudatuste juhtimise tõrge.

ISO/IEC 27002:2022 valdkondMiks see on võtmehalduse jaoks olulineTüüpiline tõendusmaterjal
8.24 Krüptograafia kasutamineMääratleb heakskiidetud krüptograafilised kasutusjuhud, algoritmid, protokollid, võtmete elutsükli ja rakendamise ootusedKrüptograafiapoliitika, algoritmistandard, võtmete elutsükli protseduur, KMS-i konfiguratsioon, roteerimiskirjed
5.17 AutentimisteaveKaitseb autentimisandmeid, saladusi, tokeneid ja autentimismaterjali, mis on seotud privilegeeritud krüptograafiliste toimingutegaSaladuste register, hoidla juurdepääsulogid, privilegeeritud juurdepääsuõiguste ülevaatused, MFA tõendusmaterjal
5.23 Infoturve pilveteenuste kasutamiselMääratleb jagatud vastutuse, pilvevõtmete omandi, CMK või BYOK otsused ja teenuseosutaja juhtimisePilveteenuste register, jagatud vastutuse maatriks, KMS-i arhitektuur, tarnijate turbeülevaatus
5.19 kuni 5.22 Tarnijate turveTagab, et tarnijad ja IKT teenuseosutajad vastavad krüptimise, võtmete valduse, intsidentide ja auditi nõueteleLepingud, taustakontroll, tarnijate kindluse tõendid, seireülevaatused
5.24 kuni 5.28 IntsidendihaldusSeob kahtlustatava võtme kompromiteerimise sündmuse hindamise, reageerimise, õppetundide ja tõendite kogumisegaIntsidendi tööjuhised, võtme kompromiteerimise tööjuhised, digitaalse kohtuekspertiisi logid, saadud õppetunnid
8.15 ja 8.16 Logimine ja seireTuvastab volitamata võtmekasutuse, kahtlased API-kutsed, ebaõnnestunud dekrüpteerimiskatsed ja poliitikamuudatusedSIEM-i teavitused, KMS-i auditilogid, anomaaliatuvastuse reeglid
8.32 Muudatuste juhtimineKontrollib roteerimisi, migratsioone, algoritmide uuendusi, erakorralist tühistamist ja postkvant-ülemineku töödMuudatuste piletid, heakskiidud, tagasipööramise plaanid, testitulemused

Zenith Blueprint: audiitori 30-sammuline teekaart Zenith Blueprint muudab selle operatiivseks riskijuhtimise faasis, sammus 14, riskikäsitluse poliitikad ja regulatiivsed ristviited. Selle krüptograafiapoliitika näidis ütleb, et organisatsioon peab määratlema, kus krüptograafiat vajatakse, kinnitama algoritmid ja protokollid, määratlema võtmehalduse, hõlmama kasutusjuhud nagu täisketta krüpteerimine ja turvaline side ning siduma poliitika GDPR Article 32-ga.

„Krüpteerimisvõtmeid tuleb hoida turvaliselt (nt võtmehoidlas/HSM-is) ning juurdepääs peab olema piiratud volitatud töötajatega.“
Allikas: Zenith Blueprint, riskijuhtimise faas, samm 14, riskikäsitluse poliitikad ja regulatiivsed ristviited Zenith Blueprint

Kontrollimeetmete rakendamise faasis, sammus 20, läheb Zenith Blueprint sügavamale. Krüptograafia ei tähenda „krüptimise sisselülitamist“. See tähendab krüptograafia lõimimist arhitektuuri, poliitikasse ja elutsükli haldusse. See hõlmab andmeid puhkeolekus, andmeid edastamisel, identiteetide ja tehingute autentimist, heakskiidetud algoritme, võtmehoidlaid, HSM-e, plaanilist roteerimist, tühistamist ning valideerimist penetratsioonitestimise ja koodi läbivaatuse kaudu.

Mida audiitorid ootavad võtmete tõendusmaterjali küsides

Enamik auditileide algab lihtsa päringuga: „Näidake oma krüptimispoliitikat ja võtmehalduse kirjeid.“

Nõrgad vastused on näiteks:

  • „Pilveteenuse osutaja krüpteerib kõik vaikimisi.“
  • „Me kasutame TLS-i.“
  • „Saladused on hoidlas.“
  • „Roteerimisega tegeleb arendusmeeskond.“
  • „Võtit haldab rakendus.“

Need väited võivad tehniliselt olla tõesed, kuid need ei ole täielik tõendusmaterjal. ISO audiitor seob võtmehalduse tagasi riskihindamise, kohaldatavusdeklaratsiooni, poliitikanõuete, operatiivse kontrolli ja säilitatava dokumentatsiooniga. NIST CSF-i hindaja küsib, kas krüptograafilised varad on tuvastatud, kaitstud, seiratud ja taastatavad. DORA audiitor otsib juhatuse kinnitatud IKT-riski juhtimist, kolmandate osapoolte sõltuvusi, intsidendihaldust ja toimepidevuse testimist. GDPR-i läbivaataja küsib, kas krüptimine ja võtmete eraldamine vähendavad andmesubjektidele avalduvat riski ning kas vastutav töötleja suudab tõendada vastutust.

Clarysec’i ettevõtte Krüptograafiliste kontrollimeetmete poliitika Krüptograafiliste kontrollimeetmete poliitika käsitleb tõendusmaterjali lünka otse:

„Kõigi krüptograafiliste võtmete, nende elutsükli staatuse, määratud haldurite ja kasutuskontekstide registreerimiseks tuleb pidada keskset võtmehalduse registrit.“
Allikas: ettevõtte poliitika, Krüptograafiliste kontrollimeetmete poliitika, juhtimisnõuded, punkt 5.2 Krüptograafiliste kontrollimeetmete poliitika

See lause muudab auditivestlust. Mitteametlike teadmiste tagaajamise asemel saab organisatsioon näidata registrit, mis seob võtmed varade, omanike, andmeklassifikatsioonide, süsteemide, pilvekontode, roteerimiskuupäevade, kasutuskontekstide ja tõendusmaterjaliga.

VKE-de jaoks skaleerib Clarysec’i Cryptographic Controls Policy-sme Cryptographic Controls Policy-sme - VKE sama ootuse:

„IT-tugiteenuse osutaja peab pidama ajakohast registrit kasutusel olevatest krüptograafilistest tööriistadest ja sertifikaatidest.“
Allikas: VKE poliitika, Cryptographic Controls Policy-sme, juhtimisnõuded, punkt 5.1.2 Cryptographic Controls Policy-sme - VKE

Reguleeritud finantsasutus võib vajada HSM-i tseremooniaid, teadmuse jagamist, kahekordset kontrolli, ametlikke haldurite määramisi ja kvartalipõhiseid juurdepääsuõiguste ülevaatusi. Väike SaaS-teenuse osutaja võib alustada hooldatud registrist, heakskiidetud algoritmidest, dokumenteeritud KMS-i omandist ja roteerimise tõendusmaterjalist. Mõlemad vajavad riskiga proportsionaalset juhtimist.

Võtmete elutsükkel, mida sinu ISMS peab kontrollima

Praktiline võtmehalduse programm järgib elutsüklit. Igal etapil peab olema omanik, heakskiidetud meetod, tehniline kontroll, muudatuskirje ja auditi tõendusmaterjal.

Elutsükli etappVõtmehalduse küsimusKontrolliootusTõendusmaterjali näide
KlassifitseerimineMillised andmed või tehingud vajavad krüptograafilist kaitset?Andmete klassifitseerimine tuvastab isikuandmed, finantsandmed, autentimisandmed, logid, varukoopiad ja tundlikud konfiguratsioonidAndmete klassifitseerimise register, krüptimisnõuete maatriks
ArhitektuurMilline krüptograafiline meetod on heaks kiidetud?Heakskiidetud algoritmid, protokollid, teegid ja võtmete pikkused on määratletud ja läbi vaadatudKrüptograafiastandard, arhitektuuriotsuse kirje
GenereerimineKuidas võtmed turvaliselt luuakse?Võtmed genereeritakse heakskiidetud KMS-is, HSM-is või valideeritud moodulites, mitte käsitsi ega lähtekoodisKMS-i võtme loomise logid, HSM-i tseremoonia kirje
MääramineKes omab ja haldab võtit?Määratakse äriomanik, tehniline haldur ja varuhaldurVõtmehalduse register
SäilitamineKus võtit hoitakse?Võtmeid hoitakse KMS-is, HSM-is või hoidlas koos juurdepääsukontrollide ja auditilogimisegaKMS-i poliitika, hoidla konfiguratsioon, juurdepääsulogid
KasutamineMillised süsteemid saavad võtit kasutada?Rakendatakse vähima privileegi põhimõtet, töökoormuse identiteeti, ülesannete lahusust ja heakskiidetud API-juurdepääsuIAM-i poliitika, teenusekonto vastendus
RoteerimineMillal ja miks võtit roteeritakse?Plaaniline roteerimine ning sündmuspõhine roteerimine kompromiteerimise või rollimuudatuse korralRoteerimisgraafik, muudatuste piletid, testitulemused
Deponeerimine ja taasteKuidas saavad teenused taastuda ilma võtmeid paljastamata?Varundus- ja taasteprotseduure testitakse ning juurdepääsu kontrollitakseTaastetest, deponeerimise heakskiidu kirje
TühistamineMis juhtub kompromiteerimise või kasutuselt kõrvaldamise järel?Võtmed ja sertifikaadid tühistatakse või keelatakse ning sõltuvad süsteemid uuendatakseIntsidendi pilet, tühistamislogi
HävitamineKuidas kasutuselt kõrvaldatud võtmed hävitatakse?Turvaline kustutamine või krüptograafiline kustutamine järgib säilitamise ja õiguslikke nõudeidHävitamiskirje, KMS-i kustutamisgraafik

Ettevõtte Krüptograafiliste kontrollimeetmete poliitika rõhutab turvalist genereerimist:

„Võtmete genereerimine: tehakse turvaliste riistvara- või tarkvaramoodulite abil (nt HSM-id, FIPS 140-2 valideeritud süsteemid).“
Allikas: ettevõtte poliitika, Krüptograafiliste kontrollimeetmete poliitika, poliitika rakendamise nõuded, punkt 6.3.1 Krüptograafiliste kontrollimeetmete poliitika

Samuti määratleb see roteerimise:

„Võtmete roteerimine: nõutav määratud intervallidega või viivitamata kompromiteerimise või rollimuudatuse korral.“
Allikas: ettevõtte poliitika, Krüptograafiliste kontrollimeetmete poliitika, poliitika rakendamise nõuded, punkt 6.3.4 Krüptograafiliste kontrollimeetmete poliitika

VKE-de puhul väljendub sama põhimõte lihtsamas tegevuskeeles:

„Võtmete roteerimine peab toimuma vastavalt aegumisgraafikutele või kahtlustatava kompromiteerimise korral.“
Allikas: VKE poliitika, Cryptographic Controls Policy-sme, poliitika rakendamise nõuded, punkt 6.3.4 Cryptographic Controls Policy-sme - VKE

Need punktid on NIS2 ja DORA jaoks olulised, sest aegunud või nõrgalt juhitud võtmed ei ole ainult konfidentsiaalsuse nõrkused. Need võivad muutuda intsidentidele reageerimise takistusteks, tarnijasõltuvuse probleemideks, katastroofitaaste tõrgeteks ja klientide teavitamise probleemideks.

Pilve KMS, HSM ja BYOK: jagatud vastutuse lõks

Pilvekrüptimine on üks levinumaid näilise kindluse allikaid. Pilveteenuse osutaja võib salvestuse vaikimisi krüpteerida, kuid see ei tähenda automaatselt, et sinu organisatsioon on võtit juhtinud.

Zenith Blueprint, kontrollimeetmete rakendamise faas, samm 23, selgitab ISO/IEC 27002:2022 kontrollimeedet 5.23, keskendudes pilvejuhtimisele, nähtavusele ja jagatud vastutusele. See rõhutab, et teenuseosutaja võib turvata taristu, kuid klient jääb vastutavaks andmete, konfiguratsioonide, juurdepääsupoliitikate ja intsidentidele reageerimise valmisoleku eest.

„Pilveteenuse osutajad turvavad taristu, kuid sina vastutad endiselt oma andmete, konfiguratsioonide, juurdepääsupoliitikate ja intsidentidele reageerimise valmisoleku eest.“
Allikas: Zenith Blueprint, kontrollimeetmete rakendamise faas, samm 23, organisatsioonilised kontrollimeetmed 5.19-5.37 Zenith Blueprint

Siin muutub vastutus pilvevõtmete eest juhatuse tasandi riskiks. SaaS-ettevõte võib kasutada teenuseosutaja hallatavat krüptimist madala riskiga logide jaoks, kliendi hallatavaid võtmeid kliendiandmebaaside jaoks, BYOK-i reguleeritud rentnike jaoks ning HSM-iga kaitstud juurvõtmeid allkirjastamiseks või tokeniseerimiseks. Igal valikul on vastavusmõjud.

Clarysec’i ettevõtte Pilveteenuste kasutamise poliitika Pilveteenuste kasutamise poliitika annab selge kontrollisuuna:

„Kliendi hallatavaid võtmeid (CMK) või oma võtme toomise mudelit (BYOK) tuleb kasutada seal, kus pilveteenuse osutaja seda toetab.“
Allikas: ettevõtte poliitika, Pilveteenuste kasutamise poliitika, poliitika rakendamise nõuded, punkt 6.4.2 Pilveteenuste kasutamise poliitika

See ei tähenda, et iga pilveteenus peab kasutama BYOK-i. See tähendab, et organisatsioon peab tegema teadliku otsuse riski, kliendikohustuste, lepinguliste nõuete ja taastatavuse alusel.

Võtme omandimudelSobiv kasutusjuhtJuhtimise fookus
Teenuseosutaja hallatavad võtmedMadala riskiga telemeetria, mittetundlikud logid, standardne platvormikrüptimineKinnita teenuseosutaja kontrollimeetmed, dokumenteeri riskialus, seira teenuse konfiguratsiooni
Kliendi hallatavad võtmedTootmisandmebaasid, varukoopiad, kliendikirjed, reguleeritud töökoormusedMäära omanik, piira juurdepääsu, logi võtmekasutus, roteeri ja testi taastet
BYOK või väline võtmehaldusKõrge riskiga rentnikud, lepinguline eraldamine, reguleeritud kliendikohustusedHalda importi, valdust, tühistamist, tarnijatingimusi ja toimepidevuse testimist
HSM-iga kaitstud võtmedJuurallkirjastamisvõtmed, sertifitseerimiskeskused, tokeniseerimine ja kõrge väärtusega saladusedRakenda kahekordset kontrolli, tseremooniakirjeid, ülesannete lahusust ja ranget juurdepääsu seiret

DORA Article 28 ja Article 30 muudavad selle finantsüksuste jaoks eriti oluliseks. Need nõuavad IKT kolmandate osapoolte riskijuhtimist, IKT lepinguliste kokkulepete registreid, taustakontrolli, auditi- ja kontrolliõigusi, abi intsidentide korral, andmekaitset ja juurdepääsu, taastamise ning tagastamise sätteid. Kui pilveteenuse osutaja või SaaS-tarnija haldab krüpteerimisvõtmeid kriitilise või olulise funktsiooni jaoks, peab see suhe olema nähtav IKT kolmandate osapoolte registris ja lepingulistes kontrollimeetmetes.

NIS2 nõuab ka tarneahela turvet, sealhulgas tarnijapõhiseid haavatavusi, küberturbepraktikaid ja turvalise arenduse protseduure. Kui kriitiline tarnija hoiab sinu võtmeid, käitab sinu KMS-i, pakub sinu HSM-i, haldab sinu sertifikaatide elutsüklit või majutab krüpteeritud varukoopiaid, on tarnija osa sinu krüptograafilisest kontrollikeskkonnast.

Algoritmide heakskiit ja krüptoagiilsus 2026. aastal

  1. aasta võtmehalduse poliitika ei peaks piirduma loeteluga „AES-256“ ja „TLS 1.2 või uuem“. See peab kehtestama heakskiidu- ja läbivaatamisprotsessi, mis toetab krüptoagiilsust. Krüptoagiilsus tähendab, et organisatsioon suudab tuvastada, kus kasutatakse algoritme, protokolle, sertifikaate ja võtmete pikkusi, hinnata kokkupuudet nõrkuse või aegumisega ning migreeruda paanikata.

Clarysec’i VKE poliitika sätestab:

„Kasutada võib ainult IT-tugiteenuse osutaja heaks kiidetud valdkonna parimate tavade algoritme ja protokolle (nt AES-256, RSA 2048, TLS 1.2 või uuem).“
Allikas: VKE poliitika, Cryptographic Controls Policy-sme, poliitika rakendamise nõuded, punkt 6.2.1 Cryptographic Controls Policy-sme - VKE

Samuti nõuab see dokumenteerimist:

„Kõik krüptimismeetodid (nt AES-256, TLS 1.2+) ja võtmehalduse protsessid tuleb dokumenteerida.“
Allikas: VKE poliitika, Cryptographic Controls Policy-sme, juhtimisnõuded, punkt 5.3.1 Cryptographic Controls Policy-sme - VKE

Auditivalmis versioon on heakskiidetud krüptograafiastandard, mis sisaldab:

  • Lubatud algoritme ja protokolle andmete jaoks puhkeolekus, andmete jaoks edastamisel, allkirjade, parooliräsi, tokeniseerimise ja varukoopiate jaoks.
  • Keelatud algoritme, protokolle ja teeke.
  • Minimaalseid võtmete pikkusi ja sertifikaatide kehtivusaegu.
  • Heakskiidetud KMS-i, HSM-i, sertifitseerimiskeskuse ja saladuste halduse platvorme.
  • Turvalise juhuarvude genereerimise nõudeid.
  • Arendajate juhiseid krüptograafiliste teekide kasutamiseks.
  • Erandiprotsessi pärandsüsteemide jaoks.
  • Läbivaatamise aluseid haavatavuste, regulatiivsete muudatuste, tarnijamuudatuste ja postkvant-ülemineku planeerimise jaoks.

Postkvant-planeerimine ei nõua, et iga organisatsioon asendaks kohe kogu krüptograafia. See nõuab registrit. Ilma krüptograafilise registrita ei ole võimalik teada, millised süsteemid kasutavad pikaealist avaliku võtme krüptimist, millised sertifikaadid kaitsevad kriitilisi teenuseid, kus asuvad allkirjastamisvõtmed või millised tarnijad peavad migratsiooni toetama. Võtmehalduse register ei ole bürokraatia. See on krüptoagiilsuse alus.

90-minutiline võtmehalduse tõendusmaterjali sprint

Clarysec kasutab juhtkonna, turbe-, pilve- ja vastavusmeeskondadega sageli lühikest tõendusmaterjali sprinti. Eesmärk on muuta hajutatud võtmeteadmus kiiresti auditi tõendusmaterjaliks.

Samm 1: vali üks kriitiline teenus

Vali süsteem, mis on oluline NIS2, DORA või GDPR-i jaoks. Näited hõlmavad kliendiidentiteeti, maksete töötlemist, tehingute seiret, tootmiskeskkonna kliendiandmebaasi, krüpteeritud varundusplatvormi või kliendile suunatud API-t.

Samm 2: ava võtmehalduse register

Kasuta struktuurina Krüptograafiliste kontrollimeetmete poliitika nõuet keskse registri kohta. Kui seda veel ei ole, loo lihtne register järgmiste väljadega:

RegistriväliNäidiskirje
Võtme või sertifikaadi IDprod-db-cmk-eu-west-01
KasutuskontekstTootmiskeskkonna kliendiandmebaasi krüptimine
Kaitstud andmedEL-i klientide isikuandmed ja arvelduse metaandmed
OmanikPlatvormijuht
HaldurPilveturbe juht
SäilitamiskohtPilve KMS, EL-i piirkond
Võtme tüüpKliendi hallatav sümmeetriline võti
Loomise kuupäev2026-01-14
Roteerimissagedus180 päeva
Viimane roteerimine2026-04-10
Järgmine roteerimine2026-10-07
JuurdepääsumudelAinult teenuseroll, administraator hädaolukorra juurdepääsu rühma kaudu
LogimineKMS API logid edastatakse SIEM-i
TaastemeetodKMS-i varukoopia ja testitud taasteprotseduur
TarnijasõltuvusPilveteenuse osutaja KMS
Vastavuse kaardistusISO 8.24, 5.17, 5.23, GDPR Article 32, NIS2 Article 21, DORA IKT-risk
Tõendusmaterjali linkMuudatuse pilet, KMS-i ekraanitõmmis, IAM-i läbivaatamine, logipäring, taastetest

Samm 3: jälgi juurdepääsu ja kahekordset kontrolli

Kõrge mõjuga krüptograafiliste toimingute puhul rakenda kahekordset kontrolli ja vähima privileegi põhimõtet. Ettevõtte Krüptograafiliste kontrollimeetmete poliitika sätestab:

„Tundlikele krüptograafilistele toimingutele (nt juurvõtmete import, HSM-i haldus) tuleb rakendada kahekordse kontrolli ja vähima privileegi põhimõtteid.“
Allikas: ettevõtte poliitika, Krüptograafiliste kontrollimeetmete poliitika, poliitika rakendamise nõuded, punkt 6.6.2 Krüptograafiliste kontrollimeetmete poliitika

Küsi:

  • Kes saab võtme keelata või kustutada?
  • Kes saab võtme poliitikat muuta?
  • Kes saab andmeid otse dekrüpteerida?
  • Kas hädaolukorra juurdepääsu rollid on seiratud ja ajaliselt piiratud?
  • Kas privilegeeritud võtmetoimingute jaoks on MFA kohustuslik?
  • Kas privilegeeritud tegevused logitakse ja vaadatakse läbi?

Samm 4: võta välja viis tõendusmaterjali kirjet

Kogu viis kirjet, mis tõendavad kontrollimeetme toimimist:

  1. Võtme loomise või importimise logi.
  2. Kehtiv KMS-i või HSM-i juurdepääsupoliitika.
  3. Viimase võtmeroteerimise muudatuse pilet.
  4. SIEM-i päring, mis näitab võtmekasutust või haldustegevusi.
  5. Taaste- või taastetesti tõendusmaterjal.

Samm 5: kaardista riskile ja regulatsioonile

Lisa lühike riskilause: „Selle võtme volitamata kasutamine või kaotus võib avalikustada EL-i isikuandmeid, häirida klienditeenust ja kahjustada kriitiliste süsteemide taastamist.“ Seejärel kaardista see asjakohastele kohustustele.

KohustusMida tõendusmaterjal toetab
ISO/IEC 27001:2022 punktid 6 ja 8Riskikäsitlus, operatiivne kontroll, dokumenteeritud tulemused
ISO/IEC 27002:2022 8.24Krüptograafia heakskiidetud kasutus ja võtmete elutsükli kontroll
NIS2 Article 21Krüptograafia- ja krüptimispoliitikad, küberhügieen, juurdepääsukontroll, varahaldus
DORA Articles 5, 6, 17, 28 ja 30IKT juhtimine, IKT-riski raamistik, intsidendiprotsess, kolmandate osapoolte sõltuvused ja lepingud
GDPR Article 5 ja Article 32Vastutus, terviklus ja konfidentsiaalsus, töötlemise turvalisus
NIST CSF 2.0Varade tuvastamine, andmete kaitsmine, anomaaliate tuvastamine, reageerimine ja taastamine

90 minutiga saab meeskond tavaliselt kindlaks teha, kas võtmehaldus on tegelik või üksnes eeldatud.

Intsidentidest teavitamine: millal võtme kompromiteerimine käivitab kella

Kahtlustatav võtme kompromiteerimine ei ole automaatselt teavitamiskohustuslik rikkumine, kuid see võib käivitada regulatiivse tähtaja.

NIS2 kohaselt peavad olulised ja tähtsad üksused teavitama teenuse osutamist mõjutavatest olulistest intsidentidest põhjendamatu viivituseta. Etapiline mudel sisaldab varajast hoiatust 24 tunni jooksul alates teadlikuks saamisest, intsidenditeadet 72 tunni jooksul, staatuse uuendusi nõudmise korral ning lõpparuannet hiljemalt ühe kuu jooksul pärast intsidenditeadet.

DORA kohaselt peavad finantsüksused tuvastama, haldama ja teavitama IKT-ga seotud intsidentidest, registreerima intsidente ja olulisi küberohte, klassifitseerima intsidendid tõsiduse ja mõjutatud teenuse kriitilisuse järgi, suhtlema sidusrühmadega, teatama olulistest intsidentidest kõrgemale juhtkonnale ja pädevatele asutustele, tegema algpõhjuse analüüsi ning rakendama parandusmeetmeid. Teavitamise allhange võib olla võimalik, kuid vastutus jääb finantsüksusele.

GDPR-i puhul muutub küsimuseks, kas toimus isikuandmetega seotud rikkumine, mis tähendab isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist, volitamata avalikustamist või neile juurdepääsu. Tugev krüptimine kompromiteerimata võtmetega võib rikkumisriski analüüsi oluliselt muuta. Nõrk võtmehaldus võib selle argumendi õõnestada.

Võtme kompromiteerimise tööjuhised peavad määratlema:

  • Kuidas tuvastatakse kahtlustatav võtme avalikustumine.
  • Kes kuulutab välja krüptograafilise intsidendi.
  • Kuidas tuvastatakse mõjutatud andmed, teenused, kliendid ja jurisdiktsioonid.
  • Kuidas võtmed tühistatakse või roteeritakse.
  • Kuidas sõltuvad süsteemid taastatakse.
  • Kuidas säilitatakse tõendusmaterjali terviklus.
  • Kuidas tehakse õiguslikud, regulatiivsed ja klientide teavitamise otsused.

Võtmehalduse register muutub selle protsessi ajal hädavajalikuks. Ilma selleta raiskavad reageerijad aega tuvastamaks, mida võti kaitses. Registri abil saavad nad mõju kiiresti piiritleda.

Auditi vaade: üks kontrollikomplekt, palju tõendusmaterjali tarbijaid

Eri audiitorid lähenevad krüptograafiliste võtmete haldusele eri taustast, kuid nad jõuavad sama tõendusmaterjalini.

Audiitori vaadeTõenäoline auditi küsimusToimiv tõendusmaterjal
ISO/IEC 27001:2022 audiitorKas krüptograafiliste võtmete haldus valiti riskikäsitluse kaudu, dokumenteeriti kohaldatavusdeklaratsioonis ja toimib kavandatult?Riskihindamine, kohaldatavusdeklaratsioon, krüptograafiapoliitika, võtmehalduse register, roteerimiskirjed
NIST CSF-i hindajaKas krüptograafilised varad on tuvastatud, kaitstud, seiratud ja taastatavad?Varade ja andmete registrid, juurdepääsukontrollid, KMS-i logid, SIEM-i teavitused, reageerimis- ja taastekirjed
DORA audiitorKas võtmesõltuvused on osa IKT-riski juhtimisest, kolmandate osapoolte järelevalvest, toimepidevuse testimisest ja intsidentidest teavitamisest?IKT-riski raamistik, kolmandate osapoolte register, pilve KMS-i lepingud, talitluspidevuse testid, intsidentide klassifitseerimise protsess
GDPR-i läbivaatajaKas krüptimine vähendab andmesubjektidele avalduvat riski ja kas vastutav töötleja suudab vastutust tõendada?Andmete klassifitseerimine, võtmete eraldamine, juurdepääsulogid, krüptimisdisain, rikkumisriski hindamine
ISACA või COBIT 2019 audiitorKas juhtimiseesmärgid, riskivastutus, kontrollimeetmete toimivus ja juhtkonna vastutus on määratletud?RACI, kontrollimõõdikud, juhtkonnapoolne läbivaatamine, erandiregister, auditi parandusmeetmete jälgimine

Tugev auditi pakett krüptograafiliste võtmete halduseks sisaldab tavaliselt järgmist:

  • Heakskiidetud krüptograafiliste kontrollimeetmete poliitika.
  • Heakskiidetud pilveteenuste kasutamise poliitika, kui pilvekrüptimine on asjakohane.
  • Krüptograafiastandard ja algoritmide loend.
  • Võtmehalduse register.
  • Sertifikaatide ja saladuste register.
  • KMS-i, HSM-i ja hoidla arhitektuur.
  • IAM-i ja privilegeeritud juurdepääsuõiguste ülevaatamise tõendusmaterjal.
  • Roteerimis- ja tühistamiskirjed.
  • Varunduse, deponeerimise ja taastetestide tõendusmaterjal.
  • Võtmetegevuse logimise ja seire reeglid.
  • Tarnija ja pilve jagatud vastutuse kaardistus.
  • Intsidendi tööjuhis kahtlustatava võtme kompromiteerimise jaoks.
  • Erandid ja riskide aktsepteerimised.
  • Juhtkonnapoolse läbivaatamise ja auditi parandusmeetmete kirjed.

See pakett muudab kontrolliväite tõendiks.

Levinud leiud võtmehalduse auditites

Kõige levinumad leiud on välditavad:

  1. Puudub ühtne võtmete, sertifikaatide ja krüptograafiliste tööriistade register.
  2. Pilveteenuse osutaja vaikimisi krüptimist käsitletakse täieliku võtmehaldusena.
  3. Tootmiskeskkonna võtmetele ei ole määratud omanikku ega haldurit.
  4. Roteerimine on olemas sertifikaatide jaoks, kuid mitte rakendusvõtmete või andmebaasi CMK-de jaoks.
  5. Saladused ja võtmed on samas hoidlas ilma klassifitseerimiseta.
  6. Arendajad saavad luua võtmeid väljaspool heakskiidetud mustreid.
  7. Puudub tõendusmaterjal selle kohta, et KMS-i administraatoreid vaadatakse läbi.
  8. Taasteprotseduurid on olemas, kuid neid ei ole kunagi testitud.
  9. Võtme kompromiteerimine ei sisaldu intsidentidele reageerimise tööjuhistes.
  10. Pärandalgoritmid püsivad siseteenustes, sest keegi ei vastuta parandusmeetmete eest.
  11. BYOK-kohustused võetakse kliendilepingutes, kuid need ei kajastu tegevustes.
  12. Tarnija hallatav krüptimine ei sisaldu tarnijariskide ülevaatustes.

Iga leid kaardistub tagasi juhtimisele. Seetõttu ei saa krüptograafiat käsitleda puhtalt inseneriprojektina. See peab olema seotud ISMS-i kohaldamisala, riskikäsitluse, poliitika, tarnijate, pilve, juurdepääsu, logimise, intsidentide ja talitluspidevusega.

Muuda võtmehaldus auditivalmiks enne järgmist intsidenti

Kui sinu organisatsioon valmistub NIS2, DORA, GDPR Article 32 tõendusmaterjali, ISO/IEC 27001:2022 sertifitseerimise või postkvant-krüptoagiilsuse jaoks, alusta ühest küsimusest: kas suudad täna esitada täieliku võtmehalduse registri?

Kui ei, saab Clarysec aidata sul selle ümber kontrollisüsteemi üles ehitada.

Kasuta Zenith Blueprinti Zenith Blueprint, et struktureerida töö riskijuhtimise faasi sammu 14 ja kontrollimeetmete rakendamise faasi sammu 20 kaudu. Kasuta Zenith Controlsi Zenith Controls, et kaardistada ISO/IEC 27002:2022 kontrollimeetmed 8.24, 5.17 ja 5.23 NIS2, DORA, GDPR-i, NIST-i ja auditiootuste lõikes. Kasuta Clarysec’i Krüptograafiliste kontrollimeetmete poliitikat Krüptograafiliste kontrollimeetmete poliitika, Cryptographic Controls Policy-sme Cryptographic Controls Policy-sme - VKE ja Pilveteenuste kasutamise poliitikat Pilveteenuste kasutamise poliitika, et muuta nõuded tegevusreegliteks.

Praktiline järgmine samm on lihtne: vali üks kriitiline teenus, registreeri selle võtmed, tõenda omand, valideeri juurdepääs, kogu roteerimise tõendusmaterjal ja testi taastet. Kui see võtab rohkem kui ühe päeva, vajab sinu krüptograafiline juhtimine tähelepanu enne, kui regulaator, audiitor või intsidentidele reageerimise meeskond esitab sama küsimuse surve all.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

CI/CD konveierite turbejuhtimine 2026. aasta audititeks

CI/CD konveierite turbejuhtimine 2026. aasta audititeks

Praktiline juhend CISO-le CI/CD konveierite käsitlemiseks auditeeritavate tarkvara tarneahela süsteemidena, hõlmates kooste päritolu, kõvendatud käitureid, allkirjastatud artefakte, juurutustõendeid ja Clarysec poliitikakaardistusi.