Når informationer transmitteres mellem netværk og enheder, kan cyberangribere bruge forskellige teknikker til at stjæle følsom information under transit, manipulere med indholdet af informationen, udgive sig for at være afsender/modtager for at få uautoriseret adgang til information eller opsnappe overførslen af information.
For eksempel kan cyberkriminelle bruge man-in-the-middle (MITM) angrebsteknikken, opsnappe transmissionen af data og efterligne serveren for at overtale afsenderen til at afsløre hans/hendes loginoplysninger til den falske server. De kan derefter bruge disse legitimationsoplysninger til at få adgang til systemer og kompromittere følsomme oplysninger.
Brugen af kryptografi såsom kryptering kan være effektiv til at beskytte fortroligheden, integriteten og tilgængeligheden af informationsaktiver, når de er i transit.
Ydermere kan kryptografiske teknikker også opretholde sikkerheden for informationsaktiver, når de er i ro.
Kontrol 8.24 omhandler, hvordan organisationer kan etablere og implementere regler og procedurer for brug af kryptografi.
Kontrol 8.24 gør det muligt for organisationer at opretholde fortroligheden, integriteten, ægtheden og tilgængeligheden af informationsaktiver ved korrekt implementering af kryptografiske teknikker og ved at tage hensyn til følgende kriterier:
Kontrol 8.24 er en forebyggende form for kontrol, der kræver, at organisationer etablerer regler og procedurer for effektiv brug af kryptografiske teknikker og dermed eliminerer og minimerer risici for kompromittering af informationsaktiver, når de er i transit eller i hvile.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Sikker konfiguration | #Beskyttelse |
Overholdelse af 8.24 kræver etablering og implementering af en specifik politik for kryptografi, skabelse af en effektiv nøglehåndteringsproces og bestemmelse af typen af kryptografisk teknik, der er passende til niveauet for informationsklassificering, der er tildelt et bestemt informationsaktiv.
Derfor bør informationssikkerhedschefen være ansvarlig for at fastlægge passende regler og procedurer for brugen af kryptografiske nøgler.
Kontrol 8.24 angiver syv krav, som organisationer skal overholde, når de bruger kryptografiske teknikker:
Endvidere fremhæver Kontrol 8.24, at organisationer bør tage hensyn til love og krav, der kan begrænse brugen af kryptografi, herunder grænseoverskridende overførsel af krypteret information.
Endelig rådes organisationer også til at forholde sig til ansvar og kontinuitet for tjenester, når de indgår serviceaftaler med tredjeparter om levering af kryptografiske tjenester.
Organisationer bør definere og anvende sikre procedurer til oprettelse, opbevaring, hentning og destruktion af kryptografiske nøgler.
Organisationer bør især indføre et robust nøglestyringssystem, der omfatter regler, processer og standarder for følgende:
Sidst men ikke mindst advarer denne supplerende vejledning organisationer mod tre særlige risici:
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Efter at have fremhævet, at organisationer kan sikre ægtheden af offentlige nøgler ved hjælp af metoder såsom offentlige nøgleadministrationsprocesser, forklarer Control 8.24, hvordan kryptografi kan hjælpe organisationer med at nå fire informationssikkerhedsmål:
27002:2022/8.24 erstatte 27002:2013/(10.1.1. Og 10.1.2)
Selvom indholdet af begge versioner er næsten identisk, er der nogle få strukturelle ændringer.
Mens 2013-versionen omhandlede brugen af kryptografi under to separate kontroller, nemlig 10.1.1. Og 10.1.2 kombinerede 2022-versionen disse to under én kontrol, 8.24.
ISMS.Online er den førende ISO 27002-styringssystemsoftware, der understøtter overholdelse af ISO 27002 og hjælper virksomheder med at tilpasse deres sikkerhedspolitikker og -procedurer til standarden.
Den cloud-baserede platform giver et komplet sæt værktøjer til at hjælpe organisationer med at opsætte et informationssikkerhedsstyringssystem (ISMS) i henhold til ISO 27002.
Tag kontakt og book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |