richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/a-8.24-Gebruik-van-cryptografie.md

7.7 KiB
Raw Blame History

#iso27002/2022/NL

Standard: ISO 27002:2022 NL

+------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+=========================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie | #Bescherming | +------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+

Beheersmaatregel

Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd.

Doel

Correct en doeltreffend gebruik bewerkstelligen van cryptografie om de vertrouwelijkheid, authenticiteit of integriteit van informatie overeenkomstig de bedrijfs- en informatiebeveiligingseisen te beschermen en met inachtneming van de eisen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot cryptografie.

Richtlijn

Algemeen

Het volgende behoort te worden overwogen bij het gebruik van cryptografie:

a) het door de organisatie gedefinieerde onderwerpspecifieke beleid inzake cryptografie, met inbegrip van de algemene principes voor de bescherming van informatieen onderwerpspecifiek beleid voor het gebruik van cryptografie is nodig om de voordelen van het gebruik van cryptografische technieken zo groot mogelijk en de risico's zo klein mogelijk te maken en om ongepast en onjuist gebruik te voorkomen;

b) het vereiste beschermingsniveau en de classificatie van de informatie identificeren en vervolgens

het vereiste type cryptografische algoritmen en de vereiste sterkte en kwaliteit ervan vaststellen;

c) het gebruik van cryptografie voor het beschermen van informatie op mobiele 'endpoint devices' van gebruikers of opslagmedia en van informatie die via netwerken naar dergelijke apparaten of opslagmedia wordt verzonden;

d) de aanpak van sleutelbeheer, waaronder methoden voor het genereren en beschermen van cryptografische sleutels en het herstel van versleutelde informatie in geval sleutels verloren gaan of gecompromitteerd of beschadigd raken;

e) rollen en verantwoordelijkheden voor:

  1. het implementeren van de regels voor doeltreffend gebruik van cryptografie;

  2. het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8.24);

f) de toe te passen normen, evenals cryptografische algoritmen, de sterkte van code, cryptografische

oplossingen en gebruikspraktijken die zijn goedgekeurd of vereist voor gebruik in de organisatie;

g) de impact van het gebruik van versleutelde informatie op beheersmaatregelen die zijn gebaseerd

op controle van de inhoud (bijvetectie van malware of het filteren van inhoud).

Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5.31).

De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5.20).

Sleutelbeheer

Passend sleutelbeheer vereist nauwkeurige procedures voor het aanmaken, bewaren, archiveren, terugvinden, distribueren, terugtrekken en vernietigen van cryptografische sleutels.

Een sleutelbeheersysteem behoort te zijn gebaseerd op een overeengekomen pakket van normen, procedures en beveiligingsmethoden voor:

a) het aanmaken van sleutels voor verschillende cryptografische systemen en verschillende

toepassingen;

b) het verstrekken en verkrijgen van openbare sleutelcertificaten;

c) het verspreiden van sleutels onder de beoogde entiteiten en een instructie hoe de sleutels na

ontvangst kunnen worden geactiveerd;

d) het opslaan van sleutels en de wijze waarop bevoegde gebruikers toegang tot sleutels krijgen;

e) het wijzigen of updaten van sleutels, met inbegrip van regels over wanneer en hoe sleutels behoren

te worden gewijzigd;

f) het omgaan met gecompromitteerde sleutels;

g) het intrekken van sleutels, met inbegrip van hoe men sleutels kan terugtrekken of deactiveren [bijvls sleutels zijn gecompromitteerd of als een gebruiker de organisatie verlaat (in welk geval sleutels ook behoren te worden gearchiveerd)];

h) het herstellen van sleutels die verloren of gecorrumpeerd zijn;

i) het back-uppen of archiveren van sleutels;

j) het vernietigen van sleutels;

k) het registreren en auditen van aan sleutelbeheer gerelateerde activiteiten;

l) het instellen van activerings- en deactiveringstijdstippen voor sleutels zodat de sleutels alleen kunnen worden gebruikt voor de tijdsduur overeenkomstig de regels voor sleutelbeheer van de organisatie;

m)het omgaan met rechtsverzoeken om toegang tot cryptografische sleutels (er kan bijvoorbeeld worden geëist dat versleutelde informatie in onversleutelde vorm beschikbaar wordt gesteld als bewijs in een rechtszaak).

Alle cryptografische sleutels behoren te worden beschermd tegen aanpassing en verliesovendien hebben geheime en particuliere sleutels bescherming nodig tegen onbevoegd gebruik en tegen openbaarmakingpparatuur die wordt gebruikt om sleutels aan te maken, op te slaan en te archiveren, behoort fysiek te worden beschermd.

Naast integriteit behoort voor veel usecases aandacht te worden besteed aan de authenticiteit van openbare sleutels.

Overige informatie

Voor de authenticiteit van openbare sleutels worden er meestal processen voor het beheer van openbare sleutels toegepast die gebruikmaken van certificaatinstanties en openbare- sleutelcertificaten, maar het is ook mogelijk om hiervoor gebruik te maken van technologieën zoals het toepassen van handmatige processen voor een klein aantal sleutels.

Cryptografie kan worden gebruikt voor verschillende informatiebeveiligingsdoelstellingen, bijvoorbeeld:

a) vertrouwelijkheid: codering van informatie gebruiken om gevoelige of essentiële informatie, tijdens

opslag of verzending, te beschermen;

b) integriteit of authenticiteit: digitale handtekeningen of authenticatiecodes voor berichten gebruiken om de authenticiteit of integriteit van gevoelige of essentiële informatie tijdens opslag of verzending te verifiërenebruikmaken van algoritmen om de integriteit van bestanden te controleren;

c) onweerlegbaarheid: cryptografische technieken gebruiken om bewijs te verkrijgen van het al dan

niet plaatsvinden van een gebeurtenis of actie;

d) authenticatie: cryptografische technieken gebruiken ter authenticatie van gebruikers en andere

systeementiteiten die toegang vragen tot of die verrichtingen doen met systeemgebruikers, -entiteiten en -bronnen.

De ISO/IEC 11770-reeks geeft verdere informatie over sleutelbeheer.