ISO 27001:2022 bilaga A 8.24 – Användning av kryptografi

• Se ISO 27002:2022 Kontroll 8.24 för mer information.
• Se ISO 27001:2013 bilaga A 10.1.1 för mer information.
• Se ISO 27001:2013 bilaga A 10.1.2 för mer information.

Bilaga A 8.24 Förklarat: Implementering av säkra kryptografiska kontroller

Vid överföring av information mellan nätverk och enheter kan cyberangripare försöka stjäla känslig data, ändra innehåll, imitera avsändare/mottagare för att få obehörig åtkomst eller avlyssna utbytet.

Cyberbrottslingar kan anställa man-in-the-middle (MITM) attacker, avlyssning av dataöverföringar och maskerad som server för att få avsändaren att avslöja inloggningsuppgifter. Med dessa referenser kan de få tillgång till system och äventyra känslig data.

Kryptografi, såsom kryptering, kan effektivt skydda konfidentialitet, integritet och tillgänglighet för information under transport.

Kryptografiska tekniker kan hålla informationstillgångar säkra när de inte används. De säkerställer att uppgifterna skyddas från all obehörig åtkomst eller modifiering.

ISO 27001:2022 Annex A 8.24 beskriver hur organisationer kan skapa och tillämpa regler och processer för användning av kryptografi.

Syftet med ISO 27001:2022 bilaga A 8.24

ISO 27001: 2022 Bilaga A 8.24 tillåter organisationer att säkra konfidentialitet, integritet, äkthet och tillgänglighet för informationstillgångar genom korrekt tillämpning av kryptografi och uppfylla följande kriterier:

• Affärskrav är ett måste.
• Se till informationssäkerhet genom genomförande av strikta krav.
• Lagstadgade, avtalsmässiga och organisatoriska uppdrag kräver användning av kryptografi.

Ägande i bilaga A 8.24

Att följa bilaga A 8.24 kräver implementering av en policy för kryptografi, upprättande av en effektiv nyckelhanteringsprocess och fastställande av vilken typ av kryptografisk teknik som är tillämplig på dataklassificeringen av en given informationstillgång.

Smakämnen Chef för informationssäkerhet måste hållas ansvarig för att upprätta korrekta regler och protokoll angående kryptografiska nycklar.

Allmän vägledning om ISO 27001:2022 bilaga A 8.24 Överensstämmelse

ISO 27001: 2022 Bilaga A Kontroll 8.24 anger sju krav som organisationer måste följa när de använder kryptografiska metoder:

1. Organisationer bör ha en policy på plats när det gäller användningen av kryptografi, för att maximera dess fördelar och minska riskerna. Denna policy bör också beskriva allmänna principer för att skydda information.
2. Organisationer måste ta hänsyn till hur känsliga deras informationsresurser är, såväl som den informationsklassificeringsnivå som de utsetts för, när de väljer typ, styrka och kvalitet på krypteringsalgoritmen.
3. Organisationer bör använda kryptografiska metoder när de överför information till bärbara enheter, mediautrustning eller när den lagras där.
4. Organisationer måste ta itu med alla frågor som är kopplade till nyckelhantering, som att bilda och skydda kryptografiska nycklar och ha ett system för dataåterställning i händelse av att nycklarna saknas eller är sårbara.
5. Organisationer bör definiera roller och ansvar för följande:
• Reglerna för användning av kryptografiska tekniker måste fastställas och tillämpas.
• Hantering av nycklar, inklusive deras generering.
6. Organisationen antar och godkänner standarder som omfattar kryptografiska algoritmer, chifferstyrka och användningsmetoder för kryptografi.
7. Organisationer bör överväga den potentiella inverkan av kryptering på effektiviteten av kontrollerna för innehållsinspektion, såsom upptäckt av skadlig programvara.

ISO 27001:2022 Annex A 8.24 betonar att organisationer bör överväga lagkrav och restriktioner som kan påverka användningen av kryptografi, inklusive internationell överföring av krypterad information.

Organisationer bör ta hänsyn till ansvar och kontinuitet i tjänsterna när de ingår tjänsteavtal med externa leverantörer av kryptografiska tjänster.

Vägledning om nyckelhantering

Organisationer måste ställa in och följa säkra processer för generering, lagring, hämtning och bortskaffande av kryptografiska nycklar.

Organisationer bör installera ett gediget nyckelhanteringssystem som innehåller regler, procedurer och kriterier för:

• Det är nödvändigt att generera kryptografiska nycklar för en mängd olika system och applikationer.
• Utfärdande och erhållande av certifikat med offentliga nyckel.
• Distribuera nycklar till avsedda mottagare, inklusive proceduren för nyckelaktivering.
• Nycklar ska förvaras säkert. De som har behörighet att komma åt dem kan göra det med de nödvändiga uppgifterna.
• Byte av nycklar.
• Hantering av komprometterade nycklar bör tas på allvar.
• Om nycklar äventyras eller en auktoriserad personal lämnar en organisation, bör de återkallas.
• Återställning av förlorade nycklar.
• Nyckelsäkerhetskopiering och arkivering bör utföras regelbundet.
• Förstör nycklar.
• Håll ett register över alla aktiviteter kopplade till varje nyckel.
• Fastställande av aktiverings- och avaktiveringsdatum för nycklar.
• Åtkomst till nycklar som svar på juridiska förfrågningar.

Slutligen är det viktigt att organisationer är medvetna om de tre huvudsakliga riskerna som denna kompletterande vägledning beskriver:

1. Säkra och privata nycklar bör skyddas mot obehörig användning.
2. Skydda utrustning som används för att skapa eller lagra krypteringsnycklar bör göras med fysisk säkerhet åtgärder.
3. Organisationer bör säkerställa giltigheten av deras publika nycklar.

Vilka är fördelarna med kryptografi?

ISO 27001:2022 Annex A 8.24 anger att kryptografi kan användas för att hjälpa organisationer att uppnå fyra informationssäkerhetsmål. Dessa mål inkluderar att verifiera äktheten av offentliga nycklar genom processer för hantering av offentliga nycklar:

1. Kryptografi säkerställer att sekretessen för data, både under överföring och lagring, bevaras.
2. Digitala signaturer och autentiseringskoder garanterar att information som kommuniceras är äkta och tillförlitlig.
3. Kryptografiska metoder garanterar att alla händelser eller åtgärder som vidtas, inklusive mottagande av information, inte kommer att avvisas.
4. Autentisering genom kryptografiska metoder tillåter organisationer att validera identiteten för användare som söker tillgång till system och applikationer.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.24 ersätter ISO 27001:2013 bilaga A 10.1.1 och 10.1.2 i den reviderade 2022-standarden.

Innehållet i de två är nästan detsamma, även om det finns några strukturella ändringar.

Medan 2013-versionen hade två separata kontroller, 10.1.1 och 10.1.2, för användning av kryptografi, konsoliderade 2022-versionen dessa i en bilaga A-kontroll, 8.24.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Hur ISMS.online Hjälp

ISMS.Online är den främsta mjukvaran för ledningssystem enligt ISO 27001, som hjälper företag att följa ISO 27001:2022 och se till att deras säkerhetspolicyer och -procedurer följer standarden.

Denna molnbaserad plattform erbjuder en omfattande uppsättning verktyg för att hjälpa organisationer att implementera ett Information Security Management System (ISMS) i linje med ISO 27001.

Nå ut och boka en demonstration idag.