ISO 27002:2022, Kiểm soát 8.24 – Sử dụng mật mã

Khi thông tin được truyền giữa các mạng và thiết bị, kẻ tấn công mạng có thể sử dụng nhiều kỹ thuật khác nhau để đánh cắp thông tin nhạy cảm trong quá trình truyền tải, làm sai lệch nội dung thông tin, mạo danh người gửi/người nhận để truy cập thông tin trái phép hoặc chặn quá trình truyền thông tin.

Ví dụ, tội phạm mạng có thể sử dụng kỹ thuật tấn công man-in-the-middle (MITM), chặn dữ liệu truyền đi và mạo danh máy chủ để thuyết phục người gửi tiết lộ thông tin đăng nhập của mình cho máy chủ giả mạo. Sau đó, chúng có thể sử dụng thông tin đăng nhập này để truy cập vào hệ thống và xâm phạm thông tin nhạy cảm.

Việc sử dụng mật mã như mã hóa có thể có hiệu quả trong việc bảo vệ tính bảo mật, toàn vẹn và tính khả dụng của thông tin khi chúng đang được truyền đi.

Hơn nữa, các kỹ thuật mã hóa cũng có thể duy trì tính bảo mật của tài sản thông tin khi chúng không hoạt động.

Tiêu chuẩn 8.24 đề cập đến cách các tổ chức có thể thiết lập và triển khai các quy tắc và thủ tục để sử dụng mật mã.

Mục đích của Kiểm soát 8.24

Kiểm soát 8.24 cho phép các tổ chức duy trì tính bảo mật, toàn vẹn, xác thực và khả dụng của tài sản thông tin bằng cách triển khai đúng các kỹ thuật mã hóa và tính đến các tiêu chí sau:

• Nhu cầu kinh doanh.
• Yêu cầu về bảo mật thông tin.
• Các yêu cầu theo luật định, hợp đồng và tổ chức liên quan đến việc sử dụng mật mã.

Thuộc tính của Kiểm soát 8.24

Kiểm soát 8.24 là loại kiểm soát mang tính phòng ngừa, yêu cầu các tổ chức thiết lập các quy tắc và thủ tục để sử dụng hiệu quả các kỹ thuật mã hóa và do đó loại bỏ và giảm thiểu rủi ro xâm phạm tài sản thông tin khi chúng đang trong quá trình truyền tải hoặc lưu trữ.

Quyền sở hữu kiểm soát 8.24

Việc tuân thủ 8.24 yêu cầu phải thiết lập và triển khai chính sách cụ thể về mật mã, tạo ra quy trình quản lý khóa hiệu quả và xác định loại kỹ thuật mật mã phù hợp với mức phân loại thông tin được chỉ định cho một tài sản thông tin cụ thể.

Do đó, giám đốc an ninh thông tin phải chịu trách nhiệm đề ra các quy tắc và thủ tục phù hợp cho việc sử dụng khóa mật mã.

Hướng dẫn chung về tuân thủ

Tiêu chuẩn 8.24 liệt kê bảy yêu cầu mà các tổ chức phải tuân thủ khi sử dụng các kỹ thuật mã hóa:

1. Các tổ chức nên tạo và duy trì chính sách cụ thể theo chủ đề về việc sử dụng mật mã. Chính sách này rất cần thiết để tối đa hóa lợi ích của các kỹ thuật mật mã và giảm thiểu rủi ro có thể phát sinh từ việc sử dụng mật mã. Cũng cần lưu ý rằng chính sách này nên bao gồm các nguyên tắc chung chi phối việc bảo vệ thông tin.
2. Các tổ chức nên cân nhắc mức độ nhạy cảm của tài sản thông tin và mức phân loại thông tin được chỉ định khi quyết định loại, sức mạnh và chất lượng của thuật toán mã hóa.
3. Các tổ chức nên triển khai các kỹ thuật mã hóa khi thông tin được chuyển đến thiết bị di động hoặc thiết bị lưu trữ hoặc khi thông tin được lưu trữ trên các thiết bị này.
4. Các tổ chức cần giải quyết các vấn đề liên quan đến quản lý khóa, bao gồm việc tạo và bảo vệ khóa mật mã và kế hoạch khôi phục dữ liệu được mã hóa trong trường hợp khóa bị mất hoặc bị xâm phạm.
5. Các tổ chức nên nêu rõ vai trò và trách nhiệm sau đây:
6. Thiết lập và thực hiện các quy tắc về cách sử dụng các kỹ thuật mật mã.
7. Cách xử lý khóa, bao gồm cách tạo khóa.
8. Việc áp dụng và phê duyệt các tiêu chuẩn trên toàn tổ chức về thuật toán mã hóa, độ mạnh của mã hóa và thực hành sử dụng mã hóa.
9. Tổ chức cần giải quyết vấn đề thông tin được mã hóa có thể gây trở ngại cho các biện pháp kiểm soát liên quan đến việc kiểm tra nội dung như phát hiện phần mềm độc hại.

Hơn nữa, Kiểm soát 8.24 nhấn mạnh rằng các tổ chức nên lưu ý đến luật pháp và yêu cầu có thể hạn chế việc sử dụng mật mã, bao gồm cả việc chuyển thông tin được mã hóa xuyên biên giới.

Cuối cùng, các tổ chức cũng được khuyến cáo nên giải quyết vấn đề trách nhiệm pháp lý và tính liên tục của dịch vụ khi họ ký kết thỏa thuận dịch vụ với bên thứ ba để cung cấp dịch vụ mật mã.

Hướng dẫn bổ sung về quản lý khóa

Các tổ chức phải xác định và áp dụng các quy trình an toàn để tạo, lưu trữ, truy xuất và hủy khóa mật mã.

Đặc biệt, các tổ chức nên thiết lập một hệ thống quản lý khóa mạnh mẽ bao gồm các quy tắc, quy trình và tiêu chuẩn cho những nội dung sau:

• Tạo khóa mật mã cho các hệ thống và ứng dụng khác nhau.
• Phát hành và thu thập chứng chỉ khóa công khai.
• Phân phối chìa khóa cho người nhận dự kiến, bao gồm cả quá trình kích hoạt chìa khóa.
• Lưu trữ khóa và cách các bên được ủy quyền có thể truy cập vào khóa.
• Thay đổi chìa khóa.
• Xử lý khóa bị xâm phạm.
• Thu hồi khóa vì lý do chúng bị xâm phạm hoặc khi người được ủy quyền rời khỏi tổ chức.
• Phục hồi chìa khóa bị mất.
• Sao lưu và lưu trữ khóa.
• Phá hủy chìa khóa.
• Ghi lại nhật ký tất cả các hoạt động liên quan đến từng phím.
• Xác định ngày kích hoạt và hủy kích hoạt cho khóa.
• Phản hồi các yêu cầu pháp lý về việc tiếp cận chìa khóa.

Cuối cùng nhưng không kém phần quan trọng, hướng dẫn bổ sung này cảnh báo các tổ chức về ba rủi ro cụ thể:

• Khóa bí mật và được bảo vệ phải được bảo vệ để tránh việc sử dụng trái phép.
• Thiết bị dùng để tạo hoặc lưu trữ khóa mã hóa phải được bảo vệ bằng các biện pháp bảo mật vật lý.
• Các tổ chức phải duy trì tính xác thực của khóa công khai.

Lợi ích của mật mã là gì?

Sau khi nhấn mạnh rằng các tổ chức có thể đảm bảo tính xác thực của khóa công khai bằng các phương pháp như quy trình quản lý khóa công khai, Control 8.24 giải thích cách mật mã có thể giúp các tổ chức đạt được bốn mục tiêu bảo mật thông tin:

1. Tính bảo mật : Mật mã bảo vệ và duy trì tính bảo mật của dữ liệu khi truyền và khi lưu trữ.
2. Tính toàn vẹn và xác thực : Chữ ký số và mã xác thực có thể đảm bảo tính xác thực và toàn vẹn của thông tin được truyền đạt.
3. Không thể chối cãi : Các phương pháp mật mã cung cấp bằng chứng về tất cả các sự kiện hoặc hành động đã thực hiện như việc nhận thông tin.
4. Xác thực : Phương pháp mã hóa cho phép các tổ chức xác minh danh tính của người dùng yêu cầu truy cập vào hệ thống và ứng dụng.

Những thay đổi và khác biệt so với ISO 27002:2013

27002:2022/8.24 thay thế 27002:2013/(10.1.1. Và 10.1.2)

Mặc dù nội dung của cả hai phiên bản gần như giống hệt nhau, nhưng vẫn có một vài thay đổi về cấu trúc.

Trong khi phiên bản 2013 đề cập đến việc sử dụng mật mã theo hai biện pháp kiểm soát riêng biệt, cụ thể là 10.1.1 và 10.1.2, thì phiên bản 2022 đã kết hợp hai biện pháp này thành một Biện pháp kiểm soát, 8.24.