Cryptografische Services
|
Definitie
De versleuteling van het netwerkverkeer, met hardware- of softwarevoorzieningen, die op alle zeven lagen van het Open Systems Interconnection (OSI)-model kunnen voorkomen. Cryptografische services voor de communicatie met partners en burgers maken gebruik van Public-Key-Infrastructure (PKI)-middelen, zoals de aan certificaten gebonden private en publieke sleutels.
Toelichting
De ISO 27002 2017 normeert het beleid voor cryptografie en sleutelbeheer. Cryptografische services van communicatievoorzieningen zijn beheersmaatregelen ter bescherming van de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van gegevens. Cryptografie wordt behalve voor de versleuteling van informatie (zonering) ook gebruikt voor de authenticatie en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gegevens en netwerkconnecties. De ‘pas-toe-en-leg-uit’-lijst van het Forum Standaardisatie benoemt passende beheersmaatregelen.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op Beveiligingsaspect Uitvoering
- valt binnen de IFGS-indeling IFGS Gedrag
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is ISO 27033-1 2015 7.2.2.2
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
CVZ_U.11.01 | Vertrouwelijkheid |
Voor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen de zender en ontvanger wordt versleuteling toegepast op een of meer van de juiste verbindingslagen (Open Systems Interconnection (OSI)-laag 1 t/m 7). Public Key Infrastructure (PKI) faciliteert deze functie. |
CVZ_U.11.02 | Integriteit |
Voor het waarborgen van de integriteit van de communicatie tussen de zender en ontvanger wordt een digitale ondertekening toegepast. Toepassingsvoorbeelden zijn:
|
CVZ_U.11.03 | Cryptografische |
Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie. |
CVZ_U.11.04 | Beheersmaatregelen |
Cryptografische algoritmen voldoen aan de hoogst mogelijke industrie-standaarden, voor de sterkte, met een voor de toepassing en contextrelevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie-lijst:
|