Kun tietoja siirretään verkkojen ja laitteiden välillä, kyberhyökkääjät voivat käyttää erilaisia tekniikoita varastaakseen arkaluontoisia tietoja siirron aikana, peukaloidakseen tietojen sisältöä, esiintyä lähettäjänä/vastaanottajana saadakseen luvattoman pääsyn tietoihin tai siepatakseen tiedon siirron.
Verkkorikolliset voivat esimerkiksi käyttää man-in-the-middle (MITM) -hyökkäystekniikkaa, siepata tiedonsiirron ja esiintyä palvelimena taivuttaakseen lähettäjän paljastamaan kirjautumistietonsa väärälle palvelimelle. He voivat sitten käyttää näitä valtuustietoja päästäkseen järjestelmiin ja vaarantamaan arkaluonteisia tietoja.
Salauksen, kuten salauksen, käyttö voi olla tehokas tietoresurssien luottamuksellisuuden, eheyden ja saatavuuden suojaamisessa niiden siirron aikana.
Lisäksi salaustekniikat voivat myös ylläpitää tietovarojen turvallisuutta niiden ollessa levossa.
Ohjaus 8.24 käsittelee sitä, kuinka organisaatiot voivat laatia ja toteuttaa sääntöjä ja menettelyjä salauksen käytölle.
Control 8.24 antaa organisaatioille mahdollisuuden säilyttää tietoresurssien luottamuksellisuus, eheys, aitous ja saatavuus ottamalla salaustekniikat asianmukaisesti käyttöön ja ottamalla huomioon seuraavat kriteerit:
Ohjaus 8.24 on ennaltaehkäisevä valvonta, joka vaatii organisaatioita laatimaan säännöt ja menettelyt salaustekniikoiden tehokkaalle käytölle ja siten eliminoimaan ja minimoimaan tietovarallisuuden vaarantumisriskit niiden ollessa siirrossa tai lepotilassa.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Suojattu määritys | #Suojaus |
Kohdan 8.24 noudattaminen edellyttää erityisen salauskäytännön luomista ja toteuttamista, tehokkaan avaintenhallintaprosessin luomista ja salaustekniikan tyypin määrittämistä tietylle tietoresurssille määritetyn tiedon luokittelun tasolle.
Siksi tietoturvapäällikön tulisi olla vastuussa salausavainten käyttöä koskevien asianmukaisten sääntöjen ja menettelyjen laatimisesta.
Ohjaus 8.24 luettelee seitsemän vaatimusta, joita organisaatioiden tulee noudattaa salaustekniikoita käyttäessään:
Lisäksi Control 8.24 korostaa, että organisaatioiden tulee ottaa huomioon lait ja vaatimukset, jotka voivat rajoittaa salauksen käyttöä, mukaan lukien salatun tiedon rajat ylittävä siirto.
Organisaatioita kehotetaan myös ottamaan huomioon vastuu ja palvelujen jatkuvuus, kun ne tekevät palvelusopimuksia kolmansien osapuolten kanssa salauspalvelujen tarjoamisesta.
Organisaatioiden tulee määritellä ja soveltaa suojattuja menettelyjä salausavainten luomiseen, tallentamiseen, hakemiseen ja tuhoamiseen.
Organisaatioiden tulisi erityisesti ottaa käyttöön vankka avainten hallintajärjestelmä, joka sisältää säännöt, prosessit ja standardit seuraavia asioita varten:
Viimeisenä mutta ei vähäisimpänä, nämä lisäohjeet varoittavat organisaatioita kolmesta erityisestä riskistä:
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Korostettuaan, että organisaatiot voivat varmistaa julkisten avainten aitouden menetelmillä, kuten julkisen avaimen hallintaprosesseilla, Control 8.24 selittää, kuinka salaus voi auttaa organisaatioita saavuttamaan neljä tietoturvatavoitetta:
27002:2022/8.24 korvaa 27002:2013/(10.1.1. ja 10.1.2)
Vaikka molempien versioiden sisältö on lähes identtinen, on joitakin rakenteellisia muutoksia.
Vuoden 2013 versiossa käsiteltiin salauksen käyttöä kahdessa erillisessä valvonnassa, nimittäin 10.1.1. Ja 10.1.2, vuoden 2022 versio, yhdisti nämä kaksi yhteen Controliin, 8.24.
ISMS.Online on johtava ISO 27002 -hallintajärjestelmäohjelmisto, joka tukee ISO 27002 -standardin noudattamista ja auttaa yrityksiä yhdenmukaistamaan tietoturvapolitiikkansa ja -menettelynsä standardin kanssa.
Pilvipohjainen alusta tarjoaa täydellisen valikoiman työkaluja, jotka auttavat organisaatioita luomaan ISO 27002 -standardin mukaisen tietoturvan hallintajärjestelmän (ISMS).
Ota yhteyttä ja varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |