ISO 27002:2022, Control 8.24 – Verwendung von Kryptographie

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

jung,geschäft,kollegen,arbeiten,in,beschäftigt,offen,planen,büro

Wenn Informationen zwischen Netzwerken und Geräten übertragen werden, können Cyber-Angreifer verschiedene Techniken anwenden, um vertrauliche Informationen während der Übertragung zu stehlen, den Inhalt der Informationen zu manipulieren, sich als Absender/Empfänger auszugeben, um unbefugten Zugriff auf Informationen zu erhalten, oder die Übertragung von Informationen abzufangen.

Beispielsweise können Cyberkriminelle die Man-in-the-Middle-Angriffstechnik (MITM) nutzen, die Übertragung von Daten abfangen und sich als Server ausgeben, um den Absender dazu zu bringen, seine Anmeldeinformationen an den falschen Server weiterzugeben. Mithilfe dieser Anmeldeinformationen können sie sich dann Zugang zu Systemen verschaffen und vertrauliche Informationen kompromittieren.

Der Einsatz von Kryptografie wie Verschlüsselung kann wirksam sein, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen während der Übertragung zu schützen.

Darüber hinaus können kryptografische Techniken die Sicherheit von Informationsressourcen auch im Ruhezustand gewährleisten.

In Control 8.24 geht es darum, wie Organisationen Regeln und Verfahren für den Einsatz von Kryptografie festlegen und implementieren können.

Zweck der Kontrolle 8.24

Control 8.24 ermöglicht es Organisationen, die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Informationsressourcen aufrechtzuerhalten, indem sie kryptografische Techniken ordnungsgemäß implementieren und die folgenden Kriterien berücksichtigen:

  • Geschäftsanforderungen.

  • Anforderungen an die Informationssicherheit.

  • Gesetzliche, vertragliche und organisatorische Anforderungen an den Einsatz von Kryptographie.

Kontrollattribute 8.24

Kontrolle 8.24 ist eine präventive Art der Kontrolle, die von Organisationen verlangt, Regeln und Verfahren für den effektiven Einsatz kryptografischer Techniken festzulegen und so Risiken für die Gefährdung von Informationsressourcen während der Übertragung oder im Ruhezustand zu beseitigen und zu minimieren.

Steuerungstyp Eigenschaften der Informationssicherheit CybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Schützen#Sichere Konfiguration#Schutz
Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Eigentum an der Kontrolle 8.24

Die Einhaltung von 8.24 erfordert die Festlegung und Umsetzung einer spezifischen Richtlinie zur Kryptografie, die Schaffung eines effektiven Schlüsselverwaltungsprozesses und die Bestimmung der Art der Kryptografietechnik, die für den Grad der Informationsklassifizierung geeignet ist, der einem bestimmten Informationsbestand zugewiesen ist.

Daher sollte der Chief Information Security Officer dafür verantwortlich sein, geeignete Regeln und Verfahren für die Verwendung kryptografischer Schlüssel festzulegen.

Allgemeine Richtlinien zur Compliance

Control 8.24 listet sieben Anforderungen auf, die Organisationen beim Einsatz kryptografischer Techniken einhalten sollten:

  1. Organisationen sollten eine themenspezifische Richtlinie zur Verwendung von Kryptografie erstellen und pflegen. Diese Richtlinie ist für die Maximierung der Vorteile kryptografischer Techniken von entscheidender Bedeutung und verringert die Risiken, die sich aus der Verwendung von Kryptografie ergeben können. Es wird außerdem darauf hingewiesen, dass diese Richtlinie allgemeine Grundsätze zum Schutz von Informationen abdecken sollte.

  2. Organisationen sollten den Grad der Sensibilität der Informationsbestände und die ihnen zugewiesene Informationsklassifizierungsstufe berücksichtigen, wenn sie über Art, Stärke und Qualität des Verschlüsselungsalgorithmus entscheiden.

  3. Organisationen sollten kryptografische Techniken implementieren, wenn Informationen auf mobile Geräte oder Speichermedien übertragen werden oder wenn Informationen auf diesen Geräten gespeichert werden.

  4. Organisationen sollten sich mit Fragen im Zusammenhang mit der Schlüsselverwaltung befassen, einschließlich der Erstellung und des Schutzes kryptografischer Schlüssel und des Wiederherstellungsplans für verschlüsselte Daten für den Fall, dass Schlüssel verloren gehen oder kompromittiert werden.

  5. Organisationen sollten die Rollen und Verantwortlichkeiten für Folgendes festlegen:

    • Festlegung und Umsetzung der Regeln für die Verwendung der kryptografischen Techniken.

    • Wie mit Schlüsseln umgegangen wird, einschließlich der Art und Weise, wie sie generiert werden.
  6. Die Übernahme und Genehmigung von Standards im gesamten Unternehmen für kryptografische Algorithmen, Verschlüsselungsstärke und Nutzungspraktiken für die Kryptografie.

  7. Die Organisation sollte sich damit befassen, wie verschlüsselte Informationen die Kontrollen beeinträchtigen können, die die Inhaltsprüfung mit sich bringen, beispielsweise die Erkennung von Malware.

Darüber hinaus betont Control 8.24, dass Organisationen Gesetze und Anforderungen berücksichtigen sollten, die den Einsatz von Kryptografie, einschließlich der grenzüberschreitenden Übertragung verschlüsselter Informationen, einschränken können.

Schließlich wird Organisationen auch empfohlen, die Haftung und die Kontinuität der Dienste zu berücksichtigen, wenn sie Dienstleistungsverträge mit Dritten für die Bereitstellung kryptografischer Dienste abschließen.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Ergänzende Anleitung zur Schlüsselverwaltung

Organisationen sollten sichere Verfahren für die Erstellung, Speicherung, den Abruf und die Zerstörung kryptografischer Schlüssel definieren und anwenden.

Insbesondere sollten Organisationen ein robustes Schlüsselverwaltungssystem einrichten, das Regeln, Prozesse und Standards für Folgendes umfasst:

  • Generierung kryptografischer Schlüssel für verschiedene Systeme und Anwendungen.

  • Ausstellung und Erwerb von Public-Key-Zertifikaten.

  • Verteilung der Schlüssel an die vorgesehenen Empfänger, einschließlich des Prozesses der Schlüsselaktivierung.

  • Aufbewahrung von Schlüsseln und wie autorisierte Parteien auf Schlüssel zugreifen können.

  • Schlüsselwechsel.

  • Umgang mit kompromittierten Schlüsseln.

  • Sperrung von Schlüsseln aus Gründen der Kompromittierung oder wenn autorisierte Personen eine Organisation verlassen.

  • Wiederherstellung verlorener Schlüssel.

  • Schlüsselsicherung und -archivierung.

  • Schlüssel zerstören.

  • Führen Sie ein Protokoll aller Aktivitäten im Zusammenhang mit jedem Schlüssel.

  • Festlegung von Aktivierungs- und Deaktivierungsdaten für Schlüssel.

  • Beantwortung rechtlicher Anfragen zum Zugang zu Schlüsseln.

Zu guter Letzt warnt dieser ergänzende Leitfaden Unternehmen vor drei besonderen Risiken:

  • Geheime und geschützte Schlüssel sollten vor unbefugter Nutzung geschützt werden.

  • Geräte, die zum Erstellen oder Speichern von Verschlüsselungsschlüsseln verwendet werden, sollten durch physische Sicherheitsmaßnahmen geschützt werden.

  • Organisationen sollten die Authentizität öffentlicher Schlüssel wahren.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

Was sind die Vorteile der Kryptographie?

Nachdem hervorgehoben wurde, dass Organisationen die Authentizität öffentlicher Schlüssel durch Methoden wie öffentliche Schlüsselverwaltungsprozesse sicherstellen können, erklärt Control 8.24, wie Kryptografie Organisationen dabei helfen kann, vier Ziele der Informationssicherheit zu erreichen:

  1. Vertraulichkeit: Kryptographie schützt und wahrt die Vertraulichkeit von Daten sowohl bei der Übertragung als auch im Ruhezustand.

  2. Integrität und Authentizität: Digitale Signaturen und Authentifizierungscodes können die Authentizität und Integrität der übermittelten Informationen sicherstellen.

  3. Nicht-Zurückweisung: Kryptografische Methoden liefern den Nachweis aller durchgeführten Ereignisse oder Aktionen, wie z. B. den Empfang von Informationen.

  4. Authentifizierung: Mit kryptografischen Methoden können Organisationen die Identität von Benutzern überprüfen, die Zugriff auf Systeme und Anwendungen anfordern.

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/8.24 ersetzt 27002:2013/(10.1.1. und 10.1.2)

Obwohl der Inhalt beider Versionen nahezu identisch ist, gibt es einige strukturelle Änderungen.

Während die Version von 2013 den Einsatz von Kryptografie unter zwei getrennten Kontrollen behandelte, nämlich 10.1.1. Und 10.1.2, die Version 2022, kombinierte diese beiden unter einer Steuerung, 8.24.

Wie ISMS.online hilft

ISMS.Online ist die führende ISO 27002-Managementsystemsoftware, die die Einhaltung von ISO 27002 unterstützt und Unternehmen dabei hilft, ihre Sicherheitsrichtlinien und -verfahren an der Norm auszurichten.

Die cloudbasierte Plattform bietet einen vollständigen Satz an Tools, die Organisationen beim Aufbau eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27002 unterstützen.

Nehmen Sie Kontakt auf und Demo buchen.

Entdecken Sie unsere Plattform

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren