ISO 27002, בקרה 8.24, שימוש בקריפטוגרפיה

הבטחת טיפול מאובטח במידע עם קריפטוגרפיה בתקן ISO 27002:2022

כאשר מידע מועבר בין רשתות ומכשירים, תוקפי סייבר עשויים להשתמש בטכניקות שונות כדי לגנוב מידע רגיש במהלך המעבר, להתעסק בתוכן המידע, להתחזות לשולח/נמען כדי לקבל גישה לא מורשית למידע או ליירט העברת מידע.

לדוגמה, פושעי סייבר עשויים להשתמש בטכניקת התקפת האדם-באמצע (MITM), ליירט את העברת הנתונים ולהתחזות לשרת כדי לשכנע את השולח לחשוף את אישורי הכניסה שלו לשרת הכוזב. לאחר מכן, הם יכולים להשתמש באישורים אלה כדי לקבל גישה למערכות ולהתפשר על מידע רגיש.

השימוש בהצפנה כגון הצפנה יכול להיות יעיל כדי להגן על הסודיות, השלמות והזמינות של נכסי מידע כשהם במעבר.

יתר על כן, טכניקות הצפנה יכולות גם לשמור על אבטחת נכסי המידע כשהם במצב מנוחה.

בקרה 8.24 מתייחסת לאופן שבו ארגונים יכולים לקבוע וליישם כללים ונהלים לשימוש בקריפטוגרפיה.

מטרת הבקרה 8.24

בקרה 8.24 מאפשרת לארגונים לשמור על הסודיות, היושרה, האותנטיות והזמינות של נכסי מידע על ידי יישום נכון של טכניקות הצפנה ועל ידי התחשבות בקריטריונים הבאים:

צרכים עסקיים.
דרישות אבטחת מידע.
דרישות סטטוטוריות, חוזיות וארגוניות הנוגעות לשימוש בקריפטוגרפיה.

תכונות שליטה 8.24

בקרה 8.24 היא סוג מניעתי של בקרה המחייב ארגונים לקבוע כללים ונהלים לשימוש יעיל בטכניקות הצפנה ובכך לבטל ולמזער את הסיכונים לפגיעה בנכסי מידע כשהם במעבר או במנוחה.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#תצורה מאובטחת	#הֲגָנָה
	#יושרה
	#זמינות

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 8.24

עמידה ב-8.24 מחייבת הקמה ויישום של מדיניות ספציפית בנושא קריפטוגרפיה, יצירת תהליך יעיל של ניהול מפתחות וקביעת סוג הטכניקה ההצפנה המתאימה לרמת סיווג המידע המוקצה לנכס מידע מסוים.

לפיכך, על קצין אבטחת המידע הראשי להיות אחראי לקביעת כללים ונהלים מתאימים לשימוש במפתחות הצפנה.

הנחיות כלליות בנושא ציות

Control 8.24 מפרט שבע דרישות שארגונים צריכים לעמוד בהן בעת שימוש בטכניקות הצפנה:

ארגונים צריכים ליצור ולתחזק מדיניות ספציפית לנושא לגבי השימוש בהצפנה. מדיניות זו חיונית למיצוי היתרונות של טכניקות קריפטוגרפיות והיא מפחיתה את הסיכונים שעלולים לנבוע משימוש בהצפנה. כמו כן, יצוין כי מדיניות זו צריכה לכסות עקרונות כלליים המסדירים את הגנת המידע.
ארגונים צריכים לשקול את רמת הרגישות של נכסי המידע ואת רמת סיווג המידע המוקצת להם כאשר הם מחליטים על סוג, חוזק ואיכות אלגוריתם ההצפנה.
ארגונים צריכים ליישם טכניקות הצפנה כאשר מידע מועבר למכשירים ניידים או לציוד מדיה אחסון או כאשר מידע מאוחסן במכשירים אלו.
ארגונים צריכים להתייחס לנושאים הקשורים לניהול מפתחות, לרבות יצירה והגנה של מפתחות קריפטוגרפיים ותוכנית השחזור של נתונים מוצפנים במקרה שמפתחות אובדים או נפגעים.
ארגונים צריכים להגדיר את התפקידים והאחריות עבור הדברים הבאים:

קביעת ויישום הכללים לגבי אופן השימוש בטכניקות ההצפנה.
כיצד יטופלו מפתחות, כולל כיצד ייווצרו.

אימוץ ואישור של תקנים ברחבי הארגון עבור אלגוריתמים הצפנה, חוזק הצופן ונהלי השימוש בהצפנה.
הארגון צריך להתייחס לאופן שבו מידע מוצפן עלול להפריע לפקדים הכרוכים בבדיקת התוכן, כגון זיהוי תוכנות זדוניות.

יתר על כן, Control 8.24 מדגיש שארגונים צריכים לקחת בחשבון חוקים ודרישות שעלולים להגביל את השימוש בהצפנה, לרבות העברה חוצת גבולות של מידע מוצפן.

לבסוף, מומלץ לארגונים להתייחס גם לאחריות ולהמשכיות השירותים כאשר הם מתקשרים בהסכמי שירות עם צדדים שלישיים למתן שירותי קריפטוגרפיה.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

הדרכה משלימה בנושא ניהול מפתח

ארגונים צריכים להגדיר וליישם נהלים מאובטחים ליצירה, אחסון, אחזור והשמדה של מפתחות קריפטוגרפיים.

בפרט, ארגונים צריכים להקים מערכת ניהול מפתחות חזקה הכוללת כללים, תהליכים ותקנים עבור הדברים הבאים:

יצירת מפתחות קריפטוגרפיים למערכות ויישומים שונים.
הנפקה ורכישה של תעודות מפתח ציבורי.
חלוקת מפתחות לנמענים המיועדים לרבות תהליך הפעלת המפתחות.
אחסון מפתחות וכיצד גורמים מורשים יכולים לגשת למפתחות.
החלפת מפתחות.
טיפול במפתחות שנפגעו.
שלילת מפתחות בגלל הסיבה שהם נפגעים או כאשר אנשים מורשים עוזבים ארגון.
שחזור מפתחות שאבדו.
גיבוי מפתח וארכיון.
הורס מפתחות.
ניהול יומן של כל הפעילויות הקשורות לכל מפתח.
קביעת תאריכי הפעלה והשבתה של מפתחות.
מענה לבקשות משפטיות לקבלת גישה למפתחות.

אחרון חביב, הנחיה משלימה זו מזהירה ארגונים מפני שלושה סיכונים מסוימים:

יש להגן על מפתחות סודיים ומוגנים מפני שימוש לא מורשה.
ציוד המשמש ליצירה או אחסון של מפתחות הצפנה צריך להיות מוגן באמצעות אמצעי אבטחה פיזיים.
ארגונים צריכים לשמור על האותנטיות של מפתחות ציבוריים.

מהם היתרונות של קריפטוגרפיה?

לאחר שהדגיש שארגונים יכולים להבטיח את האותנטיות של מפתחות ציבוריים באמצעות שיטות כמו תהליכי ניהול מפתחות ציבוריים, Control 8.24 מסביר כיצד הצפנה יכולה לעזור לארגונים להשיג ארבע יעדי אבטחת מידע:

סודיות: קריפטוגרפיה מגינה ושומרת על סודיות הנתונים הן במעבר והן בזמן מנוחה.
יושרה ואותנטיות: חתימות דיגיטליות וקודי אימות יכולים להבטיח את האותנטיות והשלמות של המידע המועבר.
אי-דחייה: שיטות קריפטוגרפיות מספקות עדות לכל האירועים או הפעולות שבוצעו כגון קבלת מידע.
אימות: שיטות קריפטוגרפיות מאפשרות לארגונים לאמת את זהות המשתמשים המבקשים גישה למערכות ויישומים.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.24 להחליף 27002:2013/(10.1.1. ו-10.1.2)

בעוד התוכן של שתי הגרסאות כמעט זהה, ישנם כמה שינויים מבניים.

ואילו גרסת 2013 התייחסה לשימוש בקריפטוגרפיה תחת שני בקרות נפרדות, כלומר 10.1.1. ו-10.1.2, גרסת 2022 שילבה את שני אלה תחת שליטה אחת, 8.24.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISMS.Online היא תוכנת מערכת הניהול המובילה בתקן ISO 27002 התומכת בעמידה בתקן ISO 27002, ומסייעת לחברות להתאים את מדיניות ונהלי האבטחה שלהן לתקן.

הפלטפורמה מבוססת הענן מספקת סט שלם של כלים לסייע לארגונים בהקמת מערכת ניהול אבטחת מידע (ISMS) לפי ISO 27002.

צרו קשר ו הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו