ISO 27001:2022 Bijlage A 8.24 – Gebruik van cryptografie

• Bekijk ISO 27002:2022 Controle 8.24 voor meer informatie.
• Bekijk ISO 27001:2013 Bijlage A 10.1.1 voor meer informatie.
• Bekijk ISO 27001:2013 Bijlage A 10.1.2 voor meer informatie.

Bijlage A 8.24 Uitgelegd: Implementeren van veilige cryptografische controles

Bij het verzenden van informatie tussen netwerken en apparaten kunnen cyberaanvallers proberen gevoelige gegevens te stelen, de inhoud te wijzigen, afzenders/ontvangers te imiteren om ongeautoriseerde toegang te verkrijgen, of de uitwisseling te onderscheppen.

Cybercriminelen kunnen gebruik maken van man-in-the-middle (MITM) aanvallen, het onderscheppen van datatransmissies en het zich voordoen als de server om de afzender ertoe te brengen inloggegevens te onthullen. Met deze inloggegevens kunnen ze toegang krijgen tot systemen en gevoelige gegevens in gevaar brengen.

Cryptografie, zoals encryptie, kan de vertrouwelijkheid, integriteit en beschikbaarheid van informatie tijdens het transport effectief waarborgen.

Cryptografische technieken kunnen informatiemiddelen veilig houden wanneer ze niet worden gebruikt. Ze zorgen ervoor dat de gegevens worden beschermd tegen ongeoorloofde toegang of wijziging.

ISO 27001:2022 Annex A 8.24 schetst hoe organisaties regels en processen met betrekking tot het gebruik van cryptografie kunnen creëren en toepassen.

Doel van ISO 27001:2022 Bijlage A 8.24

ISO 27001:2022 Bijlage A 8.24 stelt organisaties in staat de vertrouwelijkheid, integriteit, authenticiteit en beschikbaarheid van informatiemiddelen te waarborgen door correcte toepassing van cryptografie en door aan de volgende criteria te voldoen:

• Zakelijke vereisten zijn een must.
• Verzekeren informatiebeveiliging door de implementatie van strenge eisen.
• Statutaire, contractuele en organisatorische mandaten vereisen het gebruik van cryptografie.

Eigendom op bijlage A 8.24

Het voldoen aan bijlage A 8.24 vereist de implementatie van een beleid inzake cryptografie, het opzetten van een efficiënt sleutelbeheerproces en het bepalen van het type cryptografische techniek dat van toepassing is op de gegevensclassificatie van een bepaald informatiemiddel.

Ocuco's Medewerkers Chief Information Security Officer moet verantwoordelijk worden gehouden voor het opzetten van goede regelgeving en protocollen met betrekking tot cryptografische sleutels.

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.24 Naleving

ISO 27001:2022 bijlage A Controle 8.24 bepaalt zeven eisen die organisaties in acht moeten nemen bij het gebruik van cryptografische methoden:

1. Organisaties moeten beleid hebben met betrekking tot het gebruik van cryptografie, om de voordelen ervan te maximaliseren en de risico’s te verminderen. Dit beleid moet ook algemene beginselen voor de bescherming van informatie schetsen.
2. Organisaties moeten bij het selecteren van het type, de kracht en de kwaliteit van het versleutelingsalgoritme rekening houden met de kwetsbaarheid van hun informatiebronnen en met het informatieclassificatieniveau dat hen is toegewezen.
3. Organisaties zouden cryptografische benaderingen moeten gebruiken bij het overbrengen van informatie naar draagbare apparaten, media-apparatuur of wanneer deze daarop wordt opgeslagen.
4. Organisaties moeten alle zaken aanpakken die verband houden met sleutelbeheer, zoals het vormen en afschermen van cryptografische sleutels en het hebben van een schema voor gegevensherstel in het geval dat de sleutels ontbreken of kwetsbaar zijn.
5. Organisaties moeten de rollen en verantwoordelijkheden definiëren voor het volgende:
• De regels voor het gebruik van cryptografische technieken moeten worden vastgesteld en gehandhaafd.
• Omgaan met sleutels, inclusief het genereren ervan.
6. De organisatie adopteert en keurt standaarden goed die de cryptografische algoritmen, de coderingssterkte en de gebruikspraktijken van cryptografie omvatten.
7. Organisaties moeten rekening houden met de potentiële impact van encryptie op de effectiviteit van de controles op de inhoudsinspectie, zoals de detectie van malware.

ISO 27001:2022 Annex A 8.24 benadrukt dat organisaties rekening moeten houden met wettelijke vereisten en beperkingen die van invloed kunnen zijn op het gebruik van cryptografie, inclusief de internationale overdracht van gecodeerde informatie.

Organisaties moeten rekening houden met aansprakelijkheid en continuïteit van diensten wanneer zij serviceovereenkomsten aangaan met externe aanbieders van cryptografische diensten.

Begeleiding bij sleutelbeheer

Organisaties moeten veilige processen opzetten en volgen voor het genereren, opslaan, ophalen en verwijderen van cryptografische sleutels.

Organisaties zouden een solide sleutelbeheersysteem moeten installeren dat regels, procedures en criteria bevat voor:

• Het genereren van cryptografische sleutels voor een verscheidenheid aan systemen en toepassingen is noodzakelijk.
• Het uitgeven en verkrijgen van public-key certificaten.
• Verdeel sleutels onder de beoogde ontvangers, inclusief de procedure voor sleutelactivering.
• Sleutels moeten veilig worden opgeborgen. Degenen die geautoriseerd zijn om toegang te krijgen, kunnen dit doen met de benodigde inloggegevens.
• Wisselen van sleutels.
• Het omgaan met gecompromitteerde sleutels moet serieus worden genomen.
• Als sleutels in gevaar komen of als geautoriseerd personeel een organisatie verlaat, moeten deze worden ingetrokken.
• Herstel van verloren sleutels.
• Sleutelback-up en archivering moeten regelmatig worden uitgevoerd.
• Sleutels vernietigen.
• Houd een register bij van alle activiteiten die aan elke sleutel zijn gekoppeld.
• Vaststellen van de activatie- en deactiveringsdata voor sleutels.
• Toegang tot sleutels als reactie op juridische verzoeken.

Tenslotte is het essentieel dat organisaties zich bewust zijn van de drie belangrijkste risico’s die deze aanvullende leidraad schetst:

1. Veilige en privésleutels moeten worden beveiligd tegen ongeoorloofd gebruik.
2. Er moet een einde komen aan het beschermen van apparatuur die wordt gebruikt voor het maken of opslaan van encryptiesleutels fysieke beveiliging maatregelen.
3. Organisaties moeten de geldigheid van hun publieke sleutels garanderen.

Wat zijn de voordelen van cryptografie?

ISO 27001:2022 Annex A 8.24 stelt dat cryptografie kan worden gebruikt om organisaties te helpen vier informatiebeveiligingsdoelstellingen te bereiken. Deze doelstellingen omvatten onder meer het verifiëren van de authenticiteit van publieke sleutels via publieke sleutelbeheerprocessen:

1. Cryptografie zorgt ervoor dat de vertrouwelijkheid van gegevens, zowel onderweg als opgeslagen, behouden blijft.
2. Digitale handtekeningen en authenticatiecodes garanderen dat de gecommuniceerde informatie authentiek en betrouwbaar is.
3. Cryptografische methoden geven de zekerheid dat alle gebeurtenissen of ondernomen acties, inclusief de ontvangst van informatie, niet zullen worden ontkend.
4. Authenticatie via cryptografische methoden stelt organisaties in staat de identiteit te valideren van gebruikers die toegang zoeken tot systemen en applicaties.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 8.24 vervangt ISO 27001:2013 bijlage A 10.1.1 en 10.1.2 in de herziene norm van 2022.

De inhoud van de twee is vrijwel hetzelfde, hoewel er enkele structurele wijzigingen zijn.

Terwijl de versie van 2013 twee afzonderlijke controles had, 10.1.1 en 10.1.2, voor het gebruik van cryptografie, consolideerde de versie van 2022 deze in één bijlage A-controle, 8.24.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

Hoe ISMS.online helpt

ISMS.Online is de belangrijkste ISO 27001-managementsysteemsoftware, die bedrijven helpt bij het naleven van ISO 27001:2022 en ervoor zorgt dat hun beveiligingsbeleid en -procedures aan de norm voldoen.

Deze cloud-gebaseerd platform biedt een uitgebreide set tools om organisaties te helpen bij het implementeren van een Information Security Management System (ISMS) in overeenstemming met ISO 27001.

Reik uit en boek vandaag nog een demonstratie.