Kryptografické algoritmy
Kryptografické algoritmy
Smyslem tohoto ustanovení je zajištění správného užívání kryptografických algoritmů a bezpečné komunikace pro zajištění důvěrnosti předávaných dat a informací.
Aktuální a odolná kryptografie
Provozovatel regulované služby musí pravidelně kontrolovat, zda jsou jím používané kryptografické algoritmy aktuálně odolné, a prosazovat bezpečné nakládání s kryptografickými algoritmy. Vhodným zdrojem informací v této oblasti jsou doporučení vydávaná Úřadem, obzvláště pokud jsou v organizaci využívány kryptografické certifikáty, digitální podpisy či šifrovací algoritmy. Doporučení, která vydává Úřad, lze nalézt na jeho webových stránkách.
Příklad plnění:
- Organizace se řídí doporučeními Úřadu v oblasti kryptografické bezpečnosti.
Zajištění bezpečnosti komunikačních kanálů
V neposlední řadě je na místě zabezpečit hlasovou, audiovizuální a textovou komunikaci, a to včetně e-mailové komunikace. Zde je možné se odkázat na využívání komunikačních platforem, které podporují end-to-end šifrování či ochranné opatření na zabezpečení e-mailové komunikace vydané Úřadem lze nalézt na jeho webových stránkách. Pro případ nouzových situací je vhodné zajistit i bezpečnost tzv. nouzové komunikace, která bude použita v případě výpadku běžně používaných komunikačních linek, na kterou lze zpravidla aplikovat obdobná bezpečnostní opatření jako na běžně používané způsoby komunikace (například využívání end-to-end šifrování)
Příklady plnění:
- IT zaměstnanci odpovědní za nastavení technických aktiv si jsou vědomi problematiky kryptografie a náležitě upravují jednotlivé konfigurace a nastavení. Organizace si spravuje vlastní infrastrukturu kryptografických klíčů (PKI).
- Zaměstnanci organizace disponují jednotlivými nástroji, pravidly a postupy pro práci se šifrovacími algoritmy (například pro zasílání citlivých dokumentů) a jejich používání je hlídáno, aby nedocházelo např. k nedůvěrnému předávání informací klientům či jiné organizaci.
- Doporučení a metodiky vydávané Úřadem v organizaci slouží k revizi a dílčím úpravám nastavení a konfigurací technických aktiv.
- Pro zabezpečenou hlasovou, audiovizuální a textovou komunikaci využívají zaměstnanci mobilní aplikaci s end-to-end šifrováním dle doporučení Úřadu. Totéž platí pro nouzovou komunikaci. Zaměstnanci jsou v rámci školení poučeni o používání end-to-end šifrování v rámci pracovní komunikace.
- Pro e-mailovou komunikaci se poskytovatel regulované služby řídí vydanými opatřeními Úřadem v oblasti zabezpečení elektronické pošty.
- Uživatelé jsou v rámci vstupních či pravidelných školení upozorňováni na důležitost používání odolného šifrování při důvěrné komunikaci (end-to-end šifrování, šifrování souborů, HTTPS atd.).