ISO 27002:2022, Beheer 8.24 – Gebruik van kriptografie

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

jonk, besigheid, kollegas, werk, in, 'n, besige, oop, plan, kantoor

Wanneer inligting tussen netwerke en toestelle oorgedra word, kan kuberaanvallers verskeie tegnieke gebruik om sensitiewe inligting tydens vervoer te steel, met die inhoud van die inligting te peuter, die sender/ontvanger voor te doen om ongemagtigde toegang tot inligting te verkry of die oordrag van inligting te onderskep.

Kubermisdadigers kan byvoorbeeld die man-in-die-middel-aanvalstegniek (MITM) gebruik, die oordrag van data onderskep en die bediener naboots om die sender te oorreed om sy/haar aanmeldbewyse aan die vals bediener bekend te maak. Hulle kan dan hierdie geloofsbriewe gebruik om toegang tot stelsels te verkry en sensitiewe inligting in gevaar te stel.

Die gebruik van kriptografie soos enkripsie kan effektief wees om die vertroulikheid, integriteit en beskikbaarheid van inligtingsbates te beskerm wanneer dit in vervoer is.

Verder kan kriptografiese tegnieke ook die sekuriteit van inligtingsbates handhaaf wanneer hulle in rus is.

Beheer 8.24 spreek aan hoe organisasies reëls en prosedures vir die gebruik van kriptografie kan vestig en implementeer.

Doel van beheer 8.24

Beheer 8.24 stel organisasies in staat om die vertroulikheid, integriteit, egtheid en beskikbaarheid van inligtingsbates te handhaaf deur kriptografiese tegnieke behoorlik te implementeer en deur die volgende kriteria in ag te neem:

  • Besigheidsbehoeftes.

  • Vereistes vir inligtingsekuriteit.

  • Statutêre, kontraktuele en organisatoriese vereistes rakende die gebruik van kriptografie.

Eienskappe van beheer 8.24

Beheer 8.24 is 'n voorkomende tipe beheer wat van organisasies vereis om reëls en prosedures vir die effektiewe gebruik van kriptografiese tegnieke daar te stel en sodoende risiko's vir die kompromie van inligtingsbates uit te skakel en te minimaliseer wanneer hulle in transito of in rus is.

beheer Tipe Eienskappe vir inligtingsekuriteit KuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende#Vertroulikheid
#Integriteit
#Beskikbaarheid		#Beskerm# Veilige konfigurasie#Beskerming
Spring na Onderwerp
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Eienaarskap op beheer 8.24

Voldoening aan 8.24 vereis die vestiging en implementering van 'n spesifieke beleid oor kriptografie, die skep van 'n effektiewe sleutelbestuursproses en die bepaling van die tipe kriptografiese tegniek wat geskik is vir die vlak van inligtingklassifikasie wat aan 'n spesifieke inligtingsbate toegeken word.

Daarom moet die hoofinligtingsekuriteitsbeampte verantwoordelik wees om toepaslike reëls en prosedures vir die gebruik van kriptografiese sleutels uiteen te sit.

Algemene riglyne oor nakoming

Beheer 8.24 lys sewe vereistes waaraan organisasies moet voldoen wanneer hulle kriptografiese tegnieke gebruik:

  1. Organisasies moet 'n onderwerpspesifieke beleid oor die gebruik van kriptografie skep en in stand hou. Hierdie beleid is noodsaaklik om die voordele van kriptografiese tegnieke te maksimeer en dit verminder die risiko's wat uit die gebruik van kriptografie mag voortspruit. Daar word ook kennis geneem dat hierdie beleid algemene beginsels moet dek wat die beskerming van inligting beheer.

  2. Organisasies moet die vlak van sensitiwiteit van die inligtingbates en die inligtingsklassifikasievlak wat aan hulle toegeken is, oorweeg wanneer hulle besluit oor die tipe, sterkte en kwaliteit van die enkripsie-algoritme.

  3. Organisasies moet kriptografiese tegnieke implementeer wanneer inligting na mobiele toestelle of na bergingsmediatoerusting oorgedra word of wanneer inligting op hierdie toestelle gestoor word.

  4. Organisasies moet kwessies wat verband hou met sleutelbestuur aanspreek, insluitend die skepping en beskerming van kriptografiese sleutels en die herstelplan vir geënkripteerde data in die geval dat sleutels verlore raak of gekompromitteer word.

  5. Organisasies moet die rolle en verantwoordelikhede vir die volgende uiteensit:

    • Vestiging en implementering van die reëls oor hoe die kriptografiese tegnieke gebruik gaan word.

    • Hoe sleutels hanteer sal word, insluitend hoe hulle gegenereer sal word.
  6. Die aanvaarding en goedkeuring van standaarde regoor die organisasie vir die kriptografiese algoritmes, syfersterkte en gebruikspraktyke vir kriptografie.

  7. Organisasie moet aanspreek hoe geënkripteerde inligting kan inmeng met die kontroles wat die inhoudinspeksie behels, soos opsporing van wanware.

Verder beklemtoon Beheer 8.24 dat organisasies wette en vereistes in ag moet neem wat die gebruik van kriptografie kan beperk, insluitend die oorgrensoordrag van geënkripteerde inligting.

Laastens word organisasies ook aangeraai om aanspreeklikheid en kontinuïteit van dienste aan te spreek wanneer hulle diensooreenkomste met derde partye aangaan vir die verskaffing van kriptografiese dienste.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Aanvullende leiding oor sleutelbestuur

Organisasies moet veilige prosedures definieer en toepas vir die skepping, berging, herwinning en vernietiging van kriptografiese sleutels.

Organisasies moet veral 'n robuuste sleutelbestuurstelsel instel wat reëls, prosesse en standaarde vir die volgende insluit:

  • Generering van kriptografiese sleutels vir verskillende stelsels en toepassings.

  • Uitreiking en verkryging van publieke sleutelsertifikate.

  • Verspreiding van sleutels aan beoogde ontvangers, insluitend die proses van sleutelaktivering.

  • Berging van sleutels en hoe gemagtigde partye toegang tot sleutels kan kry.

  • Verandering van sleutels.

  • Hantering van gekompromitteerde sleutels.

  • Herroeping van sleutels vir hoekom hulle gekompromitteer word of wanneer gemagtigde persone 'n organisasie verlaat.

  • Herwinning van verlore sleutels.

  • Sleutel rugsteun en argief.

  • Vernietig sleutels.

  • Hou 'n logboek van alle aktiwiteite wat met elke sleutel verband hou.

  • Bepaling van aktiverings- en deaktiveringsdatums vir sleutels.

  • Reageer op wetlike versoeke om toegang tot sleutels te hê.

Laastens, maar nie die minste nie, waarsku hierdie aanvullende leiding organisasies teen drie spesifieke risiko's:

  • Geheime en beskermde sleutels moet teen ongemagtigde gebruik beskerm word.

  • Toerusting wat gebruik word om enkripsiesleutels te skep of te berg, moet deur fisiese sekuriteitsmaatreëls beskerm word.

  • Organisasies moet die egtheid van publieke sleutels handhaaf.

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

Wat is die voordele van kriptografie?

Nadat dit beklemtoon is dat organisasies die egtheid van publieke sleutels kan verseker deur metodes soos publieke sleutelbestuursprosesse, verduidelik Control 8.24 hoe kriptografie organisasies kan help om vier inligtingsekuriteitsdoelwitte te bereik:

  1. Vertroulikheid: Kriptografie beskerm en handhaaf die vertroulikheid van data, beide tydens vervoer en in rus.

  2. Integriteit en egtheid: Digitale handtekeninge en verifikasiekodes kan die egtheid en integriteit van inligting wat gekommunikeer word verseker.

  3. Nie-repudiëring: Kriptografiese metodes verskaf bewyse van alle gebeure of aksies wat uitgevoer is soos die ontvangs van inligting.

  4. Verifikasie: Kriptografiese metodes stel organisasies in staat om die identiteit van gebruikers wat toegang tot stelsels en toepassings versoek, te verifieer.

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.24 vervang 27002:2013/(10.1.1. En 10.1.2)

Alhoewel die inhoud van beide weergawes byna identies is, is daar 'n paar strukturele veranderinge.

Terwyl die 2013-weergawe die gebruik van kriptografie onder twee afsonderlike kontroles aangespreek het, naamlik 10.1.1. En 10.1.2, die 2022-weergawe het hierdie twee gekombineer onder een Beheer, 8.24.

Hoe ISMS.online help

ISMS.Online is die toonaangewende ISO 27002-bestuurstelselsagteware wat voldoening aan ISO 27002 ondersteun, en maatskappye help om hul sekuriteitsbeleide en -prosedures met die standaard in lyn te bring.

Die wolk-gebaseerde platform bied 'n volledige stel gereedskap om organisasies te help met die opstel van 'n inligtingsekuriteitbestuurstelsel (ISMS) volgens ISO 27002.

Kontak en bespreek 'n demo.

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind