Deelproject 4.6 Digitaal sleutelbeheer inrichten

Begin met het opstellen van het digitaal sleutelbeheerbeleid. Je kunt hiervoor het voorbeelddocument Digitaal sleutel- en sleutelkluisbeheerbeleid (docx) gebruiken. Hierin beschrijf je hoe het digitaal sleutelbeheer is geregeld binnen je organisatie, welke sleutelkluis is gebruikt, welke maatregelen er zijn genomen voor autorisatie en hoe verantwoordelijkheden zijn belegd. Documenteer het proces van sleutelgeneratie, inclusief logging van wie, wanneer en waarom sleutels zijn aangemaakt, gebruikt of gewijzigd. Dit hoort ondergebracht te worden als workflow in het changemanagementproces. Zie het deelproject 4.5 Changemanagement inrichten.

Als het beleid is opgesteld, ga je inventariseren waar er sleutels worden gebruikt, waarvoor deze worden gebruikt en wie ze gebruikt. Leg vast wie welke taken en bevoegdheden heeft volgens het vierogenprincipe. Bepaal ook welke applicaties op basis van het beleid (zie ook het deelproject 1.7 Classificeren van systemen) digitaal sleutelbeheer moeten worden geïmplementeerd.

Als je de sleutels hebt geïnventariseerd, ga je het sleutelbeheer inrichten. Dit start vaak met de selectie van een digitale sleutelkluis. Kies een sleutelkluis die voldoet aan je beleid en aan internationale normen (onder andere ISO 11770 en BIO U.04.x) en die past binnen je huidige ICT-landschap. Maak koppelingen met bestaande encryptie- en ondertekeningsoplossingen. Zorg voor een automatische sleuteldistributie en -vernieuwing op basis van het beleid. Draag er zorg voor dat de gegenereerde sleutels voldoen aan de beveiligingsbaseline die je hebt opgesteld in deelproject 2.7 Beveiligingseisen en -maatregelen vastleggen in een beveiligingsbaseline.

Heb je het sleutelbeheer ingericht? Dan ga je de bewaking en controle van je systemen inrichten. Zie hiervoor deelproject 4.1 Uitvoeren van logging en monitoring. Ook ga je controleren of sleutels die je al gebruikt, voldoen aan je beleid. Het kan zo zijn dat dit bij oude sleutels niet het geval is. Bijvoorbeeld waar het gaat om sleutellengte, complexiteit en vervangingsfrequentie. Voer daarom een IST-SOLL-controle uit. Je vergelijkt dan bestaande sleutelinstellingen met het beleid en corrigeert waar nodig.

Beperk de toegang tot sleutels op basis van Role Based Access Control (RBAC, zie hiervoor deelproject 3.2 Inrichten van identiteits- en toegangsbeheer) en het uitgangspunt van minimale toegang. Voer periodieke controles uit op het sleutelbeheerproces en de gebruikte sleutels en systemen. Zorg dat toegang tot de sleutelkluis en de wijzigingen en het gebruik worden gemonitord via deelproject 5.5 Monitoren van IT-capaciteit. Maak je gebruik van een SIEMSIEM (Security Information and Event Management) is een technologie die gegevens uit verschillende bronnen verzamelt, analyseert en logboeken beheert om potentiële beveiligingsdreigingen te detecteren. systeem? Dan is het aan te bevelen hierin alerts in te richten voor toegang tot de sleutelkluis, de bediening en het beheer ervan. Een andere optie is om voor wijziging en gebruik een vierogenprincipe in te richten.

Zijn de controle en bewaking ingericht? Dan ga je aansluiten bij het incidentmanagementproces van jouw bestuur. Stel scenario’s op voor sleutelverlies of –diefstal, en richt (geautomatiseerde) reacties in binnen het incidentmanagementproces. Zorg voor mogelijkheden tot sleutelherstel bij verlies of diefstal zonder verlies van data-integriteitData-integriteit heeft betrekking op de juistheid van de informatie. Is het niet verouderd of incorrect?. Overweeg om sleutelincidenten een hoge prioriteit te geven. Zie ook deelproject 2.4 Omgaan met incidenten en datalekken.