ISO 27001:2022 Bilag A 8.24 – Brug af kryptografi

• Se ISO 27002:2022 Kontrol 8.24 for mere information.
• Se ISO 27001:2013 Bilag A 10.1.1 for mere information.
• Se ISO 27001:2013 Bilag A 10.1.2 for mere information.

Bilag A 8.24 Forklaret: Implementering af sikre kryptografiske kontroller

Når der overføres information mellem netværk og enheder, kan cyberangribere forsøge at stjæle følsomme data, ændre indhold, efterligne afsendere/modtagere for at få uautoriseret adgang eller opsnappe udvekslingen.

Cyberkriminelle kan ansætte man-in-the-middle (MITM) angreb, aflytning af datatransmissioner og maskeret som server for at få afsenderen til at afsløre loginoplysninger. Med disse legitimationsoplysninger kan de få adgang til systemer og bringe følsomme data i fare.

Kryptografi, såsom kryptering, kan effektivt sikre fortroligheden, integriteten og tilgængeligheden af ​​oplysninger, når de er i transit.

Kryptografiske teknikker kan holde informationsaktiver sikre, når de ikke er i brug. De sikrer, at dataene er beskyttet mod enhver uautoriseret adgang eller ændring.

ISO 27001:2022 Annex A 8.24 skitserer, hvordan organisationer kan skabe og anvende regler og processer vedrørende brugen af ​​kryptografi.

Formål med ISO 27001:2022 bilag A 8.24

ISO 27001: 2022 Bilag A 8.24 giver organisationer mulighed for at sikre fortroligheden, integriteten, ægtheden og tilgængeligheden af ​​informationsaktiver gennem korrekt anvendelse af kryptografi og opfyldelse af følgende kriterier:

• Forretningskrav er et must.
• Sørg informationssikkerhed gennem implementering af strenge krav.
• Lovpligtige, kontraktmæssige og organisatoriske mandater nødvendiggør brugen af ​​kryptografi.

Ejerskab på bilag A 8.24

Overholdelse af bilag A 8.24 nødvendiggør implementering af en politik om kryptografi, etablering af en effektiv nøglehåndteringsproces og bestemmelse af typen af ​​kryptografisk teknik, der er gældende for dataklassificeringen af ​​et givet informationsaktiv.

Chief Information Security Officer skal holdes ansvarlig for at opsætte ordentlige regler og protokoller vedrørende kryptografiske nøgler.

Generel vejledning om ISO 27001:2022 Bilag A 8.24 Overholdelse

ISO 27001: 2022 Bilag A Kontrol 8.24 angiver syv krav, som organisationer skal overholde, når de anvender kryptografiske metoder:

1. Organisationer bør have en politik på plads vedrørende brugen af ​​kryptografi for at maksimere fordelene og reducere risici. Denne politik bør også skitsere generelle principper for beskyttelse af information.
2. Organisationer skal tage højde for, hvor sarte deres informationsressourcer er, samt det informationsklassifikationsniveau, der er udpeget til dem, når de vælger typen, styrken og kvaliteten af ​​krypteringsalgoritmen.
3. Organisationer bør bruge kryptografiske tilgange, når de overfører information til bærbare enheder, medieudstyr, eller når det er gemt derpå.
4. Organisationer er nødt til at tackle ethvert spørgsmål, der er forbundet med nøglehåndtering, såsom at danne og afskærme kryptografiske nøgler og have en ordning for datagendannelse i tilfælde af, at nøglerne mangler eller er sårbare.
5. Organisationer bør definere roller og ansvar for følgende:
• Reglerne for brug af kryptografiske teknikker skal etableres og håndhæves.
• Håndtering af nøgler, herunder deres generering.
6. Organisationen vedtager og godkender standarder, der omfatter kryptografiske algoritmer, krypteringsstyrke og brugspraksis for kryptografi.
7. Organisationer bør overveje den potentielle indvirkning af kryptering på effektiviteten af ​​indholdsinspektionskontrollerne, såsom malware-detektion.

ISO 27001:2022 Annex A 8.24 understreger, at organisationer bør overveje lovkrav og restriktioner, der kan påvirke brugen af ​​kryptografi, herunder international overførsel af krypteret information.

Organisationer bør tage hensyn til ansvar og kontinuitet i tjenester, når de indgår serviceaftaler med eksterne udbydere af kryptografiske tjenester.

Vejledning om Key Management

Organisationer skal opsætte og følge sikre processer til generering, opbevaring, hentning og bortskaffelse af kryptografiske nøgler.

Organisationer bør installere et solidt nøglestyringssystem, der indeholder regler, procedurer og kriterier for:

• Generering af kryptografiske nøgler til en række forskellige systemer og applikationer er nødvendig.
• Udstedelse og opnåelse af offentlige nøglecertifikater.
• Distribuer nøgler til påtænkte modtagere, herunder proceduren for nøgleaktivering.
• Nøgler skal opbevares sikkert. De, der er autoriseret til at få adgang til dem, kan gøre det med de nødvendige legitimationsoplysninger.
• Udskiftning af nøgler.
• Håndtering af kompromitterede nøgler bør tages alvorligt.
• Hvis nøgler kompromitteres, eller et autoriseret personale forlader en organisation, skal de tilbagekaldes.
• Gendannelse af mistede nøgler.
• Sikkerhedskopiering og arkivering af nøgler bør udføres regelmæssigt.
• Ødelægge nøgler.
• Oprethold en fortegnelse over alle aktiviteter, der er knyttet til hver nøgle.
• Etablering af aktiverings- og deaktiveringsdatoer for nøgler.
• Adgang til nøgler som svar på juridiske anmodninger.

Endelig er det vigtigt, at organisationer er opmærksomme på de tre hovedrisici, som denne supplerende vejledning skitserer:

1. Sikre og private nøgler bør beskyttes mod uautoriseret brug.
2. Beskyttelse af udstyr, der bruges til at oprette eller opbevare krypteringsnøgler, bør udføres med fysisk sikkerhed foranstaltninger.
3. Organisationer bør sikre gyldigheden af ​​deres offentlige nøgler.

Hvad er fordelene ved kryptografi?

ISO 27001:2022 Annex A 8.24 angiver, at kryptografi kan bruges til at hjælpe organisationer med at nå fire informationssikkerhedsmål. Disse mål inkluderer at verificere ægtheden af ​​offentlige nøgler gennem offentlige nøgleadministrationsprocesser:

1. Kryptografi sikrer, at fortroligheden af ​​data, både under transport og lagring, bevares.
2. Digitale signaturer og autentificeringskoder garanterer, at den kommunikerede information er ægte og pålidelig.
3. Kryptografiske metoder giver sikkerhed for, at alle hændelser eller handlinger, der udføres, inklusive modtagelse af information, ikke vil blive afvist.
4. Autentificering gennem kryptografiske metoder giver organisationer mulighed for at validere identiteten på brugere, der søger adgang til systemer og applikationer.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.24 erstatter ISO 27001:2013 Bilag A 10.1.1 og 10.1.2 i den reviderede 2022-standard.

Indholdet af de to er næsten det samme, selvom der er nogle strukturelle ændringer.

Mens 2013-versionen havde to separate kontroller, 10.1.1 og 10.1.2, til brug af kryptografi, konsoliderede 2022-versionen disse i én bilag A-kontrol, 8.24.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvordan ISMS.online Hjælp

ISMS.Online er den førende ISO 27001-styringssystemsoftware, der hjælper virksomheder med at overholde ISO 27001:2022 og sikre, at deres sikkerhedspolitikker og -procedurer overholder standarden.

Denne skybaseret platform tilbyder et omfattende sæt værktøjer til at hjælpe organisationer med at implementere et Information Security Management System (ISMS) i overensstemmelse med ISO 27001.

Ræk ud og book en demonstration i dag.