22 maj 2025

Zarządzanie kryptografią w banku spółdzielczym – zgodność z DORA, NIST i EPC342-08

ZARZĄDZANIE KRYPTOGRAFIĄ W BANKU SPÓŁDZIELCZYM ZGODNOŚĆ Z DORA NIST I EPC342-08
ZARZĄDZANIE KRYPTOGRAFIĄ W BANKU SPÓŁDZIELCZYM ZGODNOŚĆ Z DORA NIST I EPC342-08

 

Kryptografia to nie tylko narzędzie bezpieczeństwa – to kluczowy element zgodności regulacyjnej w bankowości. Rozporządzenie DORA, normy NIST oraz standard EPC342-08 wskazują jasno: banki spółdzielcze muszą mieć formalną politykę kryptograficzną, zarządzać cyklem życia kluczy i być gotowe na obsługę incydentów kryptograficznych.

W tym wpisie blogowym:

  • opisujemy wymagania dot. polityki zarządzania kluczami kryptograficznymi,

  • wyjaśniamy, jak klasyfikować incydenty kryptograficzne,

  • podpowiadamy, jak integrować procesy z audytem i dostawcami zewnętrznymi.

Polityka zarządzania kryptografią – od czego zacząć?

Co musi zawierać polityka kryptograficzna zgodna z DORA i NIST?

  1. Cele i zakresdo czego używana jest kryptografia (ochrona danych, komunikacja, uwierzytelnianie).

  2. Stosowane algorytmywymagane poziomy bezpieczeństwa, zgodność z NIST i EPC342-08 (np. AES-256, RSA-2048, SHA-2).

  3. Zasady zarządzania kluczamigenerowanie, przechowywanie, dystrybucja, rotacja, niszczenie.

  4. Cykl życia kluczy kryptograficznychod wygenerowania do wycofania i zniszczenia.

  5. Użycie HSM (modułów sprzętowych bezpieczeństwa)rekomendowane dla kluczy o znaczeniu krytycznym.

  6. Rola i odpowiedzialnośćkto zarządza, kto zatwierdza, kto monitoruje.

📌 Polityka powinna być zatwierdzona przez zarząd, przechowywana w repozytorium SZBI i aktualizowana co najmniej raz w roku.

Cykl życia klucza kryptograficznego – zgodnie z najlepszymi praktykami

Cykl życia klucza to proces, który powinien być w pełni kontrolowany:

  1. Tworzeniez wykorzystaniem bezpiecznych generatorów w HSM.

  2. Rejestracjazapisanie metadanych, identyfikatora, właściciela.

  3. Dystrybucjazaszyfrowany kanał, ograniczony dostęp.

  4. Użycielogowanie, audyt użycia, przypisanie do systemów.

  5. Archiwizacja lub wycofaniez zachowaniem dostępności do danych historycznych.

  6. Zniszczenietrwałe usunięcie (np. z certyfikatem usunięcia).

 Zgodność z normami NIST i EPC wymaga, aby każdy etap był rejestrowany i dostępny do audytu.

Incydenty kryptograficzne – co to jest i jak je klasyfikować?

Przykłady incydentów kryptograficznych:

  • użycie przestarzałego lub słabego algorytmu (np. SHA-1),

  • utrata lub ujawnienie klucza prywatnego,

  • brak rotacji klucza po określonym czasie,

  • błąd integracji z HSM, skutkujący brakiem możliwości odszyfrowania danych,

  • niedozwolony dostęp do danych objętych szyfrowaniem.

Klasyfikacja incydentu:

KryteriumPoziom wpływuWymagane działania
Utrata klucza produkcyjnegoWysokiZgłoszenie do KNF, CSIRT KNF, pełna analiza incydentu
Przestarzałe szyfrowanie bez planu migracjiŚredniPlan naprawczy, aktualizacja dokumentacji
Błąd integracji HSM w systemie testowymNiskiRejestracja incydentu, weryfikacja procedur

Uwaga: zgodnie z DORA, wszystkie incydenty kryptograficzne należy zgłaszać i dokumentować – również te, które nie skutkują naruszeniem danych.

Współpraca z audytorami i dostawcami zewnętrznymi

Integracja zarządzania kryptografią z audytem i outsourcerami

  • Dostawcy usług chmurowych i HSM muszą być objęci audytem zgodności,

  • Umowy z dostawcami powinny zawierać klauzule dot. kryptografii:

    • lokalizacja danych,

    • rotacja i przekazanie kluczy,

    • dostępność dokumentacji i testów.

  • Audyt wewnętrzny lub SSOZ powinien mieć dostęp do polityki, rejestrów i historii incydentów.

W rejestrze usług ICT należy wskazać wszystkich dostawców, którzy obsługują lub przetwarzają dane szyfrowane.

Potrzebujesz pomocy we wdrożeniu polityki kryptograficznej?

Zespół Servus Comp Kraków oferuje:

  • wsparcie w opracowaniu pełnej polityki zarządzania kryptografią zgodnej z DORA, NIST, EPC342-08,

  • wsparcie we wdrożeniu rejestru kluczy i cyklu życia,

  • wsparcie w klasyfikacji incydentów i integrację z systemem zgłoszeniowym,

  • wsparcie przy przeglądzie umów z dostawcami HSM, chmury i outsourcingu ICT.

Skontaktuj się z nami – zadbaj o zgodność kryptografii w swoim banku zgodnie z obowiązującymi standardami.

Zapraszamy Państwa do zapoznania się z naszą ofertą:

PLATFORMA KRÓTKICH SZKOLEŃ  – kompleksowe wsparcie dla banków spółdzielczych zgodne z wytycznymi DORA i RTS
https://premiumbank.zadbajobezpieczenstwo.pl/platforma-krotkich-szkolen-kompleksowe-wsparcie-dla-bankow-spoldzielczych-zgodne-z-wytycznymi-dora-i-rts/
AUDYT ZGODNOŚCI Z DORA JAK UZYSKAĆ PEŁNY OBRAZ BEZPIECZEŃSTWA ICT BANKU SPÓŁDZIELCZEGO

https://premiumbank.zadbajobezpieczenstwo.pl/audyt-zgodnosci-z-dora-jak-uzyskac-pelny-obraz-bezpieczenstwa-ict-banku-spoldzielczego/

ANALIZA UMÓW OUTSOURCINGOWYCH WAŻNY ELEMENT CYBERBEZPIECZEŃSTWA W ŚRODOWISKU ICT BANKU SPÓŁDZIELCZEGO

https://premiumbank.zadbajobezpieczenstwo.pl/analiza-umow-outsourcingowych-wazny-element-cyberbezpieczenstwa-w-srodowisku-ict-banku-spoldzielczego/

NOWA ERA AUDYTÓW BEZPIECZEŃSTWA INFORMACJI W BANKACH SPÓŁDZIELCZYCH: DLACZEGO WARTO DZIAŁAĆ JUŻ TERAZ?

https://premiumbank.zadbajobezpieczenstwo.pl/nowa-era-audytow-bezpieczenstwa-informacji-w-bankach-spoldzielczych-dlaczego-warto-dzialac-juz-teraz/

https://premiumbank.zadbajobezpieczenstwo.pl

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.

Servus Comp Data Security, Świętokrzyska 12/403  30-015 Kraków  
tel.  +48 608 407 668, +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS

Dodaj komentarz