Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Framework di crittografia
<a name="framework"></a>

Un *framework*, in questo contesto, si riferisce a un insieme di procedure operative standard che devono essere seguite quando si modificano gli standard o le politiche di crittografia. Il framework è l'impalcatura che consente di implementare gli standard. Aiuta a convertire le parole in azioni. Il framework collega le persone che definiscono gli standard con le persone che li implementano.

I framework in genere includono i seguenti argomenti:
+ [Classificazione dei dati](#data-classification)
+ [Classificazione dell'ambiente](#environment-classification)
+ [Modifica eventi e processi](#change-events)

## Classificazione dei dati
<a name="data-classification"></a>

La classificazione dei dati svolge un ruolo fondamentale nella creazione di una strategia di crittografia. La *classificazione dei dati* è il processo di assegnazione dei dati a una categoria in base alla loro sensibilità. Le seguenti sono categorie di classificazione dei dati comuni, in ordine crescente di sensibilità: pubblico, privato, interno, riservato e riservato.

Il framework di crittografia deve includere le seguenti informazioni sulla classificazione dei dati:
+ Le categorie di classificazione dei dati per la tua azienda.
+ I criteri di classificazione utilizzati per classificare i dati nella categoria appropriata. *Ad esempio, la ricetta commerciale di un'azienda potrebbe essere classificata come *soggetta a restrizioni*, le informazioni personali dei dipendenti potrebbero essere *riservate* e la comunicazione interna tra i dipendenti attraverso i canali ufficiali potrebbe essere interna.*
+ Il processo utilizzato per promuovere e ridurre di livello i dati tra le categorie.
+ I criteri di accesso per ogni categoria di classificazione dei dati.
+ Il tipo di chiave di crittografia richiesta per ogni categoria.

## Classificazione dell'ambiente
<a name="environment-classification"></a>

La tua azienda potrebbe avere più ambienti, come sviluppo, test, sandbox, preproduzione e produzione. Ogni ambiente può contenere diversi tipi di dati e avere requisiti di crittografia diversi.

Il framework di crittografia deve includere le seguenti informazioni sugli ambienti in uso:
+ Definisci i tuoi ambienti aziendali.
+ Definisci i requisiti di crittografia per ogni ambiente. Ad esempio, è possibile utilizzare un'unica chiave di crittografia per tutte le categorie di dati nell'ambiente di sviluppo e, nell'ambiente di produzione, utilizzare chiavi di crittografia diverse per ogni applicazione aziendale o categoria di classificazione dei dati.

## Modifica eventi e processi
<a name="change-events"></a>

Gli standard di crittografia sono soggetti a modifiche frequenti, in modo da consentirti di stare al passo con le tecnologie, le migliori pratiche e le innovazioni più recenti. Di seguito sono riportati gli eventi di modifica più comuni che potrebbero avviare una revisione degli standard di crittografia:
+ Modifiche nella lunghezza minima delle chiavi di crittografia
+ Modifiche nella potenza di un algoritmo di crittografia
+ Modifiche relative a chi può accedere alle chiavi di crittografia o in che modo
+ Modifiche agli intervalli di rotazione delle chiavi
+ Modifiche al processo di eliminazione delle chiavi
+ Modifiche alla posizione o alle politiche di archiviazione delle chiavi
+ Modifiche al processo di backup e ripristino delle chiavi

Il framework di crittografia deve includere quanto segue per preparare l'organizzazione a gestire, implementare e comunicare le modifiche agli standard o alle politiche di crittografia:
+ **Processo di controllo delle modifiche**: lo scopo di questo processo è pianificare e prepararsi per il cambiamento imminente. Quando è necessario modificare gli standard o le politiche di crittografia, questo processo ripetibile e scalabile è progettato per definire:
  + In che modo l'organizzazione valuta l'impatto del cambiamento
  + Chi può avviare le modifiche
  + Chi è responsabile dell'implementazione della modifica
  + Chi è responsabile dell'approvazione della modifica
  + In che modo l'organizzazione ripristinerebbe la modifica, se necessario
+ Processo **di verificabilità e tracciabilità delle modifiche: questo processo** definisce il modo in cui l'organizzazione verifica e tiene traccia delle modifiche, sia a livello di metadati che a livello di dati. Dovrebbe definire come conservare e accedere ai registri di:
  + Cosa è cambiato
  + Quando è stato cambiato
  + Chi ha avviato, approvato e implementato la modifica

  Ad esempio, se l'organizzazione modifica la complessità minima della chiave di crittografia, dovrebbe essere in grado di determinare i requisiti originali e i nuovi requisiti, quando la modifica è stata effettiva e chi è stato coinvolto nel processo di modifica.
+ **Processo di implementazione delle modifiche**: lo scopo di questo processo è definire in che modo l'organizzazione implementa la modifica dopo che l'utente ha deciso di apportarla. Questo processo definisce:
  + Chi sono gli stakeholder
  + Sia che dobbiate completare un progetto pilota o una dimostrazione concettuale
  + Come e quando comunicare lo stato della modifica
  + Come ripristinare la modifica, se necessario.
  + Quale dovrebbe essere il periodo di osservazione dopo l'implementazione della modifica.
  + Quale sarà il processo di osservazione per monitorare l'impatto del cambiamento, compreso il modo di raccogliere feedback sul cambiamento e valutarne l'efficacia
+ **Processo di pensionamento**: lo scopo di questo processo è definire in che modo l'organizzazione gestisce il ritiro delle risorse e delle informazioni relative alla crittografia. Include istruzioni per il pensionamento effettivo e il processo di comunicazione relativo al pensionamento.