10 Mai ISO27001. A.10.1.1. Politiques d’utilisation des contrôles cryptographiques
L’utilisation d’éléments liés à la cryptographie et au cryptage sont essentielles aujourd’hui, en particulier dans tous les services que nous exposons sur Internet tels que les portails Web, l’interconnexion avec des tiers, la communication avec d’autres fournisseurs ou clients, etc. afin que ces informations échangées, même si elles sont interceptées, conservent leur confidentialité et son intégrité. À ce stade, je tiens à commenter la façon dont je travaille avec mes clients lorsque je collabore en tant que vérificateur interne ISO27001 et que nous espérons que le vérificateur examinera. Nous parlons de politiques d’utilisation des contrôles cryptographiques
ISO27001. A.10.1.1. Politiques d’utilisation des contrôles cryptographiques
Les politiques d’utilisation des contrôles cryptogrammes sont obligatoires dans l’utilisation des systèmes d’information.
Comment le mettre en œuvre dans nos entreprises?
Comme progrès dans l’introduction de ce post l’utilisation efficace des techniques cryptographiques devrait s’accompagner de l’utilisation de clés cryptographiques de longueur adéquate, l’utilisation de cryptage et de décryptage algorithmes, Il est recommandé d’utiliser des normes de cryptage et de décryptage reconnues par l’industrie qui aident à assurer la confidentialité, l’intégrité, la vie privée et la non-répudiation dans la communication interpartite. L’utilisation des protocoles SSL/TLS et https est essentielle.
Voici un exemple réduit de la façon de gérer ce contrôle :
Résumé
- La politique de cryptographie est essentielle pour définir la portée de cette portée dans notre ISMS.
- La politique s’applique à tout le personnel interne et externe.
Application
Exigences du certificat :
- La date d’expiration maximale pour la signature de certificats est d’un maximum d’un an.
- La date d’expiration maximale des certificats SSL/TLS est d’un maximum de 2 ans.
- Tous les certificats doivent être au moins 2048 bits long
- Tous les certificats sont gérés par la gestion d’actifs.
Exigences pour les connexions SSL :
- L’utilisation de SSL n’est pas autorisée.
- Au lieu de cela TLS 1.2 ou 1.3 ou si permis.
- Tous les services Web doivent être configurés au niveau le plus élevé possible de chiffrement.
- Tous les sites Web publics sont périodiquement numérisés avec des tests d’analyse de sécurité et atteignent le niveau A.
Exigences en matière de courrier électronique :
- STARTTLS doit être activé.
- Tous les domaines sont numérisés à l’aide d’outils tels que mxtoolbox.com et l’apparition de problèmes critiques doit être résolue.
Sur quoi se concentrera l’autorité de certification ISO27001?
Selon la portée et d’autres questions, je peux généraliser que le vérificateur examinerait les aspects suivants :
- Le vérificateur analysera si les exigences en matière de sécurité ont été analysées et si les mesures de cryptographie ont été appliquées si nécessaire.
- Il doit être aligné avec le point de contrôle A.10.1.2 par rapport à la gestion clé.
- Il analysera la politique d’utilisation de la cryptographie que votre organisation a écrite.
- Il analysera que les politiques et les contrôles sont liés et logiques ainsi que communiqués aux employés et aux tiers concernés.
- Des clés suffisamment solides doivent être utilisées pour trouver un équilibre entre les performances et le cryptage des informations échangées entre les systèmes ainsi que les normes de cryptographie de l’industrie.
- Entre autres aspects…
Luis Vilanova Blanco. Vérificateur CISA par ISACA et formé en ISO27001 par SGS.
606954593