ISO 27001:2022 Liite A Valvonta 8.24

Kryptografian käyttö

Varaa demo

lähikuva,ryhmä,nuori,työkaverit,yhdessä,keskustella,luova,projekti,työn aikana

Siirretessään tietoja verkkojen ja laitteiden välillä verkkohyökkääjät voivat yrittää varastaa arkaluontoisia tietoja, muuttaa sisältöä, jäljitellä lähettäjiä/vastaanottajia päästäkseen luvattomasti sisään tai siepata tiedonsiirtoa.

Verkkorikolliset voivat työllistää mies keskellä (MITM) hyökkäyksiä, siepata tiedonsiirtoja ja naamioitunut palvelimeksi saadakseen lähettäjän paljastamaan kirjautumistiedot. Näillä valtuustiedoilla he voivat päästä käsiksi järjestelmiin ja vaarantaa arkaluontoiset tiedot.

Salaus, kuten salaus, voi tehokkaasti turvata tiedon luottamuksellisuuden, eheyden ja saatavuuden siirron aikana.

Salaustekniikat voivat pitää tietovarat turvassa, kun niitä ei käytetä. He varmistavat, että tiedot on suojattu luvattomalta käytöltä tai muutoksilta.

ISO 27001:2022 Liite A 8.24 hahmottelee, kuinka organisaatiot voivat luoda ja soveltaa salauksen käyttöä koskevia määräyksiä ja prosesseja.

ISO 27001:2022 liitteen A tarkoitus 8.24

ISO 27001: 2022 Liite A 8.24 antaa organisaatioille mahdollisuuden turvata tietovarojen luottamuksellisuus, eheys, aitous ja saatavuus käyttämällä oikeaa kryptografiaa ja täyttämällä seuraavat kriteerit:

  • Liiketoiminnan vaatimukset ovat pakollisia.

  • Varmistaa tietoturva tiukkojen vaatimusten täytäntöönpanon kautta.

  • Lakisääteiset, sopimukset ja organisatoriset toimeksiannot edellyttävät salauksen käyttöä.

Liitteen A omistusoikeus 8.24

Liitteen A kohdan 8.24 noudattaminen edellyttää kryptografiaa koskevan politiikan toteuttamista, tehokkaan avaintenhallintaprosessin luomista ja tietyn tietoresurssin tietojen luokitteluun sovellettavan salaustekniikan tyypin määrittelyä.

- Tietoturvajohtaja on pidettävä vastuussa salausavaimia koskevien asianmukaisten määräysten ja protokollien luomisesta.

Siirry aiheeseen

Yleiset ohjeet standardista ISO 27001:2022 Liite A 8.24 Vaatimustenmukaisuus

ISO 27001: 2022 Liite A Ohjaus 8.24 määrittelee seitsemän vaatimusta, jotka organisaatioiden on noudatettava salausmenetelmiä käyttäessään:

  1. Organisaatioilla tulisi olla salauksen käyttöä koskeva politiikka, jotta sen hyödyt voidaan maksimoida ja riskejä pienentää. Tässä politiikassa tulisi myös hahmotella yleiset tietojen suojaamisen periaatteet.

  2. Organisaatioiden tulee ottaa salausalgoritmin tyyppiä, vahvuutta ja laatua valitessaan huomioon tietoresurssien herkkyys ja niille määrätty tiedon luokittelutaso.

  3. Organisaatioiden tulisi käyttää salausmenetelmiä siirrettäessä tietoja kannettaviin laitteisiin, medialaitteisiin tai kun niitä tallennetaan niihin.

  4. Organisaatioiden on puututtava kaikkiin avaintenhallintaan liittyviin asioihin, kuten salausavainten muodostamiseen ja suojaamiseen sekä tietojen palautussuunnitelmaan siinä tapauksessa, että avaimet puuttuvat tai ovat haavoittuvia.

  5. Organisaatioiden tulee määritellä roolit ja vastuut seuraaville asioille:

    • Salaustekniikoiden käyttöä koskevat säännöt on laadittava ja niitä on valvottava.

    • Avainten käsittely, mukaan lukien niiden luominen.

  6. Organisaatio ottaa käyttöön ja hyväksyy standardeja, jotka kattavat salausalgoritmit, salauksen vahvuuden ja salauksen käyttökäytännöt.

  7. Organisaatioiden tulee harkita salauksen mahdollista vaikutusta sisällöntarkastusten tehokkuuteen, kuten haittaohjelmien havaitsemiseen.

ISO 27001:2022 Liite A 8.24 korostaa, että organisaatioiden tulee ottaa huomioon lailliset vaatimukset ja rajoitukset, jotka voivat vaikuttaa kryptografian käyttöön, mukaan lukien salatun tiedon kansainvälinen siirto.

Organisaatioiden tulee ottaa huomioon vastuu ja palvelujen jatkuvuus tehdessään palvelusopimuksia ulkopuolisten salauspalveluiden tarjoajien kanssa.

Ohjeita avainten hallintaan

Organisaatioiden on määritettävä ja noudatettava suojattuja prosesseja salausavainten luomiseksi, tallentamiseksi, hakemiseksi ja hävittämiseksi.

Organisaatioiden tulee asentaa vankka avaintenhallintajärjestelmä, joka sisältää säännöt, menettelyt ja kriteerit:

  • Salausavainten luominen erilaisille järjestelmille ja sovelluksille on välttämätöntä.

  • Julkisen avaimen varmenteiden myöntäminen ja hankkiminen.

  • Jaa avaimet aiotuille vastaanottajille, mukaan lukien avaimen aktivointimenettely.

  • Avaimet tulee säilyttää turvallisesti. Ne, joilla on oikeus käyttää niitä, voivat tehdä sen tarvittavilla tunnistetiedoilla.

  • Avainten vaihto.

  • Vaarallisten avainten käsittelyyn tulee suhtautua vakavasti.

  • Jos avaimet vaarantuvat tai valtuutettu henkilöstö lähtee organisaatiosta, ne tulee peruuttaa.

  • Kadonneiden avainten palautus.

  • Avainten varmuuskopiointi ja arkistointi on suoritettava säännöllisesti.

  • Avainten tuhoaminen.

  • Pidä kirjaa kaikista kuhunkin avaimeen liittyvistä toiminnoista.

  • Avainten aktivointi- ja deaktivointipäivämäärien määrittäminen.

  • Avainten käyttö laillisten pyyntöjen perusteella.

Lopuksi on tärkeää, että organisaatiot ovat tietoisia kolmesta pääriskistä, jotka tässä täydentävässä ohjeessa hahmotellaan:

  1. Suojatut ja yksityiset avaimet tulee suojata luvattomalta käytöltä.

  2. Salausavainten luomiseen tai tallentamiseen käytettävien suojalaitteiden kanssa tulee käyttää fyysinen turvallisuus toimenpiteet.

  3. Organisaatioiden tulee varmistaa julkisten avaimiensa kelpoisuus.

Mitkä ovat kryptografian edut?

ISO 27001:2022 liitteen A kohdassa 8.24 todetaan, että kryptografiaa voidaan käyttää auttamaan organisaatioita saavuttamaan neljä tietoturvatavoitetta. Näihin tavoitteisiin kuuluu julkisten avainten aitouden varmistaminen julkisen avaimen hallintaprosessien avulla:

  1. Salaus takaa tietojen luottamuksellisuuden säilymisen sekä siirrettäessä että tallennettaessa.

  2. Digitaaliset allekirjoitukset ja todennuskoodit takaavat, että välitetyt tiedot ovat aitoja ja luotettavia.

  3. Salausmenetelmät takaavat, että kaikkia tapahtumia tai toimia, mukaan lukien tiedon vastaanottaminen, ei kielletä.

  4. Salausmenetelmien avulla tapahtuva todennus antaa organisaatioille mahdollisuuden vahvistaa niiden käyttäjien henkilöllisyyden, jotka etsivät pääsyä järjestelmiin ja sovelluksiin.

Muutokset ja erot standardista ISO 27001:2013

ISO 27001:2022 liite A 8.24 korvaa ISO 27001:2013 liitteen A 10.1.1 ja 10.1.2 tarkistetussa 2022 standardissa.

Näiden kahden sisältö on lähes sama, vaikka rakenteellisia muutoksia onkin.

Kun vuoden 2013 versiossa oli kaksi erillistä ohjausobjektia, 10.1.1 ja 10.1.2, salauksen käyttöä varten, vuoden 2022 versiossa ne yhdistettiin yhdeksi liitteen A hallintaan, 8.24.

Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista

Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.

ISO 27001:2022 Organisaation valvonta

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Organisaation valvontaLiite A 5.1Liite A 5.1.1
Liite A 5.1.2		Tietoturvakäytännöt
Organisaation valvontaLiite A 5.2Liite A 6.1.1Tietoturvan roolit ja vastuut
Organisaation valvontaLiite A 5.3Liite A 6.1.2Tehtävien erottelu
Organisaation valvontaLiite A 5.4Liite A 7.2.1Johtamisvastuut
Organisaation valvontaLiite A 5.5Liite A 6.1.3Ota yhteyttä viranomaisiin
Organisaation valvontaLiite A 5.6Liite A 6.1.4Ota yhteyttä erityisiin eturyhmiin
Organisaation valvontaLiite A 5.7UUSIThreat Intelligence
Organisaation valvontaLiite A 5.8Liite A 6.1.5
Liite A 14.1.1		Tietoturva projektinhallinnassa
Organisaation valvontaLiite A 5.9Liite A 8.1.1
Liite A 8.1.2		Tietojen ja muiden niihin liittyvien omaisuuserien luettelo
Organisaation valvontaLiite A 5.10Liite A 8.1.3
Liite A 8.2.3		Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö
Organisaation valvontaLiite A 5.11Liite A 8.1.4Omaisuuden palautus
Organisaation valvontaLiite A 5.12Liite A 8.2.1Tietojen luokitus
Organisaation valvontaLiite A 5.13Liite A 8.2.2Tietojen merkitseminen
Organisaation valvontaLiite A 5.14Liite A 13.2.1
Liite A 13.2.2
Liite A 13.2.3		Tietojen siirto
Organisaation valvontaLiite A 5.15Liite A 9.1.1
Liite A 9.1.2		Kulunvalvonta
Organisaation valvontaLiite A 5.16Liite A 9.2.1Identity Management
Organisaation valvontaLiite A 5.17Liite A 9.2.4
Liite A 9.3.1
Liite A 9.4.3		Todennustiedot
Organisaation valvontaLiite A 5.18Liite A 9.2.2
Liite A 9.2.5
Liite A 9.2.6		Käyttöoikeudet
Organisaation valvontaLiite A 5.19Liite A 15.1.1Tietoturva toimittajasuhteissa
Organisaation valvontaLiite A 5.20Liite A 15.1.2Tietoturvasta huolehtiminen toimittajasopimusten puitteissa
Organisaation valvontaLiite A 5.21Liite A 15.1.3Tietoturvan hallinta ICT:n toimitusketjussa
Organisaation valvontaLiite A 5.22Liite A 15.2.1
Liite A 15.2.2		Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta
Organisaation valvontaLiite A 5.23UUSITietoturva pilvipalveluiden käyttöön
Organisaation valvontaLiite A 5.24Liite A 16.1.1Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
Organisaation valvontaLiite A 5.25Liite A 16.1.4Tietoturvatapahtumien arviointi ja päätös
Organisaation valvontaLiite A 5.26Liite A 16.1.5Vastaus tietoturvaloukkauksiin
Organisaation valvontaLiite A 5.27Liite A 16.1.6Tietoturvahäiriöistä oppimista
Organisaation valvontaLiite A 5.28Liite A 16.1.7Todisteiden kerääminen
Organisaation valvontaLiite A 5.29Liite A 17.1.1
Liite A 17.1.2
Liite A 17.1.3		Tietoturva häiriön aikana
Organisaation valvontaLiite A 5.30UUSIICT-valmius liiketoiminnan jatkuvuutta varten
Organisaation valvontaLiite A 5.31Liite A 18.1.1
Liite A 18.1.5		Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset
Organisaation valvontaLiite A 5.32Liite A 18.1.2Immateriaalioikeudet
Organisaation valvontaLiite A 5.33Liite A 18.1.3Tietueiden suojaus
Organisaation valvontaLiite A 5.34 Liite A 18.1.4Yksityisyys ja henkilötietojen suoja
Organisaation valvontaLiite A 5.35Liite A 18.2.1Tietoturvan riippumaton katsaus
Organisaation valvontaLiite A 5.36Liite A 18.2.2
Liite A 18.2.3		Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen
Organisaation valvontaLiite A 5.37Liite A 12.1.1Dokumentoidut toimintaohjeet

ISO 27001:2022 People Controls

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Ihmisten ohjauksetLiite A 6.1Liite A 7.1.1Seulonta
Ihmisten ohjauksetLiite A 6.2Liite A 7.1.2Palvelussuhteen ehdot
Ihmisten ohjauksetLiite A 6.3Liite A 7.2.2Tietoturvatietoisuus, koulutus ja koulutus
Ihmisten ohjauksetLiite A 6.4Liite A 7.2.3Kurinpitoprosessi
Ihmisten ohjauksetLiite A 6.5Liite A 7.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
Ihmisten ohjauksetLiite A 6.6Liite A 13.2.4Luottamuksellisuus- tai salassapitosopimukset
Ihmisten ohjauksetLiite A 6.7Liite A 6.2.2Etätyö
Ihmisten ohjauksetLiite A 6.8Liite A 16.1.2
Liite A 16.1.3		Tietoturvatapahtumien raportointi

ISO 27001:2022 Fyysiset kontrollit

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Fyysiset säätimetLiite A 7.1Liite A 11.1.1Fyysisen turvallisuuden rajat
Fyysiset säätimetLiite A 7.2Liite A 11.1.2
Liite A 11.1.6		Fyysinen sisäänpääsy
Fyysiset säätimetLiite A 7.3Liite A 11.1.3Toimistojen, huoneiden ja tilojen turvaaminen
Fyysiset säätimetLiite A 7.4UUSIFyysisen turvallisuuden valvonta
Fyysiset säätimetLiite A 7.5Liite A 11.1.4Fyysisiltä ja ympäristöuhkilta suojautuminen
Fyysiset säätimetLiite A 7.6Liite A 11.1.5Työskentely turvallisilla alueilla
Fyysiset säätimetLiite A 7.7Liite A 11.2.9Selkeä työpöytä ja selkeä näyttö
Fyysiset säätimetLiite A 7.8Liite A 11.2.1Laitteiden sijoitus ja suojaus
Fyysiset säätimetLiite A 7.9Liite A 11.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
Fyysiset säätimetLiite A 7.10Liite A 8.3.1
Liite A 8.3.2
Liite A 8.3.3
 Liite A 11.2.5		Tallennusväline
Fyysiset säätimetLiite A 7.11Liite A 11.2.2Apuohjelmat
Fyysiset säätimetLiite A 7.12Liite A 11.2.3Kaapeloinnin turvallisuus
Fyysiset säätimetLiite A 7.13Liite A 11.2.4Laitteiden huolto
Fyysiset säätimetLiite A 7.14Liite A 11.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

ISO 27001:2022 Tekniset hallintalaitteet

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Tekniset säädötLiite A 8.1Liite A 6.2.1
Liite A 11.2.8		Käyttäjän päätelaitteet
Tekniset säädötLiite A 8.2Liite A 9.2.3Etuoikeutetut käyttöoikeudet
Tekniset säädötLiite A 8.3Liite A 9.4.1Tietoihin pääsyn rajoitus
Tekniset säädötLiite A 8.4Liite A 9.4.5Pääsy lähdekoodiin
Tekniset säädötLiite A 8.5Liite A 9.4.2Suojattu todennus
Tekniset säädötLiite A 8.6Liite A 12.1.3Kapasiteetin hallinta
Tekniset säädötLiite A 8.7Liite A 12.2.1Suojaus haittaohjelmia vastaan
Tekniset säädötLiite A 8.8Liite A 12.6.1
Liite A 18.2.3		Teknisten haavoittuvuuksien hallinta
Tekniset säädötLiite A 8.9UUSIConfiguration Management
Tekniset säädötLiite A 8.10UUSITietojen poistaminen
Tekniset säädötLiite A 8.11UUSITietojen peittäminen
Tekniset säädötLiite A 8.12UUSITietovuotojen esto
Tekniset säädötLiite A 8.13Liite A 12.3.1Tietojen varmuuskopiointi
Tekniset säädötLiite A 8.14Liite A 17.2.1Tietojenkäsittelylaitteiden redundanssi
Tekniset säädötLiite A 8.15Liite A 12.4.1
Liite A 12.4.2
Liite A 12.4.3		Hakkuu
Tekniset säädötLiite A 8.16UUSISeurantatoiminnot
Tekniset säädötLiite A 8.17Liite A 12.4.4Kellon synkronointi
Tekniset säädötLiite A 8.18Liite A 9.4.4Etuoikeutettujen apuohjelmien käyttö
Tekniset säädötLiite A 8.19Liite A 12.5.1
Liite A 12.6.2		Ohjelmistojen asennus käyttöjärjestelmiin
Tekniset säädötLiite A 8.20Liite A 13.1.1Verkkoturvallisuus
Tekniset säädötLiite A 8.21Liite A 13.1.2Verkkopalveluiden turvallisuus
Tekniset säädötLiite A 8.22Liite A 13.1.3Verkkojen erottelu
Tekniset säädötLiite A 8.23UUSIWeb-suodatus
Tekniset säädötLiite A 8.24Liite A 10.1.1
Liite A 10.1.2		Kryptografian käyttö
Tekniset säädötLiite A 8.25Liite A 14.2.1Turvallisen kehityksen elinkaari
Tekniset säädötLiite A 8.26Liite A 14.1.2
Liite A 14.1.3		Sovelluksen suojausvaatimukset
Tekniset säädötLiite A 8.27Liite A 14.2.5Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet
Tekniset säädötLiite A 8.28UUSITurvallinen koodaus
Tekniset säädötLiite A 8.29Liite A 14.2.8
Liite A 14.2.9		Tietoturvatestaus kehitys- ja hyväksymisvaiheessa
Tekniset säädötLiite A 8.30Liite A 14.2.7Ulkoistettu kehitys
Tekniset säädötLiite A 8.31Liite A 12.1.4
Liite A 14.2.6		Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan
Tekniset säädötLiite A 8.32Liite A 12.1.2
Liite A 14.2.2
Liite A 14.2.3
Liite A 14.2.4		Muutoksen hallinta
Tekniset säädötLiite A 8.33Liite A 14.3.1Testitiedot
Tekniset säädötLiite A 8.34Liite A 12.7.1Tietojärjestelmien suojaus tarkastustestauksen aikana

Miten ISMS.online Ohje

ISMS.Online on johtava ISO 27001 -hallintajärjestelmäohjelmisto, joka auttaa yrityksiä noudattamaan ISO 27001:2022 -standardia ja varmistamaan, että niiden turvallisuuspolitiikka ja -menettelyt ovat standardin mukaisia.

Tämä pilvipohjainen alusta tarjoaa kattavan valikoiman työkaluja, jotka auttavat organisaatioita ottamaan käyttöön ISO 27001 -standardin mukaisen tietoturvan hallintajärjestelmän (ISMS).

Ojenna kätesi ja varaa esittely tänään.

Olen suorittanut ISO 27001:n kovalla tavalla, joten arvostan todella sitä, kuinka paljon aikaa säästyimme ISO 27001 -sertifikaatin saavuttamisessa.

Carl Vaughan
Infosec-johto, MetCloud

Varaa esittelysi

Yksinkertainen. Turvallinen. Kestävä.

Katso alustamme toiminnassa tarpeidesi ja tavoitteidesi perusteella räätälöidyllä käytännönläheisellä istunnolla.

Varaa esittelysi
img

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja