Všetky templates
08
NIS2 čl. 21(2)(h)
Politika kryptografie a šifrovania
Kap. 9 — Policies and procedures regarding use of cryptography and encryption · CISO / Cryptographic Officer · 104 riadkov · 12 placeholders
Placeholders na vyplnenie pred finálnou schvalbou:
{{OWNER_NAME}}{{OWNER_ROLE}}{{APPROVER_NAME}}{{APPROVER_ROLE}}{{APPROVAL_DATE}}{{NEXT_REVIEW_DATE}}{{SCOPE}}{{KMS_PROVIDER}}{{DEK_ROTATION}}{{SIGN_KEY_ROTATION}}{{API_KEY_ROTATION}}{{PQC_TARGET_YEAR}}PreviewStiahnuť markdown
# Politika kryptografie a šifrovania
**Vlastník:** {{OWNER_NAME}} ({{OWNER_ROLE}})
**Schválil:** {{APPROVER_NAME}} ({{APPROVER_ROLE}})
**Dátum schválenia:** {{APPROVAL_DATE}}
**Verzia:** 1.0
**Plánovaná ďalšia revízia:** {{NEXT_REVIEW_DATE}}
**Rozsah:** {{SCOPE}}
## 1. Účel
Stanovuje požiadavky na použitie kryptografických riešení pri ochrane dôvernosti a integrity dát v súlade s NIS2 čl. 21(2)(h) a ENISA IR kap. 9.
## 2. Rozsah
Vzťahuje sa na všetky systémy, ktoré spracovávajú, ukladajú alebo prenášajú:
- osobné údaje (GDPR),
- dôverné alebo klasifikované obchodné dáta,
- autentifikačné credentials a session tokens,
- zálohy a archívy kritických dát.
## 3. Schválené algoritmy a parametre
### 3.1 Symetrická kryptografia
- **Povolené:** AES-256 (GCM, CCM, CTR).
- **Zakázané:** DES, 3DES, RC4, algoritmy s kľúčom < 128 bitov.
### 3.2 Asymetrická kryptografia
- **Povolené:** RSA-3072+, ECDSA P-256+ (P-384 pre dlhodobé certifikáty), Ed25519.
- **Zakázané:** RSA < 2048, DSA.
### 3.3 Hash funkcie
- **Povolené:** SHA-256, SHA-384, SHA-512, SHA-3.
- **Password hashing:** Argon2id (preferred), bcrypt (min cost 12), scrypt.
- **Zakázané:** MD5, SHA-1 (okrem legacy integrity kontrol s dokumentovaným rizikom).
### 3.4 TLS
- **Minimum:** TLS 1.2; **odporúčanie:** TLS 1.3.
- **Cipher suites:** iba PFS (Perfect Forward Secrecy).
- **HSTS:** povinné pre verejné domény, max-age ≥ 1 rok, includeSubDomains.
- **Certifikáty:** publicly-trusted CA pre verejné endpointy; interná CA pre intranet.
## 4. Šifrovanie dát
- **Data at rest:** full-disk encryption (FileVault, BitLocker, LUKS), DB-level encryption (TDE) pre citlivé stĺpce.
- **Data in transit:** TLS 1.2+ medzi všetkými službami, interne aj externe.
- **Backups:** AES-256, kľúče oddelené od backup média.
- **Mobile devices:** MDM s vynucovaným encryption.
## 5. Key management
### 5.1 Lifecycle
- **Generovanie:** v schválenom KMS / HSM ({{KMS_PROVIDER}}).
- **Distribúcia:** cez KMS API, nikdy nie plaintext v kóde alebo config files.
- **Rotácia:**
- Data encryption keys: podľa risk assessmentu (minimálne {{DEK_ROTATION}}).
- Signing keys: {{SIGN_KEY_ROTATION}}.
- Access keys (API, service accounts): {{API_KEY_ROTATION}}.
- **Revokácia:** okamžite pri podozrení kompromitácie, offboardingu, alebo compromise indikátore.
### 5.2 Storage
- **HSM / KMS** pre master kľúče a high-value signing kľúče.
- **Separation of duties:** key management role oddelená od systémovej administrácie.
- **Backup kľúčov:** sealed offline backup s dual control pre recovery.
### 5.3 Zakázané praktiky
- Hardcoded kľúče v zdrojovom kóde alebo repozitároch.
- Zdieľanie kľúčov medzi prostrediami (dev ≠ prod).
- Kľúče v plaintext v log súboroch alebo error messages.
## 6. Certificate management
- **Inventár:** centrálny register všetkých X.509 certifikátov s expiračnými dátumami.
- **Monitoring:** alerty 30/14/7 dní pred expiráciou.
- **Automatizácia:** preferované ACME (Let's Encrypt, interné ACME server) alebo cert-manager.
## 7. Crypto-agility a post-quantum
- **Inventár kryptografie** v systémoch udržiavaný pre rýchlu reakciu na objavené slabiny.
- **Post-quantum readiness:** roadmap migrácie na NIST PQC finalists (CRYSTALS-Kyber, Dilithium) do {{PQC_TARGET_YEAR}}.
- **Hybrid schémy** pre prechodné obdobie.
## 8. Právne a regulačné požiadavky
- **GDPR čl. 32** — šifrovanie ako primerané opatrenie.
- **eIDAS** pre elektronické podpisy a pečate v štátnej komunikácii.
- **Export kontroly:** pri použití silnej kryptografie v krajinách s obmedzeniami.
## 9. Výnimky
Výnimky z tejto politiky schvaľuje výlučne {{APPROVER_ROLE}} s dokumentovaným risk assessmentom a kompenzujúcimi opatreniami. Evidované v exception registri s time-bound platnosťou.
## 10. Revízia
Ročne + pri:
- objavení slabosti použitého algoritmu,
- regulačnej zmene (napr. aktualizácia ENISA / NIST guidance),
- prechode na novú kryptografickú generáciu.
## 11. Súvisiace dokumenty
- Politika prístupových práv
- Politika riadenia incidentov (kľúč compromise = security incident)
- Business continuity policy (backup encryption)
- Politika vývoja (secure key handling v kóde)
---
**Schválenie**
{{APPROVER_NAME}}, {{APPROVER_ROLE}}
Dátum: {{APPROVAL_DATE}}
Podpis: ____________________
Orientačná šablóna v súlade s ENISA IR 2024/2690 a NIS2 čl. 21. Pre záväzné určenie scope obligácií a schvaľovania kontaktujte NBÚ (SR), NÚKIB (ČR) alebo interný právny tím. Šablóna nenahrádza právne poradenstvo.