Framework di crittografia - AWS Guida prescrittiva
Classificazione dei datiClassificazione dell'ambienteModifica eventi e processi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Framework di crittografia

Un framework, in questo contesto, si riferisce a un insieme di procedure operative standard che devono essere seguite quando si modificano gli standard o le politiche di crittografia. Il framework è l'impalcatura che consente di implementare gli standard. Aiuta a convertire le parole in azioni. Il framework collega le persone che definiscono gli standard con le persone che li implementano.

I framework in genere includono i seguenti argomenti:

Classificazione dei dati

La classificazione dei dati svolge un ruolo fondamentale nella creazione di una strategia di crittografia. La classificazione dei dati è il processo di assegnazione dei dati a una categoria in base alla loro sensibilità. Le seguenti sono categorie di classificazione dei dati comuni, in ordine crescente di sensibilità: pubblico, privato, interno, riservato e riservato.

Il framework di crittografia deve includere le seguenti informazioni sulla classificazione dei dati:

  • Le categorie di classificazione dei dati per la tua azienda.

  • I criteri di classificazione utilizzati per classificare i dati nella categoria appropriata. Ad esempio, la ricetta commerciale di un'azienda potrebbe essere classificata come soggetta a restrizioni, le informazioni personali dei dipendenti potrebbero essere riservate e la comunicazione interna tra i dipendenti attraverso i canali ufficiali potrebbe essere interna.

  • Il processo utilizzato per promuovere e ridurre di livello i dati tra le categorie.

  • I criteri di accesso per ogni categoria di classificazione dei dati.

  • Il tipo di chiave di crittografia richiesta per ogni categoria.

Classificazione dell'ambiente

La tua azienda potrebbe avere più ambienti, come sviluppo, test, sandbox, preproduzione e produzione. Ogni ambiente può contenere diversi tipi di dati e avere requisiti di crittografia diversi.

Il framework di crittografia deve includere le seguenti informazioni sugli ambienti in uso:

  • Definisci i tuoi ambienti aziendali.

  • Definisci i requisiti di crittografia per ogni ambiente. Ad esempio, è possibile utilizzare un'unica chiave di crittografia per tutte le categorie di dati nell'ambiente di sviluppo e, nell'ambiente di produzione, utilizzare chiavi di crittografia diverse per ogni applicazione aziendale o categoria di classificazione dei dati.

Modifica eventi e processi

Gli standard di crittografia sono soggetti a modifiche frequenti, in modo da consentirti di stare al passo con le tecnologie, le migliori pratiche e le innovazioni più recenti. Di seguito sono riportati gli eventi di modifica più comuni che potrebbero avviare una revisione degli standard di crittografia:

  • Modifiche nella lunghezza minima delle chiavi di crittografia

  • Modifiche nella potenza di un algoritmo di crittografia

  • Modifiche relative a chi può accedere alle chiavi di crittografia o in che modo

  • Modifiche agli intervalli di rotazione delle chiavi

  • Modifiche al processo di eliminazione delle chiavi

  • Modifiche alla posizione o alle politiche di archiviazione delle chiavi

  • Modifiche al processo di backup e ripristino delle chiavi

Il framework di crittografia deve includere quanto segue per preparare l'organizzazione a gestire, implementare e comunicare le modifiche agli standard o alle politiche di crittografia:

  • Processo di controllo delle modifiche: lo scopo di questo processo è pianificare e prepararsi per il cambiamento imminente. Quando è necessario modificare gli standard o le politiche di crittografia, questo processo ripetibile e scalabile è progettato per definire:

    • In che modo l'organizzazione valuta l'impatto del cambiamento

    • Chi può avviare le modifiche

    • Chi è responsabile dell'implementazione della modifica

    • Chi è responsabile dell'approvazione della modifica

    • In che modo l'organizzazione ripristinerebbe la modifica, se necessario

  • Processo di verificabilità e tracciabilità delle modifiche: questo processo definisce il modo in cui l'organizzazione verifica e tiene traccia delle modifiche, sia a livello di metadati che a livello di dati. Dovrebbe definire come conservare e accedere ai registri di:

    • Cosa è cambiato

    • Quando è stato cambiato

    • Chi ha avviato, approvato e implementato la modifica

    Ad esempio, se l'organizzazione modifica la complessità minima della chiave di crittografia, dovrebbe essere in grado di determinare i requisiti originali e i nuovi requisiti, quando la modifica è stata effettiva e chi è stato coinvolto nel processo di modifica.

  • Processo di implementazione delle modifiche: lo scopo di questo processo è definire in che modo l'organizzazione implementa la modifica dopo che l'utente ha deciso di apportarla. Questo processo definisce:

    • Chi sono gli stakeholder

    • Sia che dobbiate completare un progetto pilota o una dimostrazione concettuale

    • Come e quando comunicare lo stato della modifica

    • Come ripristinare la modifica, se necessario.

    • Quale dovrebbe essere il periodo di osservazione dopo l'implementazione della modifica.

    • Quale sarà il processo di osservazione per monitorare l'impatto del cambiamento, compreso il modo di raccogliere feedback sul cambiamento e valutarne l'efficacia

  • Processo di pensionamento: lo scopo di questo processo è definire in che modo l'organizzazione gestisce il ritiro delle risorse e delle informazioni relative alla crittografia. Include istruzioni per il pensionamento effettivo e il processo di comunicazione relativo al pensionamento.