Sisältökirjasto
NIS2 Opas
9.2: Cryptographic measures, protocols, and key management requirements
NIS2 Täytäntöönpanoasetus
9.2

Cryptographic measures, protocols, and key management requirements

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

The policy and procedures referred to in point 9.1 shall establish:

  1. in accordance with the relevant entities’ classification of assets, the type, strength and quality of the cryptographic measures required to protect the relevant entities’ assets, including data at rest and data in transit;
  2. based on point (a), the protocols or families of protocols to be adopted, as well as cryptographic algorithms, cipher strength, cryptographic solutions and usage practices to be approved and required for use in the relevant entities, following, where appropriate, a cryptographic agility approach;
  3. the relevant entities’ approach to key management, including, where appropriate, methods for the following:
    • generating different keys for cryptographic systems and applications;
    • issuing and obtaining public key certificates;
    • distributing keys to intended entities, including how to activate keys when received;
    • storing keys, including how authorised users obtain access to keys;
    • changing or updating keys, including rules on when and how to change keys;
    • dealing with compromised keys;
    • revoking keys including how to withdraw or deactivate keys;
    • recovering lost or corrupted keys;
    • backing up or archiving keys;
    • destroying keys;
    • logging and auditing of key management-related activities;
    • setting activation and deactivation dates for keys ensuring that the keys can only be used for the specified period of time according to the organization's rules on key management.

    Kuinka täyttää vaatimus

    NIS2 Täytäntöönpanoasetus

    9.2: Cryptographic measures, protocols, and key management requirements

    Tehtävän nimi
    Prioriteetti
    Tila
    Teema
    Politiikka
    Muut vaatimukset

    Salausavainten luettelointi ja hallintajärjestelmä

    Critical
    High
    Normal
    Low
    Täysin tehty
    Pääosin tehty
    Osin tehty
    Tekemättä
    Tekninen tietoturva
    Salaus
    39
    vaatimusta
    Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
    10.1.2: Salausavainten hallinta
    ISO 27017
    21.2.h: Encryption
    NIS2
    CC6.1c: Technical security for protected information assets
    SOC 2
    9.8 §: Salaus
    Kyberturvallisuuslaki
    2.7.1: Establish crypto strategy in the organisation
    NSM ICT-SP
    Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
    Siirry kohtaan >
    Salausavainten luettelointi ja hallintajärjestelmä
    1. Tehtävän vaatimuskuvaus

    Salausavainten hallintajärjestelmällä (CKMS) käsitellään, hallitaan ja varastoidaan salausavamia sekä valvotaan niihin liittyiviä toimenpiteitä. Hallintajärjestelmä voi olla toteutettu automatisoituna työkaluna tai manuaalisempana toteutuksena.

    Organisaatiolla on oltava keinot, joilla salausavainten hallintajärjestelmän avulla seurataan ja raportoidaan kaikista salauksen materiaaleista ja niiden statuksista. Salausavainten hallintajärjestelmää tulisi käyttää ainakin:

    • Salaustilojen muutosten seurantaan
    • Salausavainten luomiseen ja jakeluun
    • Public-key -sertifikaattien luomisee
    • Tunnistamattoman salatun omaisuuden valvontaan
    • Salausavainten luettelointiin, arkistointiin ja varmuuskopiointiin
    • Ylläpitää tietokantaa liitoksista organisaation sertifikaatti- ja salausavainrakenteisiin

    Salauksen ja salausavainten hallinnan huomiointi riskienhallintamenettelyissä

    Critical
    High
    Normal
    Low
    Täysin tehty
    Pääosin tehty
    Osin tehty
    Tekemättä
    Tekninen tietoturva
    Salaus
    4
    vaatimusta
    Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
    9.2: Cryptographic measures, protocols, and key management requirements
    NIS2 Opas
    9.1: Cryptography policy and procedures
    NIS2 Opas
    Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
    Siirry kohtaan >
    Salauksen ja salausavainten hallinnan huomiointi riskienhallintamenettelyissä
    1. Tehtävän vaatimuskuvaus

    Organisaation riskienhallintamenettelyssä on huomioitava riittävällä prioriteetilla salausavainten hallintaan liittyvien riskien tunnistaminen, arvionti, käsittely ja seuraaminen.

    Salauksen ja salausavainten hallintajärjestelmien säännöllinen auditointi

    Critical
    High
    Normal
    Low
    Täysin tehty
    Pääosin tehty
    Osin tehty
    Tekemättä
    Tekninen tietoturva
    Salaus
    5
    vaatimusta
    Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
    9.2: Cryptographic measures, protocols, and key management requirements
    NIS2 Opas
    9.3: Review of cryptographic measures
    NIS2 Opas
    55-56: Kriptografija ir šifravimo politika
    NIS2 Guide Lithuania
    Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
    Siirry kohtaan >
    Salauksen ja salausavainten hallintajärjestelmien säännöllinen auditointi
    1. Tehtävän vaatimuskuvaus

    Organisaation täytyy auditoida salauksen ja salausavainten hallintajärjestelmät ja käytännöt säännöllisesti. Auditointi tulee toteuttaa vähintään vuosittain sekä aina näihin osa-alueisiin liittyvien tietoturvatapahtumien jälkeen.

    Auditoinnissa on tärkeää huomioida mahdolliset toimialakohtaiset salausvaatimukset (esim. HIPAA - terveystiedot, tai PCI DSS - maksukorttitiedot).

    Salausavainten kumoaminen

    Critical
    High
    Normal
    Low
    Täysin tehty
    Pääosin tehty
    Osin tehty
    Tekemättä
    Tekninen tietoturva
    Salaus
    3
    vaatimusta
    Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
    9.2: Cryptographic measures, protocols, and key management requirements
    NIS2 Opas
    Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
    Siirry kohtaan >
    Salausavainten kumoaminen
    1. Tehtävän vaatimuskuvaus

    Organisaatiolla on oltava keinot salausavainten käytöstä poistamiseksi ennen asetetun salausjakson päättymistä. Näitä toimenpiteitä käytetään esimerkiksi avaimen eheyden vaarantuessa tai salauksen kohteen poistuessa organisaation hallusta.

    Tieto salausavaimen kumoamisesta tulisi olla saatavilla kaikille salausavaimeen nojautuneille tahoille. Relevanttien sidosryhmien tiedottamisessa voi olla syytä käyttää mm. certificate revocation -listoja (CRL).

    Salausavainten tuhoaminen

    Critical
    High
    Normal
    Low
    Täysin tehty
    Pääosin tehty
    Osin tehty
    Tekemättä
    Tekninen tietoturva
    Salaus
    3
    vaatimusta
    Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
    9.2: Cryptographic measures, protocols, and key management requirements
    NIS2 Opas
    Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
    Siirry kohtaan >
    Salausavainten tuhoaminen
    1. Tehtävän vaatimuskuvaus

    Organisaatiolla täytyy olla keinot turvallisen ympäristön ulkopuolelle varastoitujen salausavainten tuhomaiseksi sekä HSM:iin (Hardware Security Modules) varastoitujen avainten kumoamiseksi, kun niitä ei enää tarvita.

    Salausavainten tuhoamisessa on huomioitava seuraavat seikat, jotka varmistavat tietojen palauttamattomuuden:

    • Kaikki kopiot salausavaimesta tuhotaan
    • Tietojen paljastumiseen liittyvien riskien näkökulmasta turhat salausavaimet on tuhottava
    • Mahdolliset lainsäädännön vaatimukset tietojen säilyttämiselle on huomioitava

    Salausavainten arkistointi

    Critical
    High
    Normal
    Low
    Täysin tehty
    Pääosin tehty
    Osin tehty
    Tekemättä
    Tekninen tietoturva
    Salaus
    3
    vaatimusta
    Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
    9.2: Cryptographic measures, protocols, and key management requirements
    NIS2 Opas
    Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
    Siirry kohtaan >
    Salausavainten arkistointi
    1. Tehtävän vaatimuskuvaus

    Salausavainten arkistoinnilla tarkoitetaan salausavainten turvallisesti järjestettyä pidemmän aikavälin säilyttämistä. Arkistoiduista avaimista voi olla hyötyä myöhempään tietojen palauttamiseen.

    Organisaatiolla on oltava keinot hallita salausavaimia turvallisessa arkistossa, joka toimii pienimmän käyttöoikeuden periaatteen mukaan.

    Salausavainten arkistoinnissa on huomioita vähintään:

    • Avaimet, joita ei enää tarvita tietojen palauttamiseen, ei arkistoida vaan tuhotaan välittömästi
    • Salausavainten arkistoja tulee käyttää ainoastaan salausavainten pidemmän aikavälin säilyttämiseen
    • Tieto salausavainten arkistoinnista sekä palauttamisesta tallentuu
    • Kaikki liittyvät tapahtumat tallennetaan salausavainten hallintajärjestelmään

    Salausavainten palauttaminen

    Critical
    High
    Normal
    Low
    Täysin tehty
    Pääosin tehty
    Osin tehty
    Tekemättä
    Tekninen tietoturva
    Salaus
    5
    vaatimusta
    Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
    2.7.1: Establish crypto strategy in the organisation
    NSM ICT-SP
    9.2: Cryptographic measures, protocols, and key management requirements
    NIS2 Opas
    57.49: Atsarginių kopijų šifravimas
    NIS2 Guide Lithuania
    Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
    Siirry kohtaan >
    Salausavainten palauttaminen
    1. Tehtävän vaatimuskuvaus

    Salausavainten palauttamisella tarkoitetaan salausavaimen uudelleenrakentamista varmuuskopioiden tai arkistojen avulla.

    Organisaatiolla on oltava keinot arvioda salausavaimen tai salattujen tietojen paljastumisen riskiä verrattuna toiminnan jatkuvuuden vaarantumiseen siinä tapauksessa, että salausavain katoaa.

    Yleinen, riskilähtöinen salauspolitiikka

    Critical
    High
    Normal
    Low
    Täysin tehty
    Pääosin tehty
    Osin tehty
    Tekemättä
    Tekninen tietoturva
    Salaus
    43
    vaatimusta
    Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
    5.1.1: Cryptography management
    TISAX
    30 § 3.8°: La cryptographie et du chiffrement
    NIS2 Belgium
    14.5.9): Kriptografijos ir šifravimo
    NIS2 Lithuania
    I-12: TIETOTURVALLISUUSTUOTTEIDEN ARVIOINTI JA HYVÄKSYNTÄ – SALAUSRATKAISUT
    Katakri 2020
    Article 21: Ensuring the network is free from interference, damage or unauthorized access
    CSL (China)
    Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
    Siirry kohtaan >
    Yleinen, riskilähtöinen salauspolitiikka
    1. Tehtävän vaatimuskuvaus

    Salausratkaisujen tarpeellisuudesta päättäminen nähdään osana kokonaisprosessia, johon sisältyvät riskien arviointi ja muiden hallintatehtävien määrittely.

    Organisaatio on laatinut yleisen salauspolitiikan, jota noudatetaan aina tietoa suojattaessa salauksen avulla.

    Salauspolitiikka määrittelee:

    • yleiset periaatteet salauksen hallintakeinojen käytölle koko organisaatiossa
    • tarvittavan salaustason määrittelytavat omaisuuden riskien arvioinnin perusteella
    • salauksen käytön mobiililaitteissa
    • tavat salausavainten suojaukseen ja salatun tiedon palauttamiseen avainten kadotessa
    • roolit ja velvollisuudet salaukseen liittyen
    • salauksen vaikutukset muihin tietoturvan hallintajärjestelmän tehtäviin

    Politiikkaan sisältyviä tietoturvatehtäviä

    Tehtävän nimi
    Prioriteetti
    Tila
    Teema
    Politiikka
    Muut vaatimukset
    No items found.

    Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

    Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

    Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
    Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
    Aloita ilmainen kokeilu
    Tutustu Digiturvamalliin
    Aloita ilmainen kokeilu
    Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
    AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
    Selkeä suunnitelma vaatimusten täyttämiseen
    Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
    Uskottavat raportit todisteiksi hyvästä tietoturvasta
    Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
    AI-avusteiset parannussuositukset
    Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

    Aloita jo tänään

    Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
    Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

    Ilmainen 14 päivän kokeilu
    Varaa palaveri
    EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
    Kuinka se toimii?
    YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
    Käyttötavat
    Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
    Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
    Resurssit
    AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
    Ota yhteyttä
    +358 10 231 6010
    tiimi@digiturvamalli.fi
    Labs
    Tarjolla kielillä:
    Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
    © Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
    Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin