Bainistíocht eochracha cripteagrafacha le haghaidh ISO 27001, NIS2 agus DORA
Ag 08:17 maidin Luain, faigheann CISO cuideachta SaaS Eorpaí teachtaireacht ón gceannaire innealtóireachta: “Rinneamar eochair chriptithe an bhunachair sonraí a rothlú thar an deireadh seachtaine, ach stop comhtháthú amháin de thaifid a dhíchriptiú. Rinneamar rolladh siar le sean-eochair ón mboghta.”
Deich nóiméad ina dhiaidh sin, fiafraíonn an tOifigeach Cosanta Sonraí (DPO) an bhfuil sonraí pearsanta AE sna taifid lena mbaineann. Fiafraíonn an fhoireann Airgeadais an bhféadfadh sé seo a bheith ina theagmhas oibríochtúil inthuairiscithe do chustaiméir rialáilte. Fiafraíonn an fhoireann Soláthair an leis an soláthraí néalríomhaireachta nó leis an gcuideachta an eochair arna bainistiú ag custaiméir. Cuireann an Príomhfheidhmeannach (POF) an t-aon cheist atá tábhachtach sa seomra boird: “An féidir linn a chruthú gur bhainistíomar é seo i gceart?”
Sin é an tráth a stopann “úsáidimid criptiú” de bheith ina ráiteas compordach agus a éiríonn sé ina cheist fianaise.
In 2026, tá bainistíocht eochracha cripteagrafacha suite ag croílár rialuithe ISO/IEC 27001:2022, sláinteachas cibearshlándála NIS2, bainistíocht riosca TFC DORA, fianaise ar shlándáil próiseála faoi GDPR Article 32, freagracht chomhroinnte sa néal agus pleanáil lúfarachta cripteagrafaí iar-chandamaí. Ní hé an cheist cheart an bhfuil criptiú ann. Is í an cheist cheart an féidir leis an eagraíocht a léiriú, le taifid, go ngintear eochracha go slán, go sanntar úinéirí dóibh, go stóráiltear iad i dtimpeallachtaí KMS nó HSM ceadaithe, go rothlaítear iad de réir sceidil, go n-athshlánaítear iad go sábháilte, go gcúlghairtear iad nuair a bhíonn siad comhréitithe agus go mapáiltear iad chuig riosca gnó.
Feiceann Clarysec an patrún céanna arís agus arís eile in obair ullmhachta. Cuirtear criptiú i bhfeidhm córas ar chóras, ach bíonn rialachas eochracha ilroinnte. Bíonn teastais i scarbhileoga. Tagann ceadanna KMS néalríomhaireachta le hoidhreacht ó sheantionscadail. Tá a fhios ag forbróirí cé na rúin atá tábhachtach, ach níl sé sin le feiceáil san ISMS. Faigheann iniúchóirí gabhálacha scáileáin seachas fianaise saolré. Labhraíonn foirne NIS2 agus DORA faoi athléimneacht, labhraíonn foirne príobháideachais faoi chriptiú GDPR agus faoi bhréagainmniú, agus níl úinéir deireadh go deireadh ar an bplána rialaithe cripteagrafach ag aon duine.
Ní hé níos mó cripteagrafaíochta ina haonar an freagra aibí. Is é an freagra bainistíocht eochracha cripteagrafacha faoi rialachas, nasctha le cóireáil riosca, ailtireacht néalríomhaireachta, maoirseacht soláthraithe, rialú rochtana, logáil, freagairt do theagmhais agus fianaise rialála.
Cén fáth ar saincheist rialachais í bainistíocht eochracha anois
Déanann NIS2 beartais chripteagrafaíochta agus chriptithe de chuid de na bearta íosta bainistíochta riosca cibearshlándála d’eintitis riachtanacha agus thábhachtacha. Éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla atá iomchuí agus comhréireach, lena n-áirítear anailís riosca, láimhseáil teagmhas, leanúnachas, slándáil slabhra soláthair, forbairt shlán, sláinteachas cibearshlándála, rialú rochtana, bainistíocht sócmhainní, agus beartais chripteagrafaíochta agus chriptithe. Éilíonn sé freisin ar chomhlachtaí bainistíochta bearta bainistíochta riosca cibearshlándála a fhaomhadh agus faireachán a dhéanamh orthu.
I gcás soláthraithe SaaS, néalríomhaireachta, seirbhísí bainistithe agus cibearshlándála, féadfaidh infheidhmeacht a bheith níos leithne ná mar a shamhlaíonn go leor foirne. Clúdaíonn NIS2 earnálacha amhail bonneagar digiteach, soláthraithe seirbhísí ríomhaireachta néil, soláthraithe ionad sonraí, soláthraithe DNS, soláthraithe seirbhísí iontaobhais, soláthraithe seirbhísí bainistithe, soláthraithe seirbhísí slándála bainistithe, margaí ar líne, innill chuardaigh agus ardáin líonraithe shóisialta nuair a chomhlíontar tairseacha méide nó criticiúlachta.
Ardaíonn DORA an caighdeán d’eintitis airgeadais. Ón 17 Eanáir 2025, éilíonn DORA creat doiciméadaithe bainistíochta riosca TFC, cuntasacht ar leibhéal an bhoird, pleananna leanúnachais gnó TFC agus freagartha agus athshlánaithe, tástáil athléimneachta oibríochtúla digití, bainistíocht riosca tríú páirtí TFC agus tuairisciú teagmhas. Maidir le heintitis airgeadais a shainaithnítear faoi rialacha náisiúnta NIS2, feidhmíonn DORA mar ghníomh dlíthiúil earnáilshonrach an Aontais le haghaidh oibleagáidí coibhéiseacha NIS2. Níor cheart do fintech rialachas cripteagrafaíochta ar leithligh a reáchtáil do NIS2, DORA agus ISO. Teastaíonn samhail rialaithe amháin atá inchosanta uaidh.
Cuireann GDPR gné na fianaise príobháideachais leis. Is é GDPR Article 32 an áit a ndéantar criptiú a mheas go minic mar choimirce slándála próiseála, ach ní freagra iomlán é “tá na sonraí criptithe”. Fiafraíonn rialálaithe agus iniúchóirí cé a rialaíonn na heochracha, conas a shriantar rochtain, conas a bhraitear comhréiteach, conas a oibríonn athshlánú, agus an bhfuil an dearadh comhoiriúnach leis an riosca do dhaoine aonair.
Tugann ISO/IEC 27001:2022 an córas bainistíochta d’eagraíochtaí chun na hoibleagáidí seo a nascadh le chéile. Éilíonn clásail 4.1 go 4.4 comhthéacs, ceanglais páirtithe leasmhara, raon feidhme an ISMS agus próisis idirghníomhacha. Éilíonn clásail 5.1 go 5.3 ceannaireacht, beartas, acmhainní agus freagrachtaí sannta. Éilíonn clásail 6.1.1 go 6.1.3 measúnú riosca, cóireáil riosca, roghnú rialuithe, Ráiteas Infheidhmeachta agus faomhadh ó úinéir riosca. Éilíonn clásail 8.1 go 8.3 oibriú rialaithe, athmheasúnú riosca nuair a tharlaíonn athruithe, cur chun feidhme pleananna cóireála agus coinneáil torthaí doiciméadaithe.
Maidir le bainistíocht eochracha cripteagrafacha, ní mór don ISMS cúig cheist a fhreagairt:
- Cé na sócmhainní faisnéise, sreafaí sonraí agus seirbhísí a dteastaíonn cosaint chripteagrafach uathu?
- Cé na heochracha, teastais, rúin agus seirbhísí cripteagrafaíochta a chosnaíonn iad?
- Cé atá ina úinéir ar na sócmhainní cripteagrafacha sin, cé a riarann iad, cé a fhaomhann iad agus cé a dhéanann faireachán orthu?
- Conas a rialaítear giniúint, stóráil, úsáid, rothlú, eascró, athshlánú, cúlghairm agus scriosadh?
- Cén fhianaise a chruthaíonn gur oibrigh na rialuithe mar a dearadh iad?
Cnámh droma rialaithe ISO 27001 do bhainistíocht eochracha cripteagrafacha
Déileálann Clarysec le bainistíocht eochracha cripteagrafacha mar shlabhra rialaithe, ní mar rialú aonair. In Zenith Controls: The Cross-Compliance Guide Zenith Controls, mapáiltear an t-ábhar go príomha chuig rialú 8.24 de ISO/IEC 27002:2022, úsáid cripteagrafaíochta, agus tá caidrimh thacaíochta thábhachtacha aige le 5.17, faisnéis fhíordheimhnithe, agus 5.23, slándáil faisnéise maidir le húsáid seirbhísí néalríomhaireachta.
Tá tábhacht leis an ngaol sin. Is annamh gur “drochchriptiú” amháin is cúis le teip bainistíochta eochracha. Go minic is fadhb fíordheimhnithe, fadhb rialachais néalríomhaireachta, fadhb soláthraí, bearna logála nó teip bainistíochta athruithe í.
| Réimse ISO/IEC 27002:2022 | Cén fáth a bhfuil sé tábhachtach do bhainistíocht eochracha | Fianaise thipiciúil |
|---|---|---|
| 8.24 Úsáid cripteagrafaíochta | Sainmhíníonn sé cásanna úsáide cripteagrafacha ceadaithe, algartaim, prótacail, saolré eochracha agus ionchais cur chun feidhme | Beartas cripteagrafach, caighdeán algartam, nós imeachta saolré eochracha, cumraíocht KMS, taifid rothlaithe |
| 5.17 Faisnéis fhíordheimhnithe | Cosnaíonn sé dintiúir, rúin, tóicíní agus ábhar fíordheimhnithe atá nasctha le hoibríochtaí cripteagrafacha pribhléideacha | Fardal rúin, logaí rochtana boghta, athbhreithnithe rochtana pribhléideacha, fianaise MFA |
| 5.23 Slándáil faisnéise maidir le húsáid seirbhísí néalríomhaireachta | Sainmhíníonn sé freagracht chomhroinnte, úinéireacht eochracha néil, cinntí CMK nó BYOK agus rialachas soláthraithe | Clár seirbhísí néalríomhaireachta, maitrís freagrachta comhroinnte, ailtireacht KMS, athbhreithniú slándála soláthraí |
| 5.19 go 5.22 Slándáil soláthraithe | Cinntíonn sé go gcomhlíonann soláthraithe agus soláthraithe seirbhíse TFC ceanglais chriptithe, choimeád eochracha, theagmhas agus iniúchta | Conarthaí, dícheall cuí, dearbhú soláthraithe, athbhreithnithe faireacháin |
| 5.24 go 5.28 Bainistíocht teagmhas | Nascann sé comhréiteach amhrasta eochrach le measúnú imeachtaí, freagairt, foghlaim agus bailiú fianaise | Treoracha oibríochta teagmhas, pleanleabhair comhréitigh eochracha, logaí fóiréinseacha, ceachtanna foghlamtha |
| 8.15 agus 8.16 Logáil agus faireachán | Braitear úsáid neamhúdaraithe eochracha, glaonna API amhrasacha, iarrachtaí díchriptithe ar theip orthu agus athruithe beartais | Foláirimh SIEM, logaí iniúchta KMS, rialacha braite aimhrialtachtaí |
| 8.32 Bainistíocht athruithe | Rialaíonn sé rothluithe, imircí, uasghráduithe algartam, cúlghairm éigeandála agus obair aistrithe iar-chandamaigh | Ticéid athraithe, formheasanna, pleananna rollta siar, torthaí tástála |
Déanann Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint é seo oibríochtúil sa chéim Bainistíocht Riosca, Céim 14, Beartais Cóireála Riosca agus Tras-Tagairtí Rialála. Deir a shampla beartais chripteagrafaíochta gur cheart don eagraíocht a shainiú cá bhfuil cripteagrafaíocht de dhíth, algartaim agus prótacail a fhaomhadh, bainistíocht eochracha a shainiú, cásanna úsáide amhail criptiú diosca iomláin agus cumarsáid shlán a chlúdach, agus an beartas a nascadh le GDPR Article 32.
“Ní mór eochracha criptithe a stóráil go slán (m.sh. i mboghta eochracha/HSM) agus rochtain a theorannú do phearsanra údaraithe.”
Foinse: Zenith Blueprint, céim Bainistíocht Riosca, Céim 14, Beartais Cóireála Riosca agus Tras-Tagairtí Rialála Zenith Blueprint
Sa chéim Rialuithe i nGníomh, Céim 20, téann Zenith Blueprint níos doimhne. Ní bhaineann cripteagrafaíocht le “criptiú a chur ar siúl” amháin. Baineann sí le cripteagrafaíocht a leabú sa dearadh, sa bheartas agus i mbainistíocht saolré. Áirítear leis sin sonraí ar fos, sonraí faoi tharchur, fíordheimhniú aitheantas agus idirbheart, algartaim cheadaithe, boghtaí slána eochracha, HSManna, rothlú sceidealta, cúlghairm agus fíorú trí thástáil treáite agus athbhreithniú ar chód.
Cad a mbíonn iniúchóirí ag súil leis nuair a iarrann siad fianaise eochracha
Tosaíonn formhór na bhfionnachtana iniúchta le hiarraidh shimplí: “Taispeáin dúinn do bheartas criptithe agus do thaifid bhainistíochta eochracha.”
Áirítear ar fhreagraí laga:
- “Criptíonn an soláthraí néalríomhaireachta gach rud de réir réamhshocraithe.”
- “Úsáidimid TLS.”
- “Tá rúin sa bhoghta.”
- “Láimhseálann an fhoireann innealtóireachta rothlú.”
- “Bainistíonn an feidhmchlár an eochair.”
D’fhéadfadh na ráitis sin a bheith fíor go teicniúil, ach ní fianaise iomlán iad. Nascfaidh iniúchóir ISO bainistíocht eochracha siar le measúnú riosca, an Ráiteas Infheidhmeachta, ceanglais bheartais, rialú oibríochtúil agus doiciméadacht choinnithe. Fiafróidh measúnóir NIST CSF an bhfuil sócmhainní cripteagrafacha sainaitheanta, cosanta, faoi fhaireachán agus in-athshlánaithe. Lorgóidh iniúchóir DORA rialachas riosca TFC arna fhaomhadh ag an mbord, spleáchais tríú páirtí, bainistíocht teagmhas agus tástáil athléimneachta. Fiafróidh athbhreithneoir GDPR an laghdaíonn criptiú agus scaradh eochracha riosca do dhaoine aonair agus an féidir leis an rialaitheoir cuntasacht a léiriú.
Tugann beartas fiontair Clarysec Beartas Rialuithe Cripteagrafacha Beartas Rialuithe Cripteagrafacha aghaidh dhíreach ar an mbearna fianaise:
“Ní mór Clár Bainistíochta Eochracha lárnaithe a choinneáil chun na heochracha cripteagrafacha go léir, a stádas saolré, caomhnóirí sannta agus comhthéacsanna úsáide a thaifeadadh.”
Foinse: Beartas Fiontair, Beartas Rialuithe Cripteagrafacha, Ceanglais rialachais, clásal 5.2 Beartas Rialuithe Cripteagrafacha
Athraíonn an abairt sin comhrá an iniúchta. In ionad eolas treibhe a lorg, is féidir leis an eagraíocht clár a thaispeáint a nascann eochracha le sócmhainní, úinéirí, aicmithe sonraí, córais, cuntais néalríomhaireachta, dátaí rothlaithe, comhthéacsanna úsáide agus fianaise.
Do FBManna, scálaíonn Beartas Rialuithe Cripteagrafacha-sme Clarysec Beartas Rialuithe Cripteagrafacha-sme - FBM an t-ionchas céanna:
“Ní mór don Soláthraí Tacaíochta TF fardal cothrom le dáta d’uirlisí cripteagrafacha agus de theastais atá in úsáid a choinneáil”
Foinse: Beartas FBM, Beartas Rialuithe Cripteagrafacha-sme, Ceanglais rialachais, clásal 5.1.2 Beartas Rialuithe Cripteagrafacha-sme - FBM
D’fhéadfadh institiúid airgeadais rialáilte searmanais HSM, eolas roinnte, dé-rialú, ceapacháin fhoirmiúla caomhnóirí agus athbhreithnithe rochtana ráithiúla a éileamh. D’fhéadfadh soláthraí beag SaaS tosú le fardal cothabháilte, algartaim cheadaithe, úinéireacht KMS doiciméadaithe agus fianaise rothlaithe. Teastaíonn rialachas ón mbeirt atá comhréireach leis an riosca.
An saolré eochracha ba cheart do do ISMS a rialú
Leanann clár praiticiúil bainistíochta eochracha an saolré. Teastaíonn úinéir, modh ceadaithe, rialú teicniúil, taifead athraithe agus fianaise iniúchta ó gach céim.
| Céim saolré | Ceist rialachais eochracha | Ionchas rialaithe | Sampla fianaise |
|---|---|---|---|
| Aicmiú | Cén sonra nó idirbheart a dteastaíonn cosaint chripteagrafach uaidh? | Sainaithníonn aicmiú sonraí sonraí pearsanta, sonraí airgeadais, dintiúir, logaí, cúltacaí agus cumraíochtaí íogaire | Clár aicmithe sonraí, maitrís ceanglas criptithe |
| Dearadh | Cén modh cripteagrafach atá ceadaithe? | Sainmhínítear agus athbhreithnítear algartaim, prótacail, leabharlanna agus faid eochracha cheadaithe | Caighdeán cripteagrafach, taifead cinnidh ailtireachta |
| Giniúint | Conas a chruthaítear eochracha go slán? | Gintear eochracha i KMS, HSM nó modúil bhailíochtaithe cheadaithe, ní de láimh ná i gcód foinse | Logaí cruthaithe eochracha KMS, taifead searmanais HSM |
| Sannadh | Cé leis an eochair agus cé a riarann í? | Sanntar úinéir gnó, caomhnóir teicniúil agus caomhnóir cúltaca | Clár Bainistíochta Eochracha |
| Stóráil | Cá stóráiltear an eochair? | Stóráiltear eochracha i KMS, HSM nó i mboghta le rialuithe rochtana agus logáil iniúchta | Beartas KMS, cumraíocht bhoghta, logaí rochtana |
| Úsáid | Cé na córais ar féidir leo an eochair a úsáid? | Cuirtear an phribhléid is lú, aitheantas ualaigh oibre, scaradh dualgas agus rochtain API cheadaithe i bhfeidhm | Beartas IAM, mapáil cuntas seirbhíse |
| Rothlú | Cathain agus cén fáth a rothlaítear an eochair? | Rothlú sceidealta agus rothlú spreagtha ag imeacht mar gheall ar chomhréiteach nó athrú róil | Sceideal rothlaithe, ticéid athraithe, torthaí tástála |
| Eascró agus athshlánú | Conas is féidir le seirbhísí athshlánú gan eochracha a nochtadh? | Déantar nósanna imeachta cúltaca agus athshlánaithe a thástáil agus rialaítear rochtain | Tástáil athshlánaithe, taifead formheasa eascró |
| Cúlghairm | Cad a tharlaíonn tar éis comhréitigh nó scoir? | Cúlghairtear nó díchumasaítear eochracha agus teastais, agus nuashonraítear córais spleácha | Ticéad teagmhais, loga cúlghairme |
| Scriosadh | Conas a scriostar eochracha scortha? | Leanann scriosadh slán nó léirscrios cripteagrafach ceanglais choinneála agus dlí | Taifead scriosta, sceideal scriosta KMS |
Neartaíonn an beartas fiontair Beartas Rialuithe Cripteagrafacha giniúint shlán:
“Giniúint Eochracha: Déanta le modúil chrua-earraí nó bhogearraí slána (m.sh. HSManna, córais bhailíochtaithe FIPS 140-2).”
Foinse: Beartas Fiontair, Beartas Rialuithe Cripteagrafacha, Ceanglais chun an beartas a chur chun feidhme, clásal 6.3.1 Beartas Rialuithe Cripteagrafacha
Sonraíonn sé rothlú freisin:
“Rothlú Eochracha: Riachtanach ag eatraimh shainithe nó láithreach ar chomhréiteach nó ar athrú róil.”
Foinse: Beartas Fiontair, Beartas Rialuithe Cripteagrafacha, Ceanglais chun an beartas a chur chun feidhme, clásal 6.3.4 Beartas Rialuithe Cripteagrafacha
Do FBManna, tá an prionsabal céanna le feiceáil i dteanga oibríochtúil níos simplí:
“Ní mór rothlú eochracha a dhéanamh de réir sceideal éaga nó ar chomhréiteach amhrasta”
Foinse: Beartas FBM, Beartas Rialuithe Cripteagrafacha-sme, Ceanglais chun an beartas a chur chun feidhme, clásal 6.3.4 Beartas Rialuithe Cripteagrafacha-sme - FBM
Tá tábhacht ag na clásail seo do NIS2 agus DORA toisc nach laigí rúndachta amháin iad eochracha seanchaite nó drochrialaithe. Is féidir leo a bheith ina mbacainní ar fhreagairt do theagmhais, ina saincheisteanna spleáchais soláthraithe, ina dteipeanna athshlánaithe ó thubaiste agus ina bhfadhbanna fógra do chustaiméirí.
KMS néalríomhaireachta, HSM agus BYOK: gaiste na freagrachta comhroinnte
Is é criptiú néalríomhaireachta ceann de na foinsí dearbhaithe bhréagaigh is coitianta. Féadfaidh soláthraí néalríomhaireachta stóráil a chriptiú de réir réamhshocraithe, ach ní chiallaíonn sin go huathoibríoch go bhfuil an eochair faoi rialachas ag d’eagraíocht.
Míníonn Zenith Blueprint, sa chéim Rialuithe i nGníomh, Céim 23, rialú 5.23 de ISO/IEC 27002:2022 trí dhíriú ar rialachas néalríomhaireachta, infheictheacht agus freagracht chomhroinnte. Cuireann sé béim ar an bhfíric go bhféadfadh an soláthraí an bonneagar a dhaingniú, ach go bhfanann an custaiméir cuntasach as sonraí, cumraíochtaí, beartais rochtana agus ullmhacht freagartha do theagmhais.
“Daingníonn soláthraithe néalríomhaireachta an bonneagar, ach tá tusa fós cuntasach as do shonraí, do chumraíochtaí, do bheartais rochtana agus d’ullmhacht freagartha do theagmhais.”
Foinse: Zenith Blueprint, céim Rialuithe i nGníomh, Céim 23, rialuithe eagraíochtúla 5.19-5.37 Zenith Blueprint
Seo an áit a n-éiríonn freagracht eochracha néil ina riosca ar leibhéal an bhoird. D’fhéadfadh cuideachta SaaS criptiú arna bhainistiú ag soláthraí a úsáid do logaí ísealriosca, eochracha arna mbainistiú ag custaiméir do bhunachair shonraí custaiméirí, BYOK do thionóntaí rialáilte agus eochracha fréimhe le tacaíocht HSM le haghaidh sínithe nó tócanaithe. Tá impleachtaí comhlíonta ag gach rogha.
Soláthraíonn beartas fiontair Clarysec Beartas Úsáide Scamaill Beartas Úsáide Scamaill treo soiléir rialaithe:
“Úsáidfear eochracha arna mbainistiú ag custaiméir (CMKanna) nó Bring Your Own Key (BYOK) nuair a thacaíonn an soláthraí scamall leo.”
Foinse: Beartas Fiontair, Beartas Úsáide Scamaill, Ceanglais chun an beartas a chur chun feidhme, clásal 6.4.2 Beartas Úsáide Scamaill
Ní chiallaíonn sé seo gur gá do gach seirbhís néalríomhaireachta BYOK a úsáid. Ciallaíonn sé gur cheart don eagraíocht cinneadh feasach a dhéanamh, bunaithe ar riosca, gealltanais do chustaiméirí, ceanglais chonarthacha agus in-athshlánaitheacht.
| Samhail úinéireachta eochracha | Cás úsáide oiriúnach | Fócas rialachais |
|---|---|---|
| Eochracha arna mbainistiú ag soláthraí | Teileiméadracht ísealriosca, logaí neamhíogaire, criptiú caighdeánach ardáin | Deimhnigh rialuithe soláthraí, doiciméadaigh bonn riosca, déan faireachán ar chumraíocht seirbhíse |
| Eochracha arna mbainistiú ag custaiméir | Bunachair shonraí táirgthe, cúltacaí, taifid chustaiméirí, ualaí oibre rialáilte | Sann úinéir, srian rochtain, logáil úsáid eochracha, rothlaigh agus tástáil athshlánú |
| BYOK nó bainistíocht eochracha sheachtrach | Tionóntaí ardriosca, leithscaradh conarthach, gealltanais do chustaiméirí rialáilte | Bainistigh allmhairiú, coimeád, cúlghairm, téarmaí soláthraithe agus tástáil athléimneachta |
| Eochracha le tacaíocht HSM | Eochracha sínithe fréimhe, údaráis teastais, tócanú agus rúin ardluacha | Cuir dé-rialú i bhfeidhm, taifid searmanais, scaradh dualgas agus faireachán dian rochtana |
Déanann DORA Article 28 agus Article 30 é seo thar a bheith ábhartha d’eintitis airgeadais. Éilíonn siad bainistíocht riosca tríú páirtí TFC, cláir shocruithe conarthacha TFC, dícheall cuí, cearta iniúchta agus cigireachta, cúnamh teagmhais, cosaint sonraí agus rochtain, forálacha athshlánaithe agus fillte. Má bhainistíonn soláthraí néalríomhaireachta nó soláthraí SaaS eochracha criptithe d’fheidhm chriticiúil nó thábhachtach, ní mór an caidreamh sin a bheith infheicthe sa chlár tríú páirtí TFC agus sna rialuithe conarthacha.
Éilíonn NIS2 slándáil slabhra soláthair freisin, lena n-áirítear leochaileachtaí a bhaineann go sonrach le soláthraí, cleachtais chibearshlándála agus nósanna imeachta forbartha slána. Má choinníonn soláthraí criticiúil d’eochracha, má oibríonn sé do KMS, má sholáthraíonn sé do HSM, má bhainistíonn sé saolré do theastas nó má óstálann sé cúltacaí criptithe, is cuid de do thimpeallacht rialaithe cripteagrafach é an soláthraí sin.
Faomhadh algartam agus lúfaracht chripteagrafach in 2026
Níor cheart do bheartas bainistíochta eochracha in 2026 “AES-256” agus “TLS 1.2 nó níos déanaí” a liostú amháin. Ba cheart dó próiseas formheasa agus athbhreithnithe a bhunú a thacaíonn le lúfaracht chripteagrafach. Ciallaíonn lúfaracht chripteagrafach gur féidir leis an eagraíocht a aithint cá n-úsáidtear algartaim, prótacail, teastais agus faid eochracha, nochtadh do laige nó dímholadh a mheas, agus imirce a dhéanamh gan scaoll.
Deir beartas FBM Clarysec:
“Ní fhéadfar ach algartaim agus prótacail dea-chleachtais tionscail atá ceadaithe ag an Soláthraí Tacaíochta TF a úsáid (m.sh. AES-256, RSA 2048, TLS 1.2 nó níos déanaí)”
Foinse: Beartas FBM, Beartas Rialuithe Cripteagrafacha-sme, Ceanglais chun an beartas a chur chun feidhme, clásal 6.2.1 Beartas Rialuithe Cripteagrafacha-sme - FBM
Éilíonn sé doiciméadacht freisin:
“Ní mór gach modh criptithe (m.sh. AES-256, TLS 1.2+) agus próiseas bainistíochta eochracha a dhoiciméadú”
Foinse: Beartas FBM, Beartas Rialuithe Cripteagrafacha-sme, Ceanglais rialachais, clásal 5.3.1 Beartas Rialuithe Cripteagrafacha-sme - FBM
Is é an leagan atá réidh don iniúchadh caighdeán cripteagrafach ceadaithe ina bhfuil:
- Algartaim agus prótacail cheadaithe do shonraí ar fos, sonraí faoi tharchur, sínithe, haisiú pasfhocal, tócanú agus cúltacaí.
- Algartaim, prótacail agus leabharlanna nach gceadaítear.
- Faid íosta eochracha agus tréimhsí bailíochta teastas.
- KMS, HSM, údaráis teastais agus ardáin bhainistíochta rúin cheadaithe.
- Ceanglais maidir le giniúint uimhreacha randamacha slána.
- Treoir d’fhorbróirí maidir le leabharlanna cripteagrafacha.
- Próiseas iarratais ar eisceacht do chórais oidhreachta.
- Spreagthaí athbhreithnithe do leochaileachtaí, athruithe rialála, athruithe soláthraithe agus pleanáil aistrithe iar-chandamaigh.
Ní éilíonn pleanáil iar-chandamach ar gach eagraíocht gach cripteagrafaíocht a athsholáthar láithreach. Éilíonn sí fardal. Gan fardal cripteagrafach, ní féidir leat fios a bheith agat cé na córais a úsáideann criptiú eochrach poiblí fadsaolach, cé na teastais a chosnaíonn seirbhísí criticiúla, cá bhfuil eochracha sínithe nó cé na díoltóirí nach mór dóibh tacú le himirce. Ní maorlathas é an Clár Bainistíochta Eochracha. Is é bunús na lúfarachta cripteagrafaí é.
Sprint fianaise 90 nóiméad do bhainistíocht eochracha
Is minic a úsáideann Clarysec sprint gairid fianaise le foirne ceannaireachta, slándála, néalríomhaireachta agus comhlíonta. Is é an sprioc eolas scaipthe ar eochracha a iompú ina fhianaise iniúchta go tapa.
Céim 1: Roghnaigh seirbhís chriticiúil amháin
Roghnaigh córas atá tábhachtach do NIS2, DORA nó GDPR. I measc na samplaí tá aitheantas custaiméirí, próiseáil íocaíochtaí, faireachán idirbheart, bunachar sonraí custaiméirí táirgthe, ardán cúltaca criptithe nó API atá os comhair custaiméirí.
Céim 2: Oscail an Clár Bainistíochta Eochracha
Úsáid ceanglas Beartas Rialuithe Cripteagrafacha maidir le clár lárnaithe mar struchtúr. Mura bhfuil ceann agat fós, cruthaigh clár simplí leis na réimsí seo:
| Réimse cláir | Iontráil shamplach |
|---|---|
| Aitheantas eochrach nó teastais | prod-db-cmk-eu-west-01 |
| Comhthéacs úsáide | Criptiú bunachair sonraí custaiméirí táirgthe |
| Sonraí cosanta | Sonraí pearsanta custaiméirí AE agus meiteashonraí billeála |
| Úinéir | Ceann Ardáin |
| Caomhnóir | Ceannaire Slándála Néalríomhaireachta |
| Suíomh stórála | KMS néalríomhaireachta, réigiún AE |
| Cineál eochrach | Eochair shiméadrach arna bainistiú ag custaiméir |
| Dáta cruthaithe | 2026-01-14 |
| Minicíocht rothlaithe | 180 lá |
| Rothlú deireanach | 2026-04-10 |
| An chéad rothlú eile | 2026-10-07 |
| Samhail rochtana | Ról seirbhíse amháin, riarachán trí ghrúpa rochtana éigeandála |
| Logáil | Logaí API KMS seolta chuig SIEM |
| Modh athshlánaithe | Cúltaca KMS agus nós imeachta athshlánaithe tástáilte |
| Spleáchas soláthraí | KMS soláthraí néalríomhaireachta |
| Mapáil comhlíonta | ISO 8.24, 5.17, 5.23, GDPR Article 32, NIS2 Article 21, riosca TFC DORA |
| Nasc fianaise | Ticéad athraithe, gabháil scáileáin KMS, athbhreithniú IAM, fiosrú loga, tástáil athshlánaithe |
Céim 3: Rianaigh rochtain agus dé-rialú
Maidir le hoibríochtaí cripteagrafacha ardtionchair, cuir dé-rialú agus an phribhléid is lú i bhfeidhm. Deir an beartas fiontair Beartas Rialuithe Cripteagrafacha:
“Ní mór prionsabail dé-rialaithe agus na pribhléid íosta a chur i bhfeidhm ar oibríochtaí cripteagrafacha íogaire (m.sh. allmhairí eochracha fréimhe, riarachán HSM).”
Foinse: Beartas Fiontair, Beartas Rialuithe Cripteagrafacha, Ceanglais chun an beartas a chur chun feidhme, clásal 6.6.2 Beartas Rialuithe Cripteagrafacha
Fiafraigh:
- Cé atá in ann an eochair a dhíchumasú nó a scriosadh?
- Cé atá in ann beartas na heochrach a athrú?
- Cé atá in ann sonraí a dhíchriptiú go díreach?
- An bhfuil róil rochtana éigeandála faoi fhaireachán agus faoi theorainn ama?
- An gcuirtear MFA i bhfeidhm le haghaidh oibríochtaí eochracha pribhléideacha?
- An ndéantar gníomhartha pribhléideacha a logáil agus a athbhreithniú?
Céim 4: Tarraing cúig thaifead fianaise
Bailigh cúig thaifead a chruthaíonn go n-oibríonn an rialú:
- Loga cruthaithe nó allmhairithe eochrach.
- Beartas rochtana reatha KMS nó HSM.
- An ticéad athraithe don rothlú eochrach is déanaí.
- Fiosrú SIEM a léiríonn úsáid eochrach nó gníomhartha riaracháin.
- Fianaise ar thástáil athshlánaithe.
Céim 5: Mapáil chuig riosca agus rialachán
Cuir ráiteas gearr riosca leis: “D’fhéadfadh úsáid neamhúdaraithe nó cailliúint na heochrach seo sonraí pearsanta AE a nochtadh, cur isteach ar sheirbhís do chustaiméirí agus athshlánú córas criticiúil a lagú.” Ansin mapáil é chuig na hoibleagáidí ábhartha.
| Oibleagáid | A dtacaíonn an fhianaise leis |
|---|---|
| Clásail 6 agus 8 de ISO/IEC 27001:2022 | Cóireáil riosca, rialú oibríochtúil, torthaí doiciméadaithe |
| ISO/IEC 27002:2022 8.24 | Úsáid cheadaithe cripteagrafaíochta agus rialú saolré eochracha |
| NIS2 Article 21 | Beartais chripteagrafaíochta agus chriptithe, sláinteachas cibearshlándála, rialú rochtana, bainistíocht sócmhainní |
| DORA Articles 5, 6, 17, 28 agus 30 | Rialachas TFC, creat riosca TFC, próiseas teagmhais, spleáchais tríú páirtí agus conarthaí |
| GDPR Article 5 agus Article 32 | Cuntasacht, sláine agus rúndacht, slándáil na próiseála |
| NIST CSF 2.0 | Sócmhainní a shainaithint, sonraí a chosaint, aimhrialtachtaí a bhrath, freagairt agus athshlánú |
I gceann 90 nóiméad, is gnách gur féidir leis an bhfoireann a aithint an bhfuil rialachas eochracha fíor nó an bhfuiltear ag glacadh leis gan chruthúnas.
Tuairisciú teagmhas: nuair a chuireann comhréiteach eochrach an clog ag rith
Ní hionann comhréiteach amhrasta eochrach agus sárú inthuairiscithe go huathoibríoch, ach féadfaidh sé an clog rialála a thosú.
Faoi NIS2, ní mór d’eintitis riachtanacha agus thábhachtacha teagmhais shuntasacha a théann i bhfeidhm ar sholáthar seirbhíse a chur in iúl gan mhoill mhíchuí. Áirítear leis an tsamhail chéimnithe rabhadh luath laistigh de 24 uair an chloig ó bheith ar an eolas, fógra teagmhais laistigh de 72 uair an chloig, nuashonruithe stádais nuair a iarrtar iad, agus tuarascáil deiridh tráth nach déanaí ná mí amháin tar éis an fhógra teagmhais.
Faoi DORA, ní mór d’eintitis airgeadais teagmhais a bhaineann le TFC a bhrath, a bhainistiú agus a chur in iúl, teagmhais agus bagairtí cibearshuntasacha a thaifeadadh, teagmhais a aicmiú de réir déine agus criticiúlacht na seirbhíse lena mbaineann, cumarsáid a dhéanamh le páirtithe leasmhara, teagmhais mhóra a thuairisciú don bhainistíocht shinsearach agus d’údaráis inniúla, anailís bunchúise a dhéanamh agus cóiriú a dhéanamh. D’fhéadfadh sé go mbeadh foinsiú seachtrach tuairiscithe indéanta, ach fanann an fhreagracht ar an eintiteas airgeadais.
Faoi GDPR, is í an cheist ansin an tharla sárú sonraí pearsanta, is é sin scriosadh, caillteanas, athrú, nochtadh neamhúdaraithe nó rochtain neamhúdaraithe ar shonraí pearsanta, bíodh sé de thaisme nó neamhdhleathach. Is féidir le criptiú láidir le heochracha neamhchomhréitithe anailís riosca sáraithe a athrú go substaintiúil. Is féidir le bainistíocht lag eochracha an argóint sin a lagú.
Ba cheart do phleanleabhair comhréitigh eochracha a shainiú:
- Conas a bhraitear nochtadh amhrasta eochrach.
- Cé a dhearbhaíonn teagmhas cripteagrafach.
- Conas a shainaithnítear sonraí, seirbhísí, custaiméirí agus dlínsí lena mbaineann.
- Conas a chúlghairtear nó a rothlaítear eochracha.
- Conas a athshlánaítear córais spleácha.
- Conas a chaomhnaítear sláine fianaise.
- Conas a dhéantar cinntí fógra dlíthiúla, rialála agus custaiméara.
Éiríonn an Clár Bainistíochta Eochracha riachtanach le linn an phróisis seo. Gan é, caitheann freagróirí am ag aithint cad a chosain eochair. Leis, is féidir leo raon an tionchair a shonrú go tapa.
Lionsa an iniúchta: sraith rialuithe amháin, go leor tomhaltóirí fianaise
Tagann iniúchóirí éagsúla chuig bainistíocht eochracha cripteagrafacha ó chúlraí éagsúla, ach tagann siad le chéile ar an bhfianaise chéanna.
| Lionsa iniúchóra | Ceist iniúchta is dócha | Fianaise a oibríonn |
|---|---|---|
| Iniúchóir ISO/IEC 27001:2022 | An roghnaítear bainistíocht eochracha cripteagrafacha trí chóireáil riosca, an ndoiciméadaítear í sa Ráiteas Infheidhmeachta agus an n-oibrítear í mar a beartaíodh? | Measúnú riosca, Ráiteas Infheidhmeachta, beartas cripteagrafach, Clár Bainistíochta Eochracha, taifid rothlaithe |
| Measúnóir NIST CSF | An bhfuil sócmhainní cripteagrafacha sainaitheanta, cosanta, faoi fhaireachán agus in-athshlánaithe? | Fardail sócmhainní agus sonraí, rialuithe rochtana, logaí KMS, foláirimh SIEM, taifid freagartha agus athshlánaithe |
| Iniúchóir DORA | An bhfuil spleáchais eochracha mar chuid de bhainistíocht riosca TFC, maoirseacht tríú páirtí, tástáil athléimneachta agus tuairisciú teagmhas? | Creat riosca TFC, clár tríú páirtí, conarthaí KMS néalríomhaireachta, tástálacha leanúnachais, próiseas aicmithe teagmhas |
| Athbhreithneoir GDPR | An laghdaíonn criptiú riosca do dhaoine aonair, agus an féidir leis an rialaitheoir cuntasacht a léiriú? | Aicmiú sonraí, scaradh eochracha, logaí rochtana, dearadh criptithe, measúnú riosca sáraithe |
| Iniúchóir ISACA nó COBIT 2019 | An bhfuil cuspóirí rialachais, úinéireacht riosca, feidhmíocht rialuithe agus cuntasacht bainistíochta sainithe? | RACI, méadrachtaí rialaithe, athbhreithniú bainistíochta, clár eisceachtaí, rianú cóirithe iniúchta |
De ghnáth bíonn na nithe seo i bpacáiste láidir iniúchta do bhainistíocht eochracha cripteagrafacha:
- Beartas Rialuithe Cripteagrafacha ceadaithe.
- Beartas Úsáide Scamaill ceadaithe nuair atá criptiú néalríomhaireachta ábhartha.
- Caighdeán cripteagrafach agus liosta algartam.
- Clár Bainistíochta Eochracha.
- Fardal teastas agus rúin.
- Ailtireacht KMS, HSM agus boghta.
- Fianaise IAM agus athbhreithnithe rochtana pribhléideacha.
- Taifid rothlaithe agus chúlghairme.
- Fianaise ar thástáil cúltaca, eascró agus athshlánaithe.
- Rialacha logála agus faireacháin do ghníomhaíocht eochracha.
- Mapáil freagrachta comhroinnte soláthraithe agus néalríomhaireachta.
- Pleanleabhar teagmhais do chomhréiteach amhrasta eochrach.
- Eisceachtaí agus glacadh riosca.
- Taifid athbhreithnithe bainistíochta agus cóirithe iniúchta.
Iompraíonn an pacáiste seo dearbhú rialaithe ina chruthúnas.
Fionnachtana coitianta in iniúchtaí bainistíochta eochracha
Is féidir na fionnachtana is coitianta a sheachaint:
- Níl aon fhardal aonair d’eochracha, de theastais agus d’uirlisí cripteagrafacha ann.
- Caitear le criptiú réamhshocraithe soláthraí néalríomhaireachta mar rialachas iomlán eochracha.
- Ní shanntar úinéir ná caomhnóir d’eochracha táirgthe.
- Tá rothlú ann do theastais, ach ní d’eochracha feidhmchláir ná do CMKanna bunachar sonraí.
- Measctar rúin agus eochracha sa bhoghta céanna gan aicmiú.
- Is féidir le forbróirí eochracha a chruthú lasmuigh de phatrúin cheadaithe.
- Níl aon fhianaise ann go ndéantar athbhreithniú ar riarthóirí KMS.
- Tá nósanna imeachta athshlánaithe ann ach níor tástáladh riamh iad.
- Ní chuirtear comhréiteach eochrach san áireamh i bpleanleabhair freagartha do theagmhais.
- Fanann algartaim oidhreachta i seirbhísí inmheánacha toisc nach bhfuil úinéir ar chóiriú.
- Déantar gealltanais BYOK i gconarthaí custaiméara ach ní léirítear iad in oibríochtaí.
- Ní chuirtear criptiú arna bhainistiú ag soláthraí san áireamh in athbhreithnithe riosca díoltóirí.
Mapálann gach fionnachtain siar chuig rialachas. Sin é an fáth nach féidir déileáil le cripteagrafaíocht mar thionscadal innealtóireachta amháin. Ní mór í a nascadh le raon feidhme an ISMS, cóireáil riosca, beartas, soláthraithe, néalríomhaireacht, rochtain, logáil, teagmhais agus leanúnachas.
Déan rialachas eochracha réidh don iniúchadh roimh an gcéad teagmhas eile
Má tá d’eagraíocht ag ullmhú do NIS2, DORA, fianaise GDPR Article 32, deimhniú ISO/IEC 27001:2022 nó lúfaracht chripteagrafach iar-chandamach, tosaigh le ceist amháin: an féidir leat Clár Bainistíochta Eochracha iomlán a tháirgeadh inniu?
Mura féidir, is féidir le Clarysec cabhrú leat an córas rialaithe timpeall air a thógáil.
Úsáid Zenith Blueprint Zenith Blueprint chun an obair a struchtúrú trí chéim Bainistíocht Riosca Céim 14 agus céim Rialuithe i nGníomh Céim 20. Úsáid Zenith Controls Zenith Controls chun rialuithe 8.24, 5.17 agus 5.23 de ISO/IEC 27002:2022 a mhapáil ar fud NIS2, DORA, GDPR, NIST agus ionchais iniúchta. Úsáid Beartas Rialuithe Cripteagrafacha Clarysec Beartas Rialuithe Cripteagrafacha, Beartas Rialuithe Cripteagrafacha-sme Beartas Rialuithe Cripteagrafacha-sme - FBM agus Beartas Úsáide Scamaill Beartas Úsáide Scamaill chun ceanglais a iompú ina rialacha oibriúcháin.
Tá an chéad chéim phraiticiúil simplí: roghnaigh seirbhís chriticiúil amháin, déan fardal dá heochracha, cruthaigh úinéireacht, fíoraigh rochtain, tarraing fianaise rothlaithe agus tástáil athshlánú. Má thógann sé sin níos mó ná lá, tá aird de dhíth ar do rialachas cripteagrafach sula gcuireann an rialálaí, an t-iniúchóir nó an fhoireann freagartha do theagmhais an cheist chéanna faoi bhrú.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
