Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cadre de chiffrement
Dans ce contexte, un framework fait référence à un ensemble de procédures opérationnelles standard qui doivent être suivies lorsque vous modifiez les normes ou la politique de chiffrement. Le cadre est l'échafaudage qui vous aide à mettre en œuvre les normes. Cela aide à transformer les paroles en actions. Le cadre relie les personnes qui définissent les normes à celles qui les mettent en œuvre.
Les frameworks incluent généralement les sujets suivants :
Classification des données
La classification des données joue un rôle essentiel dans la création d'une stratégie de chiffrement. La classification des données est le processus qui consiste à attribuer des données à une catégorie en fonction de leur sensibilité. Les catégories de classification des données les plus courantes sont les suivantes, classées par ordre croissant de sensibilité : public, privé, interne, confidentiel et restreint.
Votre infrastructure de chiffrement doit inclure les informations suivantes concernant la classification des données :
-
Les catégories de classification des données pour votre entreprise.
-
Les critères de classification utilisés pour classer les données dans la catégorie appropriée. Par exemple, la recette commerciale d'une entreprise peut être considérée comme restreinte, les informations personnelles des employés peuvent être confidentielles et les communications internes entre les employés via les canaux officiels peuvent être internes.
-
Processus utilisé pour promouvoir et rétrograder les données entre les catégories.
-
Les critères d'accès pour chaque catégorie de classification des données.
-
Le type de clé de chiffrement requis pour chaque catégorie.
Classification environnementale
Votre entreprise peut disposer de plusieurs environnements, tels que le développement, les tests, le bac à sable, la préproduction et la production. Chaque environnement peut contenir différents types de données et avoir des exigences de chiffrement différentes.
Votre infrastructure de chiffrement doit inclure les informations suivantes concernant vos environnements :
-
Définissez les environnements de votre entreprise.
-
Définissez les exigences de chiffrement pour chaque environnement. Par exemple, vous pouvez utiliser une clé de chiffrement unique pour toutes les catégories de données de votre environnement de développement, et dans votre environnement de production, vous pouvez utiliser des clés de chiffrement différentes pour chaque application métier ou catégorie de classification de données.
Événements et processus de changement
Les normes de chiffrement sont soumises à de fréquentes modifications afin que vous puissiez rester au fait des dernières technologies, des meilleures pratiques et des innovations. Voici les événements de modification courants susceptibles de déclencher une révision de vos normes de chiffrement :
-
Modifications de la longueur minimale des clés de chiffrement
-
Modifications de la puissance d'un algorithme de chiffrement
-
Modifications apportées aux personnes autorisées à accéder aux clés de chiffrement ou à la méthode
-
Modification des intervalles de rotation de vos clés
-
Modifications apportées au processus de suppression des clés
-
Modifications apportées à l'emplacement ou aux politiques de stockage des clés
-
Modifications apportées au processus de sauvegarde et de restauration des clés
Votre infrastructure de chiffrement doit inclure les éléments suivants afin de préparer votre organisation à gérer, mettre en œuvre et communiquer les modifications apportées aux normes ou politiques de chiffrement :
-
Processus de contrôle du changement — Le but de ce processus est de planifier et de préparer le changement à venir. Lorsque vous devez modifier vos normes ou politiques de chiffrement, ce processus reproductible et évolutif est conçu pour définir :
-
Comment votre organisation évalue l'impact du changement
-
Qui peut initier les changements
-
Qui est responsable de la mise en œuvre du changement
-
Qui est responsable de l'approbation de la modification
-
Comment votre organisation annulerait le changement, si nécessaire
-
-
Processus d'auditabilité et de traçabilité des modifications — Ce processus définit la manière dont votre organisation audite et suit les modifications, à la fois au niveau des métadonnées et au niveau des données. Il doit définir la manière dont vous conservez et accédez aux enregistrements des éléments suivants :
-
Qu'est-ce qui a changé
-
Quand il a été modifié
-
Qui a initié, approuvé et mis en œuvre le changement
Par exemple, si votre organisation modifie la puissance minimale de la clé de chiffrement, vous devriez être en mesure de déterminer les exigences initiales et nouvelles, la date d'entrée en vigueur de la modification et les personnes impliquées dans le processus de modification.
-
-
Processus de mise en œuvre des modifications — L'objectif de ce processus est de définir comment votre organisation met en œuvre le changement une fois que vous avez décidé de le faire. Ce processus définit :
-
Qui sont les parties prenantes
-
Si vous devez réaliser un projet pilote ou une preuve de concept
-
Comment et quand vous devez communiquer le statut du changement
-
Comment annuler la modification, si nécessaire.
-
Quelle devrait être la période d'observation après la mise en œuvre du changement.
-
Quel sera le processus d'observation pour suivre l'impact du changement, y compris la manière de recueillir des commentaires sur le changement et d'évaluer son efficacité
-
-
Processus de retrait — L'objectif de ce processus est de définir la manière dont votre organisation gère le retrait des ressources et des informations liées au chiffrement. Il comprend des instructions pour le départ à la retraite proprement dit ainsi que le processus de communication pour le départ à la retraite.
