Verschlüsselungs-Framework - AWS Präskriptive Leitlinien
DatenklassifizierungKlassifizierung der UmgebungEreignisse und Prozesse ändern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselungs-Framework

Ein Framework bezieht sich in diesem Zusammenhang auf eine Reihe von Standardarbeitsanweisungen, die befolgt werden müssen, wenn Sie die Verschlüsselungsstandards oder -richtlinien ändern. Das Framework ist das Gerüst, das Sie bei der Implementierung der Standards unterstützt. Es hilft, Worte in Taten umzuwandeln. Das Framework verbindet die Personen, die Standards definieren, mit den Personen, die sie umsetzen.

Frameworks umfassen in der Regel die folgenden Themen:

Datenklassifizierung

Die Datenklassifizierung spielt eine wichtige Rolle bei der Entwicklung einer Verschlüsselungsstrategie. Datenklassifizierung ist der Prozess der Zuordnung von Daten zu einer Kategorie, die auf der Sensibilität der Daten basiert. Bei der Datenklassifizierung handelt es sich um die folgenden gängigen Kategorien, in aufsteigender Reihenfolge der Sensibilität: öffentlich, privat, intern, vertraulich und eingeschränkt.

Ihr Verschlüsselungsframework sollte die folgenden Informationen zur Datenklassifizierung enthalten:

  • Die Datenklassifizierungskategorien für Ihr Unternehmen.

  • Die Klassifizierungskriterien, die verwendet werden, um Daten in die entsprechende Kategorie einzuordnen. Beispielsweise könnte das Handelsrezept eines Unternehmens als eingeschränkt eingestuft werden, personenbezogene Daten von Mitarbeitern könnten vertraulich sein und die interne Kommunikation zwischen Mitarbeitern über offizielle Kanäle könnte intern erfolgen.

  • Das Verfahren, mit dem Daten nach Kategorien heraufgestuft und herabgestuft werden.

  • Die Zugriffskriterien für jede Datenklassifizierungskategorie.

  • Die Art des Verschlüsselungsschlüssels, der für jede Kategorie erforderlich ist.

Klassifizierung der Umgebung

Ihr Unternehmen verfügt möglicherweise über mehrere Umgebungen, z. B. Entwicklungs-, Test-, Sandbox-, Vorproduktions- und Produktionsumgebungen. Jede Umgebung kann unterschiedliche Datentypen enthalten und unterschiedliche Verschlüsselungsanforderungen haben.

Ihr Verschlüsselungsframework sollte die folgenden Informationen zu Ihren Umgebungen enthalten:

  • Definieren Sie Ihre Unternehmensumgebungen.

  • Definieren Sie die Verschlüsselungsanforderungen für jede Umgebung. Sie könnten beispielsweise einen einzigen Verschlüsselungsschlüssel für alle Datenkategorien in Ihrer Entwicklungsumgebung verwenden, und in Ihrer Produktionsumgebung könnten Sie unterschiedliche Verschlüsselungsschlüssel für jede Geschäftsanwendung oder Datenklassifizierungskategorie verwenden.

Ereignisse und Prozesse ändern

Verschlüsselungsstandards unterliegen häufigen Änderungen, sodass Sie mit den neuesten Technologien, bewährten Verfahren und Innovationen Schritt halten können. Die folgenden häufigen Änderungsereignisse können zu einer Überarbeitung Ihrer Verschlüsselungsstandards führen:

  • Änderungen der Mindestlänge von Verschlüsselungsschlüsseln

  • Änderungen in der Stärke eines Verschlüsselungsalgorithmus

  • Änderungen daran, wer auf Verschlüsselungsschlüssel zugreifen kann oder wie

  • Änderungen der Rotationsintervalle für Ihre Schlüssel

  • Änderungen am Verfahren zum Löschen von Schlüsseln

  • Änderungen am Speicherort oder an den Richtlinien für die Speicherung von Schlüsseln

  • Änderungen am Verfahren zum Sichern und Wiederherstellen von Schlüsseln

Ihr Verschlüsselungsframework sollte Folgendes beinhalten, um Ihr Unternehmen auf die Verwaltung, Implementierung und Kommunikation von Änderungen an den Verschlüsselungsstandards oder -richtlinien vorzubereiten:

  • Prozess zur Änderungskontrolle — Der Zweck dieses Prozesses besteht darin, die bevorstehende Änderung zu planen und sich darauf vorzubereiten. Wenn Sie Ihre Verschlüsselungsstandards oder -richtlinien ändern müssen, ist dieser wiederholbare und skalierbare Prozess darauf ausgelegt, Folgendes zu definieren:

    • Wie bewertet Ihr Unternehmen die Auswirkungen der Änderung

    • Wer kann Änderungen einleiten

    • Wer ist für die Umsetzung der Änderung verantwortlich

    • Wer ist für die Genehmigung der Änderung verantwortlich

    • Wie würde Ihre Organisation die Änderung gegebenenfalls rückgängig machen

  • Prozess zur Überprüfbarkeit und Rückverfolgbarkeit von Änderungen — Dieser Prozess definiert, wie Ihr Unternehmen Änderungen sowohl auf Metadaten- als auch auf Datenebene prüft und nachverfolgt. Es sollte definieren, wie Sie Aufzeichnungen über Folgendes führen und darauf zugreifen:

    • Was hat sich geändert

    • Wann wurde es geändert

    • Wer hat die Änderung initiiert, genehmigt und umgesetzt

    Wenn Ihre Organisation beispielsweise die Mindeststärke des Verschlüsselungsschlüssels ändert, sollten Sie in der Lage sein, die ursprünglichen und neuen Anforderungen zu ermitteln, wann die Änderung wirksam wurde und wer an dem Änderungsprozess beteiligt war.

  • Prozess zur Einführung von Änderungen — Der Zweck dieses Prozesses besteht darin, zu definieren, wie Ihre Organisation die Änderung implementiert, nachdem Sie sich dazu entschieden haben. Dieser Prozess definiert:

    • Wer sind die Beteiligten

    • Ob Sie ein Pilotprojekt oder eine Machbarkeitsstudie abschließen sollten

    • Wie und wann sollten Sie den Status der Änderung mitteilen

    • Wie kann die Änderung gegebenenfalls rückgängig gemacht werden?

    • Wie lang sollte der Beobachtungszeitraum nach der Umsetzung der Änderung sein?

    • Wie wird der Beobachtungsprozess aussehen, um die Auswirkungen der Änderung zu überwachen, einschließlich der Frage, wie Feedback zu der Änderung eingeholt und die Wirksamkeit bewertet werden kann

  • Prozess der Außerbetriebnahme — Der Zweck dieses Prozesses besteht darin, zu definieren, wie Ihr Unternehmen mit der Außerbetriebnahme von Ressourcen und Informationen im Zusammenhang mit der Verschlüsselung umgeht. Es beinhaltet Anweisungen für die tatsächliche Außerbetriebnahme sowie den Kommunikationsprozess für die Außerbetriebnahme.