Estrutura de criptografia - AWS Orientação prescritiva
Classificação de dadosClassificação do ambienteEventos e processos de mudança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Estrutura de criptografia

Uma estrutura, nesse contexto, se refere a um conjunto de procedimentos operacionais padrão que precisam ser seguidos quando você modifica os padrões ou a política de criptografia. A estrutura é o andaime que ajuda você a implementar os padrões. Isso ajuda a converter palavras em ações. A estrutura vincula as pessoas que definem os padrões às pessoas que os implementam.

As estruturas geralmente incluem os seguintes tópicos:

Classificação de dados

A classificação de dados desempenha um papel vital na criação de uma estratégia de criptografia. A classificação de dados é o processo de atribuição de dados a uma categoria com base na sensibilidade dos dados. A seguir estão categorias comuns de classificação de dados, em ordem crescente de sensibilidade: pública, privada, interna, confidencial e restrita.

Sua estrutura de criptografia deve incluir as seguintes informações sobre classificação de dados:

  • As categorias de classificação de dados para sua empresa.

  • Os critérios de classificação usados para classificar os dados em sua categoria apropriada. Por exemplo, a receita comercial de uma empresa pode ser classificada como restrita, as PII dos funcionários podem ser confidenciais e a comunicação interna entre funcionários por meio de canais oficiais pode ser interna.

  • O processo usado para promover e rebaixar dados entre categorias.

  • Os critérios de acesso para cada categoria de classificação de dados.

  • O tipo de chave de criptografia necessária para cada categoria.

Classificação do ambiente

Sua empresa pode ter vários ambientes, como desenvolvimento, teste, sandbox, pré-produção e produção. Cada ambiente pode conter tipos diferentes de dados e ter requisitos de criptografia diferentes.

Sua estrutura de criptografia deve incluir as seguintes informações sobre seus ambientes:

  • Defina seus ambientes corporativos.

  • Defina os requisitos de criptografia para cada ambiente. Por exemplo, você pode usar uma única chave de criptografia para todas as categorias de dados em seu ambiente de desenvolvimento e, em seu ambiente de produção, você pode usar chaves de criptografia diferentes para cada aplicativo comercial ou categoria de classificação de dados.

Eventos e processos de mudança

Os padrões de criptografia estão sujeitos a mudanças frequentes para que você possa acompanhar as tecnologias, as melhores práticas e as inovações mais recentes. A seguir estão os eventos de alteração comuns que podem iniciar uma revisão de seus padrões de criptografia:

  • Alterações no tamanho mínimo das chaves de criptografia

  • Mudanças na força de um algoritmo de criptografia

  • Alterações em quem pode acessar as chaves de criptografia e como

  • Alterações nos intervalos de rotação de suas teclas

  • Alterações no processo de exclusão de chaves

  • Alterações no local ou nas políticas de armazenamento de chaves

  • Alterações no processo de backup e restauração de chaves

Sua estrutura de criptografia deve incluir o seguinte para ajudar a preparar sua organização para gerenciar, implementar e comunicar alterações nos padrões ou políticas de criptografia:

  • Processo de controle de mudanças — O objetivo desse processo é planejar e se preparar para a próxima mudança. Quando você precisa alterar seus padrões ou políticas de criptografia, esse processo repetível e escalável foi projetado para definir:

    • Como sua organização avalia o impacto da mudança

    • Quem pode iniciar mudanças

    • Quem é responsável pela implementação da mudança

    • Quem é responsável por aprovar a mudança

    • Como sua organização reverteria a mudança, se necessário

  • Processo de auditabilidade e rastreabilidade de alterações — Esse processo define como sua organização audita e rastreia as mudanças, tanto no nível dos metadados quanto no nível dos dados. Ele deve definir como você mantém e acessa registros de:

    • O que mudou

    • Quando foi alterado

    • Quem iniciou, aprovou e implementou a mudança

    Por exemplo, se sua organização alterar a força mínima da chave de criptografia, você deverá ser capaz de determinar os requisitos originais e novos, quando a alteração entrou em vigor e quem esteve envolvido no processo de alteração.

  • Processo de implantação de mudanças — O objetivo desse processo é definir como sua organização implementa a mudança depois de você decidir fazê-la. Esse processo define:

    • Quem são as partes interessadas

    • Se você deve concluir um piloto ou uma prova de conceito

    • Como e quando você deve comunicar o status da mudança

    • Como reverter a alteração, se necessário.

    • Qual deve ser o período de observação após a implementação da mudança.

    • Qual será o processo de observação para monitorar o impacto da mudança, incluindo como coletar feedback sobre a mudança e avaliar a eficácia

  • Processo de aposentadoria — O objetivo desse processo é definir como sua organização lida com a retirada de recursos e informações relacionados à criptografia. Inclui instruções para a aposentadoria real, bem como o processo de comunicação para a aposentadoria.