Wenn Informationen zwischen Netzwerken und Geräten übertragen werden, können Cyber-Angreifer verschiedene Techniken anwenden, um vertrauliche Informationen während der Übertragung zu stehlen, den Inhalt der Informationen zu manipulieren, sich als Absender/Empfänger auszugeben, um unbefugten Zugriff auf Informationen zu erhalten, oder die Übertragung von Informationen abzufangen.
Beispielsweise können Cyberkriminelle die Man-in-the-Middle-Angriffstechnik (MITM) nutzen, die Übertragung von Daten abfangen und sich als Server ausgeben, um den Absender dazu zu bringen, seine Anmeldeinformationen an den falschen Server weiterzugeben. Mithilfe dieser Anmeldeinformationen können sie sich dann Zugang zu Systemen verschaffen und vertrauliche Informationen kompromittieren.
Der Einsatz von Kryptografie wie Verschlüsselung kann wirksam sein, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen während der Übertragung zu schützen.
Darüber hinaus können kryptografische Techniken die Sicherheit von Informationsressourcen auch im Ruhezustand gewährleisten.
In Control 8.24 geht es darum, wie Organisationen Regeln und Verfahren für den Einsatz von Kryptografie festlegen und implementieren können.
Control 8.24 ermöglicht es Organisationen, die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Informationsressourcen aufrechtzuerhalten, indem sie kryptografische Techniken ordnungsgemäß implementieren und die folgenden Kriterien berücksichtigen:
Kontrolle 8.24 ist eine präventive Art der Kontrolle, die von Organisationen verlangt, Regeln und Verfahren für den effektiven Einsatz kryptografischer Techniken festzulegen und so Risiken für die Gefährdung von Informationsressourcen während der Übertragung oder im Ruhezustand zu beseitigen und zu minimieren.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Sichere Konfiguration | #Schutz |
Die Einhaltung von 8.24 erfordert die Festlegung und Umsetzung einer spezifischen Richtlinie zur Kryptografie, die Schaffung eines effektiven Schlüsselverwaltungsprozesses und die Bestimmung der Art der Kryptografietechnik, die für den Grad der Informationsklassifizierung geeignet ist, der einem bestimmten Informationsbestand zugewiesen ist.
Daher sollte der Chief Information Security Officer dafür verantwortlich sein, geeignete Regeln und Verfahren für die Verwendung kryptografischer Schlüssel festzulegen.
Control 8.24 listet sieben Anforderungen auf, die Organisationen beim Einsatz kryptografischer Techniken einhalten sollten:
Darüber hinaus betont Control 8.24, dass Organisationen Gesetze und Anforderungen berücksichtigen sollten, die den Einsatz von Kryptografie, einschließlich der grenzüberschreitenden Übertragung verschlüsselter Informationen, einschränken können.
Schließlich wird Organisationen auch empfohlen, die Haftung und die Kontinuität der Dienste zu berücksichtigen, wenn sie Dienstleistungsverträge mit Dritten für die Bereitstellung kryptografischer Dienste abschließen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Organisationen sollten sichere Verfahren für die Erstellung, Speicherung, den Abruf und die Zerstörung kryptografischer Schlüssel definieren und anwenden.
Insbesondere sollten Organisationen ein robustes Schlüsselverwaltungssystem einrichten, das Regeln, Prozesse und Standards für Folgendes umfasst:
Zu guter Letzt warnt dieser ergänzende Leitfaden Unternehmen vor drei besonderen Risiken:
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Nachdem hervorgehoben wurde, dass Organisationen die Authentizität öffentlicher Schlüssel durch Methoden wie öffentliche Schlüsselverwaltungsprozesse sicherstellen können, erklärt Control 8.24, wie Kryptografie Organisationen dabei helfen kann, vier Ziele der Informationssicherheit zu erreichen:
27002:2022/8.24 ersetzt 27002:2013/(10.1.1. und 10.1.2)
Obwohl der Inhalt beider Versionen nahezu identisch ist, gibt es einige strukturelle Änderungen.
Während die Version von 2013 den Einsatz von Kryptografie unter zwei getrennten Kontrollen behandelte, nämlich 10.1.1. Und 10.1.2, die Version 2022, kombinierte diese beiden unter einer Steuerung, 8.24.
ISMS.Online ist die führende ISO 27002-Managementsystemsoftware, die die Einhaltung von ISO 27002 unterstützt und Unternehmen dabei hilft, ihre Sicherheitsrichtlinien und -verfahren an der Norm auszurichten.
Die cloudbasierte Plattform bietet einen vollständigen Satz an Tools, die Organisationen beim Aufbau eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27002 unterstützen.
Nehmen Sie Kontakt auf und Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |