- לִרְאוֹת ISO 27002:2022 בקרה 8.24 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 10.1.1 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 10.1.2 לקבלת מידע נוסף.
נספח A 8.24 הסבר: יישום בקרות קריפטוגרפיות מאובטחות
בעת העברת מידע בין רשתות והתקנים, תוקפי סייבר עשויים לנסות לגנוב נתונים רגישים, לשנות תוכן, לחקות שולחים/נמענים כדי לקבל גישה לא מורשית, או ליירט את החילופין.
פושעי סייבר עשויים להעסיק אדם-באמצע (MITM) התקפות, יירוט שידורי נתונים והתחזות לשרת כדי לגרום לשולח לחשוף אישורי כניסה. עם אישורים אלה, הם יכולים לקבל גישה למערכות ולסכן נתונים רגישים.
קריפטוגרפיה, כגון הצפנה, יכולה להגן ביעילות על הסודיות, השלמות והזמינות של מידע בעת המעבר.
טכניקות קריפטוגרפיות יכולות לשמור על אבטחת נכסי מידע כאשר אינם בשימוש. הם מבטיחים שהנתונים מוגנים מכל גישה או שינוי בלתי מורשית.
ISO 27001:2022 נספח A 8.24 מתאר כיצד ארגונים יכולים ליצור וליישם תקנות ותהליכים בנוגע לשימוש בקריפטוגרפיה.
מטרת ISO 27001:2022 נספח A 8.24
ISO 27001: 2022 נספח A 8.24 מאפשר לארגונים להבטיח את הסודיות, היושרה, האותנטיות והזמינות של נכסי מידע באמצעות יישום נכון של קריפטוגרפיה ועמידה בקריטריונים הבאים:
- דרישות עסקיות הן חובה.
- להבטיח אבטחת מידע באמצעות יישום דרישות מחמירות.
- מנדטים סטטוטוריים, חוזיים וארגוניים מחייבים שימוש בקריפטוגרפיה.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
בעלות על נספח A 8.24
עמידה בנספח A 8.24 מחייבת יישום מדיניות בנושא קריפטוגרפיה, הקמת תהליך ניהול מפתח יעיל וקביעת סוג הטכניקה ההצפנה החלה על סיווג הנתונים של נכס מידע נתון.
השמיים מנהל מערכות מידע קצין ביטחון חייב להיות אחראי על הגדרת תקנות ופרוטוקולים נאותים לגבי מפתחות הצפנה.
הנחיה כללית בנושא ISO 27001:2022 נספח A 8.24 תאימות
ISO 27001: 2022 נספח א בקרה 8.24 קובעת שבע דרישות שארגונים חייבים לעמוד בהם בעת שימוש בשיטות הצפנה:
- לארגונים צריכה להיות מדיניות לגבי השימוש בקריפטוגרפיה, כדי למקסם את היתרונות שלה ולהפחית סיכונים. מדיניות זו צריכה להתוות גם עקרונות כלליים של הגנה על מידע.
- ארגונים חייבים לקחת בחשבון עד כמה משאבי המידע שלהם עדינים, כמו גם את רמת סיווג המידע שמונתה להם, בעת בחירת הסוג, החוזק והאיכות של אלגוריתם ההצפנה.
- ארגונים צריכים להשתמש בגישות הצפנה בעת העברת מידע למכשירים ניידים, ציוד מדיה, או כאשר הוא מאוחסן עליהם.
- ארגונים צריכים לטפל בכל נושא הקשור לניהול מפתחות, כמו יצירת מפתחות קריפטוגרפיים והגנה עליהם וערכת שחזור נתונים במקרה שהמפתחות חסרים או פגיעים.
- ארגונים צריכים להגדיר את התפקידים והאחריות עבור הדברים הבאים:
- יש לקבוע ולאכוף את הכללים לשימוש בטכניקות הצפנה.
- טיפול במפתחות כולל הדור שלהם.
- הארגון מאמץ ומאשר תקנים המקיפים את האלגוריתמים ההצפנה, חוזק הצופן ונהלי השימוש של ההצפנה.
- ארגונים צריכים לשקול את ההשפעה הפוטנציאלית של ההצפנה על היעילות של בקרות בדיקת התוכן, כגון זיהוי תוכנות זדוניות.
ISO 27001:2022 נספח A 8.24 מדגיש שארגונים צריכים לשקול דרישות משפטיות והגבלות שעלולות להשפיע על השימוש בקריפטוגרפיה, לרבות העברה בינלאומית של מידע מוצפן.
ארגונים צריכים לקחת בחשבון אחריות והמשכיות השירותים כאשר הם מתקשרים בהסכמי שירות עם ספקים חיצוניים של שירותי קריפטוגרפיה.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הדרכה בנושא ניהול מפתח
ארגונים חייבים להגדיר ולעקוב אחר תהליכים מאובטחים להפקה, אחסון, אחזור וסילוק מפתחות הצפנה.
ארגונים צריכים להתקין מערכת ניהול מפתחות מוצקה הכוללת תקנות, נהלים וקריטריונים עבור:
- יצירת מפתחות קריפטוגרפיים עבור מגוון מערכות ויישומים הכרחי.
- הנפקה והשגה של תעודות מפתח ציבורי.
- חלוקת מפתחות למקלטים המיועדים, כולל הליך הפעלת המפתח.
- יש לאחסן מפתחות בצורה מאובטחת. המורשים לגשת אליהם רשאים לעשות זאת עם האישורים הדרושים.
- החלפת מפתחות.
- יש להתייחס ברצינות לטיפול במפתחות שנפגעו.
- אם מפתחות נפגעים או צוות מורשה עוזב ארגון, יש לבטל אותם.
- שחזור מפתחות שאבדו.
- גיבוי מפתח וארכיון צריך להתבצע באופן קבוע.
- הורס מפתחות.
- שמור רישום של כל הפעילויות המקושרות לכל מפתח.
- קביעת תאריכי ההפעלה וההשבתה של מפתחות.
- גישה למפתחות בתגובה לבקשות משפטיות.
לבסוף, חיוני שארגונים יהיו מודעים לשלושת הסיכונים העיקריים שההנחיות המשלימות הללו מתארות:
- מפתחות מאובטחים ופרטיים צריכים להיות מוגנים מפני שימוש לא מורשה.
- יש לבצע הגנה על ציוד המשמש ליצירה או אחסון של מפתחות הצפנה ביטחון פיזי אמצעים.
- ארגונים צריכים להבטיח את תקפות המפתחות הציבוריים שלהם.
מהם היתרונות של קריפטוגרפיה?
ISO 27001:2022 נספח A 8.24 קובע כי ניתן להשתמש בקריפטוגרפיה כדי לסייע לארגונים להשיג ארבע יעדי אבטחת מידע. מטרות אלו כוללות אימות האותנטיות של מפתחות ציבוריים באמצעות תהליכי ניהול מפתחות ציבוריים:
- קריפטוגרפיה מבטיחה את סודיות הנתונים, הן במעבר והן בעת אחסון, נשמרת.
- חתימות דיגיטליות וקודי אימות מבטיחים שהמידע המועבר הוא אמיתי ואמין.
- שיטות קריפטוגרפיות מבטיחות שכל האירועים או הפעולות שננקטו, לרבות קבלת מידע, לא ייפסלו.
- אימות באמצעות שיטות הצפנה מאפשר לארגונים לאמת את זהות המשתמשים המחפשים גישה למערכות ויישומים.
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
שינויים והבדלים מ-ISO 27001:2013
ISO 27001:2022 נספח A 8.24 מחליף את ISO 27001:2013 נספח A 10.1.1 ו-10.1.2 בתקן 2022 המתוקן.
התוכן של השניים כמעט זהה, אם כי ישנם כמה שינויים מבניים.
בעוד שלגרסת 2013 היו שני פקדים נפרדים, 10.1.1 ו- 10.1.2, לשימוש בקריפטוגרפיה, גרסת 2022 איחדה אותם לכדי בקרת נספח A אחת, 8.24.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עזרה
ISMS.Online היא תוכנת מערכת הניהול המובילה בתקן ISO 27001, המסייעת לחברות לעמוד בתקן ISO 27001:2022 ומבטיחה שמדיניות ונהלי האבטחה שלהן עומדים בתקן.
זֶה פלטפורמה מבוססת ענן מציעה סט מקיף של כלים לסיוע לארגונים ביישום מערכת ניהול אבטחת מידע (ISMS) בהתאם ל-ISO 27001.
הושט יד ו הזמינו הפגנה היום.
קפוץ לנושא
