Vad är syftet med bilaga A.10.1?
Bilaga A.10.1 handlar om kryptografiska kontroller. Syftet med denna kontroll i bilaga A är att säkerställa korrekt och effektiv användning av kryptografi för att skydda informationens konfidentialitet, äkthet och/eller integritet. Det är en viktig del av ledningssystemet för informationssäkerhet (ISMS), särskilt om du vill uppnå ISO 27001-certifiering.
A.10.1.1 Policy för användning av kryptografiska kontroller
Kryptering och kryptografiska kontroller ses ofta som ett av de viktigaste vapnen i säkerhetsarsenalen, men i sig är det inte "silverkulan" som löser alla problem. Felaktigt val av kryptografiska teknologier och tekniker eller dålig hantering av kryptografiskt material (t.ex. nycklar och certifikat) kan själva skapa sårbarheter.
Kryptering kan sakta ner bearbetningen och överföringen av information, så det är viktigt att förstå alla risker och balansera kontrollerna till en adekvat nivå samtidigt som prestationsmålen uppnås.
En policy för användning av kryptering kan vara ett bra ställe att identifiera affärskraven för när kryptering ska användas och vilka standarder som ska implementeras. Hänsyn måste också tas till lagkraven kring kryptering.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
A.10.1.2 Nyckelhantering
En bra kontroll beskriver hur en policy för användning och skydd av kryptografiska nycklar ska utvecklas och implementeras under hela deras livscykel. En av de viktigaste aspekterna handlar om skapande, distribution, förändringar, säkerhetskopiering och lagring av kryptografiskt nyckelmaterial fram till dess livslängd och förstörelse.
Hantering av nyckelmaterial är ofta den svagaste punkten för kryptering och angripare kan försöka attackera detta snarare än själva krypteringen. Det är därför viktigt att ha robusta och säkra processer kring det. Att hantera komprometterade nycklar är också viktigt och bör där så är lämpligt också kopplas till bilaga A.16 Hantering av säkerhetsincidenter.
Använder kryptering
ISMS.online erbjuder lite vägledning och tips för en bra policy för kryptering, men detta är ett av få områden där det är unikt för ditt företag och de operativa aktiviteterna där du skulle använda kryptering.
Vi har en lista över partners som tillhandahåller specialistråd och produkter kring kryptering, så om detta är ett område du behöver hjälp med under din implementering, låt oss veta det så kan vi också sätta dig i kontakt med betrodda experter.
