Hva er formålet med vedlegg A.10.1?
Vedlegg A.10.1 handler om kryptografiske kontroller. Målet i denne vedlegg A-kontrollen er å sikre riktig og effektiv bruk av kryptografi for å beskytte informasjonens konfidensialitet, autentisitet og/eller integritet. Det er en viktig del av styringssystemet for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering.
A.10.1.1 Retningslinjer for bruk av kryptografiske kontroller
Kryptering og kryptografiske kontroller blir ofte sett på som et av nøkkelvåpnene i sikkerhetsarsenalet, men i seg selv er det ikke "sølvkulen" som løser alle problemer. Feil valg av kryptografiske teknologier og teknikker eller dårlig håndtering av kryptografisk materiale (f.eks. nøkler og sertifikater) kan i seg selv skape sårbarheter.
Kryptering kan bremse prosessering og overføring av informasjon, så det er viktig å forstå alle risikoene og balansere kontrollene til et tilstrekkelig nivå, samtidig som ytelsesmålene oppfylles.
En policy om bruk av kryptering kan være et godt sted å identifisere virksomhetens krav til når kryptering skal benyttes og hvilke standarder som skal implementeres. Det må også tas hensyn til lovkravene rundt kryptering.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
A.10.1.2 Nøkkelstyring
En god kontroll beskriver hvordan en policy for bruk og beskyttelse av kryptografiske nøkler skal utvikles og implementeres gjennom hele livssyklusen. En av de viktigste aspektene er rundt opprettelse, distribusjon, endringer, sikkerhetskopiering og lagring av kryptografisk nøkkelmateriale frem til slutten av livet og ødeleggelsen.
Håndtering av nøkkelmateriale er ofte det svakeste punktet for kryptering og angripere kan forsøke å angripe dette i stedet for selve krypteringen. Det er derfor viktig å ha robuste og sikre prosesser rundt seg. Håndtering av kompromitterte nøkler er også viktig, og der det er hensiktsmessig, bør det også knyttes til vedlegg A.16 Håndtering av sikkerhetshendelser.
Bruker kryptering
ISMS.online tilbyr noen veiledning og tips for en god policy for kryptering, men dette er et av de få områdene hvor det er unikt for virksomheten din og de operasjonelle aktivitetene der du vil bruke kryptering.
Vi har en liste over partnere som gir spesialistråd og produkter rundt kryptering, så hvis dette er et område du trenger hjelp med under implementeringen, gi oss beskjed, så kan vi sette deg i kontakt med pålitelige eksperter også.
