Polityka Kryptograficzna
Algorytmy, klucze, certyfikaty i szyfrowanie danych w spoczynku i ruchu
1. Zasady Ogólne
Organizacja stosuje kryptografię jako podstawowy mechanizm ochrony poufności i integralności danych, zarówno w spoczynku (at rest) jak i w trakcie przesyłania (in transit). Decyzja o zastosowaniu kryptografii opiera się na klasyfikacji danych (DOC-010) i wynikach oceny ryzyka (DOC-002).
⚠️
Algorytmy przestarzałe – ZAKAZ użycia: MD5, SHA-1 (do podpisu), DES, 3DES, RC4, SSLv2, SSLv3, TLS 1.0, TLS 1.1. Ich użycie stanowi naruszenie niniejszej polityki i wymaga natychmiastowej remediacji.
2. Zatwierdzone Algorytmy i Długości Kluczy
| Kategoria | Algorytm | Min. długość klucza | Zalecana długość | Polityka organizacji |
|---|---|---|---|---|
| Szyfrowanie symetryczne | AES (CBC/GCM) | 128 bit | 256 bit | ▸ [np. AES-256-GCM]min. AES-128 |
| Szyfrowanie asymetryczne (RSA) | RSA | 2048 bit | 4096 bit | ▸ [np. RSA-4096]min. RSA-2048 |
| Szyfrowanie asymetryczne (ECC) | ECDSA / ECDH | 256 bit (P-256) | 384 bit (P-384) | ▸ [np. P-384]min. P-256 |
| Funkcja skrótu (hash) | SHA-2 rodzina | SHA-256 | SHA-384 / SHA-512 | ▸ [np. SHA-256]min. SHA-256 |
| Protokół TLS | TLS | TLS 1.2 | TLS 1.3 | ▸ [np. TLS 1.3 priorytetowo, 1.2 fallback]min. TLS 1.2 |
| Wymiana kluczy | ECDHE / DHE | ECDHE-256 / DH-2048 | ECDHE-384 | ▸ [np. ECDHE]PFS wymagane |
| Szyfrowanie dysków | AES-XTS | 128 bit | 256 bit | ▸ [np. AES-XTS-256]min. AES-128 |
| Haszowanie haseł | bcrypt / Argon2 / PBKDF2 | bcrypt cost≥10 / Argon2id | Argon2id (zalecane) | ▸ [np. bcrypt cost=12]bcrypt cost≥10 |
3. Szyfrowanie Danych w Spoczynku (At Rest)
| Rodzaj danych | Wymaganie szyfrowania | Metoda / narzędzie |
|---|---|---|
| Laptopy i stacje robocze | WYMAGANE – wszystkie urządzenia | ▸ [np. BitLocker / FileVault / LUKS] |
| Serwery z danymi kluczowymi | WYMAGANE | ▸ [np. szyfrowanie na poziomie systemu plików / LUKS / TDE bazy danych] |
| Nośniki przenośne (USB, dyski zewn.) | WYMAGANE – dane poufne i tajne | ▸ [np. VeraCrypt / BitLocker To Go] |
| Dane w chmurze | ▸ [Wymagane dla danych poufnych+]min. dla danych sensytywnych | ▸ [np. szyfrowanie po stronie klienta (CSE) / SSE z kluczami zarządzanymi przez org.] |
| Bazy danych | ▸ [Wymagane dla danych osobowych i tajnych] | ▸ [np. TDE (SQL Server / Oracle) / pg_crypto] |
| Kopie zapasowe (backup) | WYMAGANE – wszystkie kopie | ▸ [np. szyfrowanie w narzędziu backupu] |
4. Szyfrowanie Danych w Tranzycie (In Transit)
| Scenariusz | Wymaganie | Konfiguracja |
|---|---|---|
| Komunikacja przeglądarka – serwer web | HTTPS z TLS 1.2+ WYMAGANE | ▸ [HSTS włączony, HSTS max-age ≥ 31536000 s]min. TLS 1.2 |
| Połączenia API wewnętrzne | ▸ [TLS 1.2+ wymagane]min. TLS 1.2 | ▸ [mTLS dla usług krytycznych] |
| Połączenia do baz danych | TLS wymagane | ▸ [certyfikat serwera weryfikowany] |
| Poczta e-mail | ▸ [TLS dla SMTP, S/MIME lub PGP dla danych poufnych] | ▸ [np. STARTTLS / DANE / SMTPS] |
| VPN | Szyfrowanie end-to-end wymagane | ▸ [np. WireGuard (ChaCha20-Poly1305) / IPsec AES-256] |
| Komunikacja OT/SCADA | Szyfrowanie wymagane tam gdzie możliwe | ▸ [np. TLS lub dedykowane protokoły sektorowe (IEC 62351)] |
5. Zarządzanie Certyfikatami
| Parametr | Wymaganie | Polityka organizacji |
|---|---|---|
| Maksymalna ważność certyfikatu publicznego | 397 dni (wymóg CA/Browser Forum) | ▸ [np. 365 dni]max. 397 dni |
| Monitorowanie wygaśnięcia | Wymagane | ▸ [alerty 30 i 7 dni przed wygaśnięciem]min. 14 dni przed |
| Urząd Certyfikacji (CA) | Zaufany publicznie lub wewnętrzny CA dla usług wewnętrznych | ▸ [np. Let's Encrypt / DigiCert / Microsoft CA wewnętrzny] |
| Rejestr certyfikatów | Wymagany | ▸ [lokalizacja rejestru certyfikatów] |
| Odwoływanie certyfikatów (CRL/OCSP) | Wymagane dla wewnętrznych CA | ▸ [np. OCSP stapling] |
6. Zarządzanie Kluczami Kryptograficznymi
- Klucze kryptograficzne są chronione przed nieuprawnionym dostępem, ujawnieniem i modyfikacją.
- Klucze prywatne nigdy nie są przesyłane niezaszyfrowanym kanałem.
- Rotacja kluczy: klucze symetryczne co ▸ [1 rok]max. 2 lata; klucze asymetryczne co ▸ [2 lata]max. 5 lat.
- Klucze kopii zapasowych (backup encryption keys) przechowywane w sejfie fizycznym lub HSM.
- Procedura niszczenia kluczy: bezpieczne usunięcie po wygaśnięciu lub zmianie klucza – dokumentowane w rejestrze.
▸ Organizacja uzupełnia – system zarządzania kluczami
KMS (Key Management System): ▸ [np. AWS KMS / Azure Key Vault / HashiCorp Vault / HSM Thales]
Rejestr kluczy kryptograficznych: ▸ [lokalizacja rejestru]
7. Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ DD.MM.RRRR | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |
DOC-009 Polityka Kryptograficzna | v1.0 | NIS2/KSC