Sicherstellung des sicheren Umgangs mit Informationen durch Kryptografie in ISO 27002:2022
Wenn Informationen zwischen Netzwerken und Geräten übertragen werden, können Cyber-Angreifer verschiedene Techniken anwenden, um vertrauliche Informationen während der Übertragung zu stehlen, den Inhalt der Informationen zu manipulieren, sich als Absender/Empfänger auszugeben, um unbefugten Zugriff auf Informationen zu erhalten, oder die Übertragung von Informationen abzufangen.
Beispielsweise können Cyberkriminelle die Man-in-the-Middle-Angriffstechnik (MITM) nutzen, die Übertragung von Daten abfangen und sich als Server ausgeben, um den Absender dazu zu bringen, seine Anmeldeinformationen an den falschen Server weiterzugeben. Mithilfe dieser Anmeldeinformationen können sie sich dann Zugang zu Systemen verschaffen und vertrauliche Informationen kompromittieren.
Der Einsatz von Kryptografie wie Verschlüsselung kann wirksam sein, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen während der Übertragung zu schützen.
Darüber hinaus können kryptografische Techniken die Sicherheit von Informationsressourcen auch im Ruhezustand gewährleisten.
In Control 8.24 geht es darum, wie Organisationen Regeln und Verfahren für den Einsatz von Kryptografie festlegen und implementieren können.
Zweck der Kontrolle 8.24
Control 8.24 ermöglicht es Organisationen, die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Informationsressourcen aufrechtzuerhalten, indem sie kryptografische Techniken ordnungsgemäß implementieren und die folgenden Kriterien berücksichtigen:
- Geschäftsanforderungen.
- Anforderungen an die Informationssicherheit.
- Gesetzliche, vertragliche und organisatorische Anforderungen an den Einsatz von Kryptographie.
Kontrollattribute 8.24
Kontrolle 8.24 ist eine präventive Art der Kontrolle, die von Organisationen verlangt, Regeln und Verfahren für den effektiven Einsatz kryptografischer Techniken festzulegen und so Risiken für die Gefährdung von Informationsressourcen während der Übertragung oder im Ruhezustand zu beseitigen und zu minimieren.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Sichere Konfiguration | #Schutz |
| #Integrität | ||||
| #Verfügbarkeit |
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Eigentum an der Kontrolle 8.24
Die Einhaltung von 8.24 erfordert die Festlegung und Umsetzung einer spezifischen Richtlinie zur Kryptografie, die Schaffung eines effektiven Schlüsselverwaltungsprozesses und die Bestimmung der Art der Kryptografietechnik, die für den Grad der Informationsklassifizierung geeignet ist, der einem bestimmten Informationsbestand zugewiesen ist.
Daher sollte der Chief Information Security Officer dafür verantwortlich sein, geeignete Regeln und Verfahren für die Verwendung kryptografischer Schlüssel festzulegen.
Allgemeine Richtlinien zur Compliance
Control 8.24 listet sieben Anforderungen auf, die Organisationen beim Einsatz kryptografischer Techniken einhalten sollten:
- Organisationen sollten eine themenspezifische Richtlinie zur Verwendung von Kryptografie erstellen und pflegen. Diese Richtlinie ist für die Maximierung der Vorteile kryptografischer Techniken von entscheidender Bedeutung und verringert die Risiken, die sich aus der Verwendung von Kryptografie ergeben können. Es wird außerdem darauf hingewiesen, dass diese Richtlinie allgemeine Grundsätze zum Schutz von Informationen abdecken sollte.
- Organisationen sollten den Grad der Sensibilität der Informationsbestände und die ihnen zugewiesene Informationsklassifizierungsstufe berücksichtigen, wenn sie über Art, Stärke und Qualität des Verschlüsselungsalgorithmus entscheiden.
- Organisationen sollten kryptografische Techniken implementieren, wenn Informationen auf mobile Geräte oder Speichermedien übertragen werden oder wenn Informationen auf diesen Geräten gespeichert werden.
- Organisationen sollten sich mit Fragen im Zusammenhang mit der Schlüsselverwaltung befassen, einschließlich der Erstellung und des Schutzes kryptografischer Schlüssel und des Wiederherstellungsplans für verschlüsselte Daten für den Fall, dass Schlüssel verloren gehen oder kompromittiert werden.
- Organisationen sollten die Rollen und Verantwortlichkeiten für Folgendes festlegen:
- Festlegung und Umsetzung der Regeln für die Verwendung der kryptografischen Techniken.
- Wie mit Schlüsseln umgegangen wird, einschließlich der Art und Weise, wie sie generiert werden.
- Die Übernahme und Genehmigung von Standards im gesamten Unternehmen für kryptografische Algorithmen, Verschlüsselungsstärke und Nutzungspraktiken für die Kryptografie.
- Die Organisation sollte sich damit befassen, wie verschlüsselte Informationen die Kontrollen beeinträchtigen können, die die Inhaltsprüfung mit sich bringen, beispielsweise die Erkennung von Malware.
Darüber hinaus betont Control 8.24, dass Organisationen Gesetze und Anforderungen berücksichtigen sollten, die den Einsatz von Kryptografie, einschließlich der grenzüberschreitenden Übertragung verschlüsselter Informationen, einschränken können.
Schließlich wird Organisationen auch empfohlen, die Haftung und die Kontinuität der Dienste zu berücksichtigen, wenn sie Dienstleistungsverträge mit Dritten für die Bereitstellung kryptografischer Dienste abschließen.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Ergänzende Anleitung zur Schlüsselverwaltung
Organisationen sollten sichere Verfahren für die Erstellung, Speicherung, den Abruf und die Zerstörung kryptografischer Schlüssel definieren und anwenden.
Insbesondere sollten Organisationen ein robustes Schlüsselverwaltungssystem einrichten, das Regeln, Prozesse und Standards für Folgendes umfasst:
- Generierung kryptografischer Schlüssel für verschiedene Systeme und Anwendungen.
- Ausstellung und Erwerb von Public-Key-Zertifikaten.
- Verteilung der Schlüssel an die vorgesehenen Empfänger, einschließlich des Prozesses der Schlüsselaktivierung.
- Aufbewahrung von Schlüsseln und wie autorisierte Parteien auf Schlüssel zugreifen können.
- Schlüsselwechsel.
- Umgang mit kompromittierten Schlüsseln.
- Sperrung von Schlüsseln aus Gründen der Kompromittierung oder wenn autorisierte Personen eine Organisation verlassen.
- Wiederherstellung verlorener Schlüssel.
- Schlüsselsicherung und -archivierung.
- Schlüssel zerstören.
- Führen Sie ein Protokoll aller Aktivitäten im Zusammenhang mit jedem Schlüssel.
- Festlegung von Aktivierungs- und Deaktivierungsdaten für Schlüssel.
- Beantwortung rechtlicher Anfragen zum Zugang zu Schlüsseln.
Zu guter Letzt warnt dieser ergänzende Leitfaden Unternehmen vor drei besonderen Risiken:
- Geheime und geschützte Schlüssel sollten vor unbefugter Nutzung geschützt werden.
- Geräte, die zum Erstellen oder Speichern von Verschlüsselungsschlüsseln verwendet werden, sollten durch physische Sicherheitsmaßnahmen geschützt werden.
- Organisationen sollten die Authentizität öffentlicher Schlüssel wahren.
Was sind die Vorteile der Kryptographie?
Nachdem hervorgehoben wurde, dass Organisationen die Authentizität öffentlicher Schlüssel durch Methoden wie öffentliche Schlüsselverwaltungsprozesse sicherstellen können, erklärt Control 8.24, wie Kryptografie Organisationen dabei helfen kann, vier Ziele der Informationssicherheit zu erreichen:
- Vertraulichkeit: Kryptographie schützt und wahrt die Vertraulichkeit von Daten sowohl bei der Übertragung als auch im Ruhezustand.
- Integrität und Authentizität: Digitale Signaturen und Authentifizierungscodes können die Authentizität und Integrität der übermittelten Informationen sicherstellen.
- Nicht-Zurückweisung: Kryptografische Methoden liefern den Nachweis aller durchgeführten Ereignisse oder Aktionen, wie z. B. den Empfang von Informationen.
- Authentifizierung: Mit kryptografischen Methoden können Organisationen die Identität von Benutzern überprüfen, die Zugriff auf Systeme und Anwendungen anfordern.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022/8.24 ersetzt 27002:2013/(10.1.1. und 10.1.2)
Obwohl der Inhalt beider Versionen nahezu identisch ist, gibt es einige strukturelle Änderungen.
Während die Version von 2013 den Einsatz von Kryptografie unter zwei getrennten Kontrollen behandelte, nämlich 10.1.1. Und 10.1.2, die Version 2022, kombinierte diese beiden unter einer Steuerung, 8.24.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.online hilft
ISMS.Online ist die führende ISO 27002-Managementsystemsoftware, die die Einhaltung von ISO 27002 unterstützt und Unternehmen dabei hilft, ihre Sicherheitsrichtlinien und -verfahren an der Norm auszurichten.
Die cloudbasierte Plattform bietet einen vollständigen Satz an Tools, die Organisationen beim Aufbau eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27002 unterstützen.
Nehmen Sie Kontakt auf und Demo buchen.
