Polityka szyfrowania dla Rask AI

Brask Inc

Cel

Niniejsza polityka określa wymagania organizacyjne dotyczące stosowania kontroli kryptograficznych, a także wymagania dotyczące kluczy kryptograficznych w celu ochrony poufności, integralności, autentyczności i niezaprzeczalności informacji.

Zakres

Niniejsza polityka ma zastosowanie do wszystkich systemów, urządzeń, obiektów i informacji w zakresie

Rask Program bezpieczeństwa informacji AI. Wszyscy pracownicy, wykonawcy, pracownicy zatrudnieni w niepełnym wymiarze godzin i pracownicy tymczasowi, usługodawcy i osoby zatrudnione przez inne osoby do wykonywania pracy w imieniu organizacji związanej z systemami kryptograficznymi, algorytmami lub materiałami kluczującymi podlegają tej polityce i muszą jej przestrzegać.

Kontekst

Niniejsza polityka definiuje cele wysokiego poziomu i instrukcje implementacji dla Rask AI wykorzystania algorytmów i kluczy kryptograficznych. Istotne jest, aby organizacja przyjęła standardowe podejście do kontroli kryptograficznej we wszystkich centrach roboczych w celu zapewnienia kompleksowego bezpieczeństwa, jednocześnie promując interoperacyjność. Niniejszy dokument określa konkretne algorytmy zatwierdzone do użytku, wymagania dotyczące zarządzania kluczami i ich ochrony oraz wymagania dotyczące korzystania z kryptografii w środowiskach chmurowych.

Role i obowiązki

Dział Infrastruktury ML Brask utrzymuje i aktualizuje niniejszą politykę. Dyrektor generalny i dział prawny zatwierdzają niniejszą politykę i wszelkie zmiany.

Polityka

Kontrola kryptografii

Rask AI chroni poszczególne systemy i informacje za pomocą kontroli kryptograficznych, jak opisano poniżej:

Prawo właściwe

Szyfrowanie zatwierdzone przez organizację musi być zgodne z odpowiednimi przepisami lokalnymi i międzynarodowymi, w tym z ograniczeniami dotyczącymi importu/eksportu. Szyfrowanie używane przez Rask AI spełnia międzynarodowe standardy i wymagania Stanów Zjednoczonych, umożliwiając międzynarodowe wykorzystanie.

Zarządzanie kluczami

Klucze muszą być zarządzane przez ich właścicieli i chronione przed utratą, zmianą lub zniszczeniem. Odpowiednia kontrola dostępu i regularne tworzenie kopii zapasowych są obowiązkowe.

Usługa zarządzania kluczami

Całe zarządzanie kluczami musi odbywać się za pomocą oprogramowania, które automatycznie zarządza generowaniem kluczy, kontrolą dostępu, bezpiecznym przechowywaniem, tworzeniem kopii zapasowych i rotacją kluczy. W szczególności:

  • Usługa zarządzania kluczami musi zapewniać dostęp do kluczy specjalnie wyznaczonym użytkownikom, z możliwością szyfrowania/deszyfrowania informacji i generowania kluczy szyfrowania danych.
  • Usługa zarządzania kluczami musi zapewniać dostęp do administracji kluczami specjalnie wyznaczonym użytkownikom, z możliwością tworzenia, planowania usuwania, włączania/wyłączania rotacji i ustawiania zasad użytkowania kluczy.
  • Usługa zarządzania kluczami musi przechowywać i tworzyć kopie zapasowe kluczy przez cały okres ich eksploatacji.
  • Usługa zarządzania kluczami musi wymieniać klucze co najmniej raz na 12 miesięcy.

Tajny klucz

Tajne (symetryczne) klucze muszą być bezpiecznie dystrybuowane i chronione w spoczynku za pomocą rygorystycznych środków bezpieczeństwa.

Klucz publiczny

Kryptografia klucza publicznego wykorzystuje pary kluczy publiczny-prywatny. Klucz publiczny jest zawarty w certyfikacie cyfrowym wydanym przez urząd certyfikacji, podczas gdy klucz prywatny pozostaje u użytkownika końcowego.

Inny klucz publiczny

  • Jeśli klucze są generowane w oprogramowaniu, użytkownicy muszą utworzyć co najmniej jedną bezpieczną kopię zapasową.
  • Użytkownicy muszą utworzyć kopię depozytową kluczy prywatnych do szyfrowania i dostarczyć ją przedstawicielowi zespołu ds. infrastruktury.
  • Zespół ds. infrastruktury nie przechowuje kluczy prywatnych dla certyfikatów tożsamości.
  • Wszystkie kopie zapasowe muszą być chronione hasłem.