ISO 27001 - Anhang A.10: Kryptographie

Was ist das Ziel von Anhang A.10.1?

In Anhang A.10.1 geht es um kryptografische Kontrollen. Das Ziel dieser Anhang-A-Kontrolle besteht darin, den ordnungsgemäßen und wirksamen Einsatz der Kryptographie sicherzustellen, um die Vertraulichkeit, Authentizität und/oder Integrität von Informationen zu schützen. Es ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten.

A.10.1.1 Richtlinie zur Verwendung kryptografischer Kontrollen

Verschlüsselung und kryptografische Kontrollen werden oft als eine der Schlüsselwaffen im Sicherheitsarsenal angesehen, sie allein ist jedoch nicht die „Wunderwaffe“, die jedes Problem löst. Eine falsche Auswahl kryptografischer Technologien und Techniken oder die schlechte Verwaltung von kryptografischem Material (z. B. Schlüssel und Zertifikate) können selbst zu Schwachstellen führen.

Die Verschlüsselung kann die Verarbeitung und Übertragung von Informationen verlangsamen. Daher ist es wichtig, alle Risiken zu verstehen und die Kontrollen auf ein angemessenes Maß auszubalancieren und gleichzeitig die Leistungsziele zu erreichen.

Eine Richtlinie zur Verwendung von Verschlüsselung kann ein guter Ort sein, um die Geschäftsanforderungen für den Einsatz von Verschlüsselung und die umzusetzenden Standards zu ermitteln. Auch die rechtlichen Anforderungen rund um die Verschlüsselung müssen berücksichtigt werden.

A.10.1.2 Schlüsselverwaltung

Eine gute Kontrolle beschreibt, wie eine Richtlinie zur Verwendung und zum Schutz kryptografischer Schlüssel über deren gesamten Lebenszyklus hinweg entwickelt und umgesetzt werden sollte. Einer der wichtigsten Aspekte betrifft die Erstellung, Verteilung, Änderung, Sicherung und Speicherung von kryptografischem Schlüsselmaterial bis zu seinem Lebensende und seiner Zerstörung.

Die Verwaltung von Schlüsselmaterial ist häufig der schwächste Punkt der Verschlüsselung, und Angreifer versuchen möglicherweise, eher hier anzugreifen als auf die Verschlüsselung selbst. Daher ist es wichtig, über robuste und sichere Prozesse zu verfügen. Der Umgang mit kompromittierten Schlüsseln ist ebenfalls wichtig und sollte gegebenenfalls auch in Anhang A.16 Security Incident Management eingebunden werden.

Anwenden der Verschlüsselung

ISMS.online bietet einige Anleitungen und Tipps für eine gute Verschlüsselungsrichtlinie. Dies ist jedoch einer der wenigen Bereiche, in denen dies nur für Ihr Unternehmen und die betrieblichen Aktivitäten gilt, in denen Sie Verschlüsselung verwenden würden.

Wir verfügen über eine Liste von Partnern, die Fachberatung und Produkte rund um die Verschlüsselung anbieten. Wenn Sie also bei Ihrer Implementierung in diesem Bereich Hilfe benötigen, lassen Sie es uns wissen, und wir können Sie auch mit vertrauenswürdigen Experten in Kontakt bringen.