Wanneer inligting tussen netwerke en toestelle oorgedra word, kan kuberaanvallers verskeie tegnieke gebruik om sensitiewe inligting tydens vervoer te steel, met die inhoud van die inligting te peuter, die sender/ontvanger voor te doen om ongemagtigde toegang tot inligting te verkry of die oordrag van inligting te onderskep.
Kubermisdadigers kan byvoorbeeld die man-in-die-middel-aanvalstegniek (MITM) gebruik, die oordrag van data onderskep en die bediener naboots om die sender te oorreed om sy/haar aanmeldbewyse aan die vals bediener bekend te maak. Hulle kan dan hierdie geloofsbriewe gebruik om toegang tot stelsels te verkry en sensitiewe inligting in gevaar te stel.
Die gebruik van kriptografie soos enkripsie kan effektief wees om die vertroulikheid, integriteit en beskikbaarheid van inligtingsbates te beskerm wanneer dit in vervoer is.
Verder kan kriptografiese tegnieke ook die sekuriteit van inligtingsbates handhaaf wanneer hulle in rus is.
Beheer 8.24 spreek aan hoe organisasies reëls en prosedures vir die gebruik van kriptografie kan vestig en implementeer.
Beheer 8.24 stel organisasies in staat om die vertroulikheid, integriteit, egtheid en beskikbaarheid van inligtingsbates te handhaaf deur kriptografiese tegnieke behoorlik te implementeer en deur die volgende kriteria in ag te neem:
Beheer 8.24 is 'n voorkomende tipe beheer wat van organisasies vereis om reëls en prosedures vir die effektiewe gebruik van kriptografiese tegnieke daar te stel en sodoende risiko's vir die kompromie van inligtingsbates uit te skakel en te minimaliseer wanneer hulle in transito of in rus is.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | # Veilige konfigurasie | #Beskerming |
Voldoening aan 8.24 vereis die vestiging en implementering van 'n spesifieke beleid oor kriptografie, die skep van 'n effektiewe sleutelbestuursproses en die bepaling van die tipe kriptografiese tegniek wat geskik is vir die vlak van inligtingklassifikasie wat aan 'n spesifieke inligtingsbate toegeken word.
Daarom moet die hoofinligtingsekuriteitsbeampte verantwoordelik wees om toepaslike reëls en prosedures vir die gebruik van kriptografiese sleutels uiteen te sit.
Beheer 8.24 lys sewe vereistes waaraan organisasies moet voldoen wanneer hulle kriptografiese tegnieke gebruik:
Verder beklemtoon Beheer 8.24 dat organisasies wette en vereistes in ag moet neem wat die gebruik van kriptografie kan beperk, insluitend die oorgrensoordrag van geënkripteerde inligting.
Laastens word organisasies ook aangeraai om aanspreeklikheid en kontinuïteit van dienste aan te spreek wanneer hulle diensooreenkomste met derde partye aangaan vir die verskaffing van kriptografiese dienste.
Organisasies moet veilige prosedures definieer en toepas vir die skepping, berging, herwinning en vernietiging van kriptografiese sleutels.
Organisasies moet veral 'n robuuste sleutelbestuurstelsel instel wat reëls, prosesse en standaarde vir die volgende insluit:
Laastens, maar nie die minste nie, waarsku hierdie aanvullende leiding organisasies teen drie spesifieke risiko's:
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
Nadat dit beklemtoon is dat organisasies die egtheid van publieke sleutels kan verseker deur metodes soos publieke sleutelbestuursprosesse, verduidelik Control 8.24 hoe kriptografie organisasies kan help om vier inligtingsekuriteitsdoelwitte te bereik:
27002:2022/8.24 vervang 27002:2013/(10.1.1. En 10.1.2)
Alhoewel die inhoud van beide weergawes byna identies is, is daar 'n paar strukturele veranderinge.
Terwyl die 2013-weergawe die gebruik van kriptografie onder twee afsonderlike kontroles aangespreek het, naamlik 10.1.1. En 10.1.2, die 2022-weergawe het hierdie twee gekombineer onder een Beheer, 8.24.
ISMS.Online is die toonaangewende ISO 27002-bestuurstelselsagteware wat voldoening aan ISO 27002 ondersteun, en maatskappye help om hul sekuriteitsbeleide en -prosedures met die standaard in lyn te bring.
Die wolk-gebaseerde platform bied 'n volledige stel gereedskap om organisasies te help met die opstel van 'n inligtingsekuriteitbestuurstelsel (ISMS) volgens ISO 27002.
Kontak en bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |