ISO 27001 – Bijlage A.10: Cryptografie

Wat is het doel van bijlage A.10.1?

Bijlage A.10.1 gaat over cryptografische controles. Het doel van deze bijlage A-controle is het waarborgen van een juist en effectief gebruik van cryptografie om de vertrouwelijkheid, authenticiteit en/of integriteit van informatie te beschermen. Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen.

A.10.1.1 Beleid inzake het gebruik van cryptografische controles

Encryptie en cryptografische controles worden vaak gezien als een van de belangrijkste wapens in het beveiligingsarsenaal, maar op zichzelf is het niet de ‘zilveren kogel’ die elk probleem oplost. Een onjuiste selectie van cryptografische technologieën en technieken of een slecht beheer van cryptografisch materiaal (bijvoorbeeld sleutels en certificaten) kunnen op zichzelf kwetsbaarheden veroorzaken.

Encryptie kan de verwerking en overdracht van informatie vertragen. Het is dus belangrijk om alle risico's te begrijpen en de controles op een adequaat niveau te brengen, terwijl u toch aan de prestatiedoelstellingen voldoet.

Een beleid inzake het gebruik van encryptie kan een goede plek zijn om de bedrijfsvereisten te identificeren voor wanneer encryptie moet worden gebruikt en de standaarden die moeten worden geïmplementeerd. Er moet ook rekening worden gehouden met de wettelijke vereisten rond encryptie.

A.10.1.2 Sleutelbeheer

Een goede controle beschrijft hoe een beleid inzake het gebruik en de bescherming van cryptografische sleutels gedurende hun gehele levenscyclus moet worden ontwikkeld en geïmplementeerd. Een van de belangrijkste aspecten betreft de creatie, distributie, wijzigingen, back-up en opslag van cryptografisch sleutelmateriaal tot aan het einde van de levensduur en vernietiging ervan.

Het beheer van sleutelmateriaal is vaak het zwakste punt van versleuteling en aanvallers proberen dit mogelijk aan te vallen in plaats van de versleuteling zelf. Het is daarom belangrijk om er robuuste en veilige processen omheen te hebben. Het omgaan met gecompromitteerde sleutels is ook belangrijk en moet waar nodig ook worden vastgelegd in bijlage A.16 Beheer van beveiligingsincidenten.

Encryptie toepassen

ISMS.online biedt enkele richtlijnen en tips voor een goed beleid voor encryptie, maar dit is een van de weinige gebieden waarop het uniek is voor uw bedrijf en de operationele activiteiten waar u encryptie zou gebruiken.

We hebben een lijst met partners die gespecialiseerd advies en producten op het gebied van encryptie leveren, dus als u op dit gebied hulp nodig heeft tijdens uw implementatie, laat het ons dan weten, zodat we u ook in contact kunnen brengen met vertrouwde experts.