ISO 27001 – Liite A.10: Kryptografia

Mikä on liitteen A.10.1 tavoite?

Liite A.10.1 koskee kryptografisia ohjauksia. Tämän liitteen A valvonnan tavoitteena on varmistaa salauksen asianmukainen ja tehokas käyttö tietojen luottamuksellisuuden, aitouden ja/tai eheyden suojaamiseksi. Se on tärkeä osa tietoturvan hallintajärjestelmää (ISMS), varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin.

A.10.1.1 Salausohjaimien käyttöä koskeva käytäntö

Salaus ja kryptografiset hallintalaitteet nähdään usein yhtenä turvallisuusarsenaalin tärkeimmistä aseista, mutta se ei yksinään ratkaise kaikkia ongelmia. Salaustekniikoiden ja -tekniikoiden virheellinen valinta tai salausmateriaalin (esim. avainten ja varmenteiden) huono hallinta voivat luoda itse haavoittuvuuksia.

Salaus voi hidastaa tietojen käsittelyä ja siirtoa, joten on tärkeää ymmärtää kaikki riskit ja tasapainottaa säädöt riittävälle tasolle samalla, kun saavutetaan suoritustavoitteet.

Salauksen käyttöä koskeva käytäntö voi olla hyvä paikka tunnistaa liiketoiminnalliset vaatimukset, milloin salausta on käytettävä, ja standardit, jotka on määrä ottaa käyttöön. On myös otettava huomioon salaukseen liittyvät lailliset vaatimukset.

A.10.1.2 Avainten hallinta

Hyvä ohjausobjekti kuvaa, kuinka kryptografisten avainten käyttöä ja suojaa koskevaa politiikkaa tulisi kehittää ja toteuttaa niiden koko elinkaaren ajan. Yksi tärkeimmistä näkökohdista liittyy salausavainmateriaalin luomiseen, jakeluun, muutoksiin, varmuuskopiointiin ja tallentamiseen sen käyttöiän loppuun ja tuhoutumiseen asti.

Avainmateriaalin hallinta on usein salauksen heikoin kohta, ja hyökkääjät voivat yrittää hyökätä sitä vastaan ​​itse salauksen sijaan. Siksi on tärkeää, että sen ympärillä on vankat ja turvalliset prosessit. Myös vaarantuneiden avainten käsittely on tärkeää, ja se tulisi tarvittaessa liittää myös liitteeseen A.16 Turvahäiriöiden hallinta.

Salauksen käyttäminen

ISMS.online tarjoaa ohjeita ja vinkkejä hyvään salauskäytäntöön, mutta tämä on yksi harvoista alueista, joilla se on ainutlaatuinen yrityksellesi ja operatiivisille toiminnoille, joissa käytät salausta.

Meillä on luettelo kumppaneista, jotka tarjoavat asiantuntijaneuvoja ja tuotteita salaukseen liittyen, joten jos tämä on alue, jolla tarvitset apua toteutuksen aikana, ilmoita siitä meille, niin voimme ottaa sinut myös luotettaviin asiantuntijoihin.