Når informasjon overføres mellom nettverk og enheter, kan cyberangripere bruke ulike teknikker for å stjele sensitiv informasjon under transport, tukle med innholdet i informasjonen, utgi seg for å være avsender/mottaker for å få uautorisert tilgang til informasjon eller avskjære overføring av informasjon.
For eksempel kan nettkriminelle bruke man-in-the-middle (MITM) angrepsteknikken, avskjære overføringen av data og utgi seg for å være serveren for å overtale avsenderen til å avsløre hans/hennes påloggingsinformasjon til den falske serveren. De kan deretter bruke disse legitimasjonene for å få tilgang til systemer og kompromittere sensitiv informasjon.
Bruken av kryptografi som kryptering kan være effektiv for å beskytte konfidensialiteten, integriteten og tilgjengeligheten til informasjonsressurser når de er under transport.
Videre kan kryptografiske teknikker også opprettholde sikkerheten til informasjonsressurser når de er i ro.
Kontroll 8.24 tar for seg hvordan organisasjoner kan etablere og implementere regler og prosedyrer for bruk av kryptografi.
Kontroll 8.24 gjør det mulig for organisasjoner å opprettholde konfidensialitet, integritet, autentisitet og tilgjengelighet til informasjonsressurser ved å implementere kryptografiske teknikker på riktig måte og ved å ta hensyn til følgende kriterier:
Kontroll 8.24 er en forebyggende type kontroll som krever at organisasjoner etablerer regler og prosedyrer for effektiv bruk av kryptografiske teknikker og dermed eliminerer og minimerer risikoen for kompromittering av informasjonsmidler når de er i transitt eller i ro.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Sikker konfigurasjon | #Beskyttelse |
Overholdelse av 8.24 krever etablering og implementering av en spesifikk policy for kryptografi, opprettelse av en effektiv nøkkelbehandlingsprosess og bestemmelse av typen kryptografisk teknikk som passer til nivået av informasjonsklassifisering som er tildelt en bestemt informasjonsressurs.
Derfor bør informasjonssikkerhetssjefen være ansvarlig for å fastsette hensiktsmessige regler og prosedyrer for bruk av kryptografiske nøkler.
Kontroll 8.24 lister opp syv krav som organisasjoner bør forholde seg til når de bruker kryptografiske teknikker:
Videre fremhever Control 8.24 at organisasjoner bør ta hensyn til lover og krav som kan begrense bruken av kryptografi, inkludert grenseoverskridende overføring av kryptert informasjon.
Til slutt anbefales organisasjoner også å ta opp ansvar og kontinuitet for tjenester når de inngår tjenesteavtaler med tredjeparter for levering av kryptografiske tjenester.
Organisasjoner bør definere og anvende sikre prosedyrer for opprettelse, lagring, gjenfinning og ødeleggelse av kryptografiske nøkler.
Spesielt bør organisasjoner få på plass et robust nøkkelstyringssystem som inkluderer regler, prosesser og standarder for følgende:
Sist, men ikke minst, advarer denne tilleggsveiledningen organisasjoner mot tre spesielle risikoer:
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Etter å ha fremhevet at organisasjoner kan sikre autentisiteten til offentlige nøkler ved hjelp av metoder som prosesser for administrasjon av offentlige nøkler, forklarer Control 8.24 hvordan kryptografi kan hjelpe organisasjoner med å oppnå fire informasjonssikkerhetsmål:
27002:2022/8.24 erstatte 27002:2013/(10.1.1. Og 10.1.2)
Selv om innholdet i begge versjonene er nesten identisk, er det noen få strukturelle endringer.
Mens 2013-versjonen tok for seg bruken av kryptografi under to separate kontroller, nemlig 10.1.1. Og 10.1.2, 2022-versjonen kombinerte disse to under én kontroll, 8.24.
ISMS.Online er den ledende ISO 27002-programvaren for styringssystem som støtter samsvar med ISO 27002, og hjelper bedrifter med å tilpasse sine sikkerhetspolicyer og prosedyrer med standarden.
Den skybaserte plattformen gir et komplett sett med verktøy for å hjelpe organisasjoner med å sette opp et styringssystem for informasjonssikkerhet (ISMS) i henhold til ISO 27002.
Ta kontakt og bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |