ISO 27002:2022, Kontrol 8.24 – Brug af kryptografi

ISO 27002:2022 Reviderede kontroller

Book en demo

unge,forretning,kolleger,arbejder,i,et,travlt,åbent,plan,kontor

Når informationer transmitteres mellem netværk og enheder, kan cyberangribere bruge forskellige teknikker til at stjæle følsom information under transit, manipulere med indholdet af informationen, udgive sig for at være afsender/modtager for at få uautoriseret adgang til information eller opsnappe overførslen af ​​information.

For eksempel kan cyberkriminelle bruge man-in-the-middle (MITM) angrebsteknikken, opsnappe transmissionen af ​​data og efterligne serveren for at overtale afsenderen til at afsløre hans/hendes loginoplysninger til den falske server. De kan derefter bruge disse legitimationsoplysninger til at få adgang til systemer og kompromittere følsomme oplysninger.

Brugen af ​​kryptografi såsom kryptering kan være effektiv til at beskytte fortroligheden, integriteten og tilgængeligheden af ​​informationsaktiver, når de er i transit.

Ydermere kan kryptografiske teknikker også opretholde sikkerheden for informationsaktiver, når de er i ro.

Kontrol 8.24 omhandler, hvordan organisationer kan etablere og implementere regler og procedurer for brug af kryptografi.

Formål med kontrol 8.24

Kontrol 8.24 gør det muligt for organisationer at opretholde fortroligheden, integriteten, ægtheden og tilgængeligheden af ​​informationsaktiver ved korrekt implementering af kryptografiske teknikker og ved at tage hensyn til følgende kriterier:

  • Forretningsbehov.

  • Krav til informationssikkerhed.

  • Lovpligtige, kontraktmæssige og organisatoriske krav vedrørende brugen af ​​kryptografi.

Kontrolattributter 8.24

Kontrol 8.24 er en forebyggende form for kontrol, der kræver, at organisationer etablerer regler og procedurer for effektiv brug af kryptografiske teknikker og dermed eliminerer og minimerer risici for kompromittering af informationsaktiver, når de er i transit eller i hvile.

Kontrol type Informationssikkerhedsegenskaber CybersikkerhedskoncepterOperationelle evnerSikkerhedsdomæner
#Forebyggende#Fortrolighed
#Integritet
#Tilgængelighed		#Beskytte#Sikker konfiguration#Beskyttelse
Gå til emne
Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

Ejerskab på kontrol 8.24

Overholdelse af 8.24 kræver etablering og implementering af en specifik politik for kryptografi, skabelse af en effektiv nøglehåndteringsproces og bestemmelse af typen af ​​kryptografisk teknik, der er passende til niveauet for informationsklassificering, der er tildelt et bestemt informationsaktiv.

Derfor bør informationssikkerhedschefen være ansvarlig for at fastlægge passende regler og procedurer for brugen af ​​kryptografiske nøgler.

Generel vejledning om overholdelse

Kontrol 8.24 angiver syv krav, som organisationer skal overholde, når de bruger kryptografiske teknikker:

  1. Organisationer bør oprette og vedligeholde en emnespecifik politik for brugen af ​​kryptografi. Denne politik er afgørende for at maksimere fordelene ved kryptografiske teknikker, og den reducerer de risici, der kan opstå ved brug af kryptografi. Det bemærkes også, at denne politik bør dække generelle principper for beskyttelse af information.

  2. Organisationer bør overveje informationsaktivernes følsomhedsniveau og informationsklassifikationsniveauet, der er tildelt dem, når de beslutter sig for typen, styrken og kvaliteten af ​​krypteringsalgoritmen.

  3. Organisationer bør implementere kryptografiske teknikker, når information overføres til mobile enheder eller til lagermedieudstyr, eller når information lagres på disse enheder.

  4. Organisationer bør behandle spørgsmål i forbindelse med nøglehåndtering, herunder oprettelse og beskyttelse af kryptografiske nøgler og genoprettingsplanen for krypterede data i tilfælde af, at nøgler mistes eller kompromitteres.

  5. Organisationer bør angive roller og ansvar for følgende:

    • Etablering og implementering af reglerne for, hvordan de kryptografiske teknikker vil blive brugt.

    • Hvordan nøgler vil blive håndteret, herunder hvordan de vil blive genereret.
  6. Vedtagelse og godkendelse af standarder på tværs af organisationen for kryptografiske algoritmer, krypteringsstyrke og brugspraksis for kryptografi.

  7. Organisationen bør forholde sig til, hvordan krypteret information kan forstyrre de kontroller, der indebærer indholdsinspektionen, såsom opdagelse af malware.

Endvidere fremhæver Kontrol 8.24, at organisationer bør tage hensyn til love og krav, der kan begrænse brugen af ​​kryptografi, herunder grænseoverskridende overførsel af krypteret information.

Endelig rådes organisationer også til at forholde sig til ansvar og kontinuitet for tjenester, når de indgår serviceaftaler med tredjeparter om levering af kryptografiske tjenester.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Supplerende vejledning om nøgleledelse

Organisationer bør definere og anvende sikre procedurer til oprettelse, opbevaring, hentning og destruktion af kryptografiske nøgler.

Organisationer bør især indføre et robust nøglestyringssystem, der omfatter regler, processer og standarder for følgende:

  • Generering af kryptografiske nøgler til forskellige systemer og applikationer.

  • Udstedelse og erhvervelse af offentlige nøglecertifikater.

  • Uddeling af nøgler til påtænkte modtagere, herunder processen med nøgleaktivering.

  • Opbevaring af nøgler og hvordan autoriserede parter kan få adgang til nøgler.

  • Udskiftning af nøgler.

  • Håndtering af kompromitterede nøgler.

  • Tilbagekaldelse af nøgler for, hvorfor de er kompromitteret, eller når autoriserede personer forlader en organisation.

  • Gendannelse af mistede nøgler.

  • Nøgle backup og arkivering.

  • Ødelægge nøgler.

  • Fører en log over alle aktiviteter relateret til hver nøgle.

  • Fastlæggelse af aktiverings- og deaktiveringsdatoer for nøgler.

  • Reaktion på juridiske anmodninger om at få adgang til nøgler.

Sidst men ikke mindst advarer denne supplerende vejledning organisationer mod tre særlige risici:

  • Hemmelige og beskyttede nøgler bør beskyttes mod uautoriseret brug.

  • Udstyr, der bruges til at oprette eller opbevare krypteringsnøgler, bør beskyttes via fysiske sikkerhedsforanstaltninger.

  • Organisationer bør bevare ægtheden af ​​offentlige nøgler.

Er du klar til
den nye ISO 27002

Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

Hvad er fordelene ved kryptografi?

Efter at have fremhævet, at organisationer kan sikre ægtheden af ​​offentlige nøgler ved hjælp af metoder såsom offentlige nøgleadministrationsprocesser, forklarer Control 8.24, hvordan kryptografi kan hjælpe organisationer med at nå fire informationssikkerhedsmål:

  1. Fortrolighed: Kryptografi beskytter og opretholder fortroligheden af ​​data både under transport og i hvile.

  2. Integritet og ægthed: Digitale signaturer og autentificeringskoder kan sikre autenticiteten og integriteten af ​​de kommunikerede informationer.

  3. Uafviselighed: Kryptografiske metoder giver bevis for alle hændelser eller handlinger udført såsom modtagelse af information.

  4. Godkendelse: Kryptografiske metoder gør det muligt for organisationer at verificere identiteten af ​​brugere, der anmoder om adgang til systemer og applikationer.

Ændringer og forskelle fra ISO 27002:2013

27002:2022/8.24 erstatte 27002:2013/(10.1.1. Og 10.1.2)

Selvom indholdet af begge versioner er næsten identisk, er der nogle få strukturelle ændringer.

Mens 2013-versionen omhandlede brugen af ​​kryptografi under to separate kontroller, nemlig 10.1.1. Og 10.1.2 kombinerede 2022-versionen disse to under én kontrol, 8.24.

Hvordan ISMS.online hjælper

ISMS.Online er den førende ISO 27002-styringssystemsoftware, der understøtter overholdelse af ISO 27002 og hjælper virksomheder med at tilpasse deres sikkerhedspolitikker og -procedurer til standarden.

Den cloud-baserede platform giver et komplet sæt værktøjer til at hjælpe organisationer med at opsætte et informationssikkerhedsstyringssystem (ISMS) i henhold til ISO 27002.

Tag kontakt og book en demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.7NyTrusselsintelligens
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.30NyIKT-parathed til forretningskontinuitet
7.4NyFysisk sikkerhedsovervågning
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.16NyOvervågning af aktiviteter
8.23NyWebfiltrering
8.28NySikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.105.1.1, 05.1.2Politikker for informationssikkerhed
5.206.1.1Informationssikkerhedsroller og -ansvar
5.306.1.2Opdeling af pligter
5.407.2.1Ledelsesansvar
5.506.1.3Kontakt med myndigheder
5.606.1.4Kontakt til særlige interessegrupper
5.7NyTrusselsintelligens
5.806.1.5, 14.1.1Informationssikkerhed i projektledelse
5.908.1.1, 08.1.2Opgørelse af information og andre tilhørende aktiver
5.1008.1.3, 08.2.3Acceptabel brug af information og andre tilknyttede aktiver
5.1108.1.4Tilbagelevering af aktiver
5.12 08.2.1Klassificering af oplysninger
5.1308.2.2Mærkning af information
5.1413.2.1, 13.2.2, 13.2.3Informationsoverførsel
5.1509.1.1, 09.1.2Adgangskontrol
5.1609.2.1Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3Godkendelsesoplysninger
5.1809.2.2, 09.2.5, 09.2.6Adgangsrettigheder
5.1915.1.1Informationssikkerhed i leverandørforhold
5.2015.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
5.2115.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
5.2215.2.1, 15.2.2Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.2416.1.1Planlægning og forberedelse af informationssikkerhedshændelser
5.2516.1.4Vurdering og beslutning om informationssikkerhedshændelser
5.2616.1.5Reaktion på informationssikkerhedshændelser
5.2716.1.6Lær af informationssikkerhedshændelser
5.2816.1.7Indsamling af beviser
5.2917.1.1, 17.1.2, 17.1.3Informationssikkerhed under afbrydelse
5.30NyIKT-parathed til forretningskontinuitet
5.3118.1.1, 18.1.5Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.3218.1.2Intellektuelle ejendomsrettigheder
5.3318.1.3Beskyttelse af optegnelser
5.3418.1.4Privatliv og beskyttelse af PII
5.3518.2.1Uafhængig gennemgang af informationssikkerhed
5.3618.2.2, 18.2.3Overholdelse af politikker, regler og standarder for informationssikkerhed
5.3712.1.1Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansættelse
6.307.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
6.407.2.3Disciplinær proces
6.507.3.1Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.613.2.4Aftaler om fortrolighed eller tavshedspligt
6.706.2.2Fjernbetjening
6.816.1.2, 16.1.3Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
7.111.1.1Fysiske sikkerhedsomkredse
7.211.1.2, 11.1.6Fysisk adgang
7.311.1.3Sikring af kontorer, lokaler og faciliteter
7.4NyFysisk sikkerhedsovervågning
7.511.1.4Beskyttelse mod fysiske og miljømæssige trusler
7.611.1.5Arbejde i sikre områder
7.711.2.9Overskueligt skrivebord og klar skærm
7.811.2.1Udstyrsplacering og beskyttelse
7.911.2.6Sikkerhed af aktiver uden for lokalerne
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagermedier
7.1111.2.2Understøttende hjælpeprogrammer
7.1211.2.3Kabler sikkerhed
7.1311.2.4Vedligeholdelse af udstyr
7.1411.2.7Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
8.106.2.1, 11.2.8Bruger slutpunktsenheder
8.209.2.3Privilegerede adgangsrettigheder
8.309.4.1Begrænsning af informationsadgang
8.409.4.5Adgang til kildekode
8.509.4.2Sikker autentificering
8.612.1.3Kapacitetsstyring
8.712.2.1Beskyttelse mod malware
8.812.6.1, 18.2.3Håndtering af tekniske sårbarheder
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.1312.3.1Sikkerhedskopiering af information
8.1417.2.1Redundans af informationsbehandlingsfaciliteter
8.1512.4.1, 12.4.2, 12.4.3Logning
8.16NyOvervågning af aktiviteter
8.1712.4.4Ur synkronisering
8.1809.4.4Brug af privilegerede hjælpeprogrammer
8.1912.5.1, 12.6.2Installation af software på operativsystemer
8.2013.1.1Netværkssikkerhed
8.2113.1.2Sikkerhed af netværkstjenester
8.2213.1.3Adskillelse af netværk
8.23NyWebfiltrering
8.2410.1.1, 10.1.2Brug af kryptografi
8.2514.2.1Sikker udviklingslivscyklus
8.2614.1.2, 14.1.3Krav til applikationssikkerhed
8.2714.2.5Sikker systemarkitektur og tekniske principper
8.28NySikker kodning
8.2914.2.8, 14.2.9Sikkerhedstest i udvikling og accept
8.3014.2.7Udliciteret udvikling
8.3112.1.4, 14.2.6Adskillelse af udviklings-, test- og produktionsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Forandringsledelse
8.3314.3.1Testinformation
8.3412.7.1Beskyttelse af informationssystemer under revisionstest
Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere