מהי המטרה של נספח A.10.1?
נספח A.10.1 עוסק בבקרות קריפטוגרפיות. המטרה בפיקוח נספח א' זה היא להבטיח שימוש נכון ויעיל בקריפטוגרפיה כדי להגן על סודיות, מקוריות ו/או שלמות המידע. זהו חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001.
A.10.1.1 מדיניות לגבי השימוש בבקרות קריפטוגרפיות
הצפנה ובקרות הצפנה נתפסות לעתים קרובות כאחד מכלי הנשק המרכזיים בארסנל האבטחה, אולם כשלעצמו לא "כדור הכסף" פותר כל בעיה. בחירה לא נכונה של טכנולוגיות וטכניקות הצפנה או ניהול לקוי של חומר הצפנה (למשל מפתחות ותעודות) עלולים ליצור פגיעויות בעצמם.
הצפנה יכולה להאט את העיבוד והעברת המידע כך שחשוב להבין את כל הסיכונים ולאזן את הבקרות לרמה נאותה תוך עמידה ביעדי הביצועים.
מדיניות על שימוש בהצפנה יכולה להיות מקום טוב לזהות את הדרישות העסקיות מתי יש להשתמש בהצפנה ואת הסטנדרטים שיש ליישם. יש לתת את הדעת גם לדרישות החוקיות סביב ההצפנה.
ISO 27001 בקלות
יתרון של 81% מהיום הראשון
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.
A.10.1.2 ניהול מפתח
בקרה טובה מתארת כיצד יש לפתח וליישם מדיניות על שימוש והגנה על מפתחות קריפטוגרפיים לאורך כל מחזור החיים שלהם. אחד ההיבטים החשובים ביותר הוא סביב היצירה, ההפצה, השינויים, הגיבוי והאחסון של חומר מפתח קריפטוגרפי עד לסוף חייו ולהרס.
ניהול של חומר מפתח הוא לרוב הנקודה החלשה ביותר להצפנה ותוקפים עשויים לבקש לתקוף זאת ולא את ההצפנה עצמה. לכן חשוב שיהיו סביבו תהליכים חזקים ובטוחים. טיפול במפתחות שנפגעו חשובה גם היא, ובמידת הצורך יש לקשור אותה גם לנספח A.16 ניהול אירועי אבטחה.
החלת הצפנה
ISMS.online מציע כמה הנחיה וטיפים למדיניות טובה להצפנה, אולם זהו אחד התחומים הבודדים שבהם הוא ייחודי לעסק שלך ולפעילויות התפעוליות שבהם אתה משתמש בהצפנה.
יש לנו רשימה של שותפים המספקים ייעוץ ומוצרים מומחים בנושא הצפנה, כך שאם זה תחום שאתה צריך עזרה בו במהלך היישום שלך, ספר לנו על כך ונוכל ליצור איתך קשר עם מומחים מהימנים גם כן.
