12.3 Cryptografische beheersmaatregelen
Dit is een Doelstelling (ID: 12.03) binnen het thema 12 Verwerving ontwikkeling en onderhoud van Informatiesystemen.
De tekst van deze doelsteling is: '
Beheersmaatregelen en voorbeelden[bewerken]
- 12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen
- 12.3.1.1 De gebruikte cryptografische algoritmen voor versleuteling zijn als open standaard gedocumenteerd en zijn door onafhankelijke betrouwbare deskundigen getoetst.
- 12.3.1.2 Bij de inzet van cryptografische producten volgt een afweging van de risico’s aangaande locaties, processen en behandelende partijen.
- 12.3.1.3 (A) De cryptografische beveiligingsvoorzieningen en componenten voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS 140-2 en waar mogelijk NBV).
- 12.3.2 Sleutelbeheer
- 12.3.2.1 In het sleutelbeheer is minimaal aandacht besteed aan het proces, de actoren en hun verantwoordelijkheden.
- 12.3.2.2 De geldigheidsduur van cryptografische sleutels wordt bepaald aan de hand van de beoogde toepassing en is vastgelegd in het cryptografisch beleid.
- 12.3.2.3 De vertrouwelijkheid van cryptografische sleutels dient te zijn gewaarborgd tijdens generatie, gebruik, transport en opslag van de sleutels.
- 12.3.2.4 Er is een procedure vastgesteld waarin is bepaald hoe wordt omgegaan met gecompromitteerde sleutels.
- 12.3.2.5 (A) Bij voorkeur is sleutelmanagement ingericht volgens PKI Overheid