Wat vereis beheer A.3.26?
Reëls vir die effektiewe gebruik van kriptografie met betrekking tot PII-verwerking, insluitend kriptografiese sleutelbestuur, moet gedefinieer en geïmplementeer word.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en vereis dat organisasies 'n gestruktureerde, beleidsgedrewe benadering tot kriptografie volg. Dit is nie voldoende om bloot data te enkripteer nie – die organisasie moet reëls definieer wat spesifiseer wanneer kriptografie vereis word, watter algoritmes en sleutellengtes aanvaarbaar is, hoe sleutels deur hul lewensiklus bestuur word en hoe kriptografiese vermoëns aan kliënte gekommunikeer word.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.26) verskaf die volgende riglyne:
- Jurisdiksionele vereistes — Sommige jurisdiksies kan die gebruik van kriptografie vereis om spesifieke soorte persoonlike inligting te beskerm, soos gesondheidsdata, inwonerregistrasienommers, paspoortnommers en bestuurslisensienommers.
- Kliëntdeursigtigheid — Die organisasie moet inligting aan die kliënt verskaf oor die omstandighede waaronder dit kriptografie gebruik om die persoonlike inligting wat dit verwerk, te beskerm.
- Kliënt selfdiens enkripsie — Die organisasie moet ook inligting verskaf oor enige vermoëns wat dit bied wat die kliënt kan help om hul eie kriptografiese beskerming toe te pas.
- Sien ook A.3.22: Gebruikerseindpunttoestelle vir verwante vereistes
- Sien ook A.3.25: Logging vir verwante vereistes
Die riglyne beklemtoon twee belangrike dimensies: verpligte enkripsie wat deur die wet opgelê word (wat wissel volgens jurisdiksie en tipe persoonlike inligting) en deursigtigheid teenoor kliënte oor watter enkripsie toegepas word en watter opsies beskikbaar is. Verwerkers moet veral voorbereid wees om hul enkripsieargitektuur aan beheerders te verduidelik.
Hoe pas dit by die GDPR?
Beheer A.3.26 karteer na die volgende BBP Artikel:
- Artikel 32 (1) (a) — Die vereiste om toepaslike tegniese en organisatoriese maatreëls te implementeer, insluitend die pseudonimisasie en enkripsie van persoonlike data
Artikel 32(1)(a) noem enkripsie eksplisiet as 'n gepaste tegniese maatreël, wat kriptografie een van die min spesifieke tegnologieë maak waarna direk verwys word in die BBPEnkripsie verskyn ook in GDPR-oorweging 83 en kan verpligtinge om kennisgewings oor oortredings kragtens Artikel 34(3)(a) te verminder waar data vir ongemagtigde persone onverstaanbaar gemaak word.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klausules 6.7.1.1 (beleid oor die gebruik van kriptografiese beheermaatreëls) en 6.7.1.2 (sleutelbestuur). Die 2025-uitgawe konsolideer beide in A.3.26 met verenigde implementeringsriglyne in B.3.26. Die riglyne plaas nou groter klem op die kommunikasie van kriptografiese vermoëns aan kliënte en die ondersteuning van kliënt-toegepaste enkripsie. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.26 beoordeel word, sal ouditeure tipies kyk na:
- Kriptografiebeleid — ’n Gedokumenteerde beleid wat spesifiseer wanneer enkripsie vereis word, goedgekeurde algoritmes en sleutellengtes, sleutelbestuurprosedures en rolle verantwoordelik vir kriptografiese beheermaatreëls
- Enkripsie in rus — Bewyse dat PII in rus geïnkripteer is met behulp van goedgekeurde algoritmes, insluitend databasisenkripsie, skyfenkripsie en rugsteunenkripsie
- Enkripsie in transito — Bewyse dat PII tydens transito geïnkripteer word met behulp van TLS 1.2 of hoër vir alle data-oordragkanale.
- Sleutelbestuurprosedures — Gedokumenteerde prosedures vir sleutelgenerering, verspreiding, berging, rotasie, herroeping en vernietiging
- Jurisdiksionele nakoming — Bewyse dat enkripsievereistes wat deur toepaslike jurisdiksies opgelê word, nagekom word vir die relevante PII-kategorieë
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.20 Stoormedia | Verwyderbare media wat persoonlike inligting bevat, moet waar moontlik enkripsie gebruik |
| A.3.7 Inligtingsoordrag | PII-oordragte moet deur enkripsie tydens oordrag beskerm word |
| A.3.24 Rugsteun van inligting | Rugsteundata wat persoonlike inligting bevat, moet geïnkripteer wees |
| A.3.28 Toepassingssekuriteitsvereistes | Toepassingsvlak-enkripsievereistes word deur die kriptografiebeleid beïnvloed |
| A.1.4.10 PII-oordragkontroles | Beheerder-oordragkontroles maak staat op kriptografiese beskerming |
Op wie is hierdie beheer van toepassing?
A.3.26 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders moet kriptografiereëls vir hul eie PII-verwerking definieer en implementeer. Verwerkers het bykomende verpligtinge om hul gebruik van kriptografie aan kliënte te kommunikeer en om vermoëns te verskaf wat kliënte in staat stel om hul eie enkripsie toe te pas waar toepaslik.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir kriptografiebestuur?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van u kriptografieprogram:
- Kriptografiebeleidsjablone — Voorafgeboude beleidsjablone wat goedgekeurde algoritmes, sleutellengtes, gebruiksgevalle en sleutelbestuurvereistes dek, aanpasbaar vir u organisasie
- Sleutelbestuurregister — Spoor kriptografiese sleutels oor u stelsels op met lewensiklusbestuur: generering, verspreiding, rotasie, verval en vernietiging
- Nakomingskartering — Koppel jou kriptografiese beheermaatreëls aan jurisdiksionele vereistes, GDPR Artikel 32 en ISO 27701 beheer A.3.26 in een aansig
- Bewysbestuur — Stoor bewyse van enkripsiekonfigurasie, sleutelbestuurrekords en beleidserkennings in 'n gestruktureerde, ouditgereed formaat.
- Hersien skedulering — Beplan periodieke hersienings van u kriptografiebeleid en sleutelbestuurspraktyke met outomatiese herinneringe
Vrae & Antwoorde
Watter enkripsie-algoritmes word aanbeveel?
Die standaard skryf nie spesifieke algoritmes voor nie, maar beste praktyke in die bedryf beveel tans AES-256 aan vir simmetriese enkripsie in rus, TLS 1.2 of 1.3 vir enkripsie in transito en RSA-2048 (of hoër) of elliptiese kurwe-ekwivalente vir asimmetriese enkripsie. Organisasies moet riglyne van nasionale kriptografiese owerhede (soos NCSC in die VK of NIST in die VSA) raadpleeg en hul goedgekeurde algoritmes gereeld hersien soos kriptografiese standaarde ontwikkel.
Verminder enkripsie verpligtinge om GDPR-oortredings te kennisgewing?
Artikel 34(3)(a) van die AVG bepaal dat kommunikasie aan datasubjekte nie vereis word indien die organisasie toepaslike tegniese beskermingsmaatreëls geïmplementeer het wat persoonlike data onverstaanbaar maak vir enige persoon wat nie gemagtig is om toegang daartoe te verkry nie, soos enkripsie. Dit verwyder egter nie die verpligting om die toesighoudende owerheid ingevolge Artikel 33 in kennis te stel nie. Enkripsie kan dus die omvang en impak van kennisgewing van oortredings verminder, maar skakel dit nie heeltemal uit nie.
Wat behels sleutelbestuur?
Sleutelbestuur dek die volle lewensiklus van kriptografiese sleutels: generering (met behulp van veilige ewekansige getalgenerators), verspreiding (slegs veilige kanale), berging (in hardeware-sekuriteitsmodules of ekwivalente veilige stoorplekke), rotasie (vervanging van sleutels met gedefinieerde tussenposes of na vermoedelike kompromie), herroeping (deaktivering van sleutels wat gekompromitteer is of nie meer nodig is nie) en vernietiging (veilige verwydering van sleutels aan die einde van hul lewensiklus). Swak sleutelbestuur kan andersins sterk enkripsie heeltemal ondermyn.
Dokumenteer jou enkripsiebenadering in jou Verklaring van toepaslikheid.
sien ons gids vir vereistes vir ouditbewyse vir wat kriptografiese bewysouditeure verwag.
