- Se ISO 27002:2022 Kontroll 8.28 for mer informasjon.
ISO 27001 vedlegg A 8.28: Styrking av programvaresikkerhet med sikker koding
Bruk av dårlig kodingspraksis, som feilaktig validering av inndata og svak nøkkelgenerering, kan føre til cyberangrep og kompromittering av sensitiv informasjonsressurser.
Av denne grunn utnyttet hackere den beryktede Heartbleed-feilen for å få tilgang til mer enn 4 millioner pasientjournaler.
For å forhindre sikkerhetssårbarheter, må organisasjoner følge sikre kodingsprinsipper.
Hva er formålet med ISO 27001:2022 vedlegg A 8.28?
Per ISO 27001: 2022, Vedlegg A Kontroll 8.28 hjelper organisasjoner med å forhindre sikkerhetsrisikoer og sårbarheter som kan oppstå på grunn av dårlig programvarekodingspraksis gjennom å utvikle, implementere og gjennomgå passende sikker programvarekodingspraksis.
Hvem har eierskap til vedlegg A 8.28?
En informasjonssikkerhetssjef bør være ansvarlig for å ta passende skritt for å sikre samsvar med 8.28, som krever utvikling og implementering av sikre kodingsprinsipper og -prosedyrer i hele organisasjonen.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Samsvarsretningslinjer for ISO 27001:2022 vedlegg A 8.28
Organisasjoner må utvikle og implementere sikre kodeprosesser som gjelder for produkter levert av eksterne parter og programvarekomponenter med åpen kildekode, som skissert i ISO 27001 vedlegg A Kontroll 8.28.
I tillegg bør organisasjoner holde seg informert om nye sikkerhetstrusler i den virkelige verden og den nyeste informasjonen om kjente eller potensielle sikkerhetssårbarheter i programvaren. Ved å bruke denne tilnærmingen kan organisasjoner utvikle robuste, sikre kodeprinsipper å bekjempe utviklende cybertrusler.
Utfyllende veiledning om planlegging
Det er viktig at både nye kodeprosjekter og gjenbruksoperasjoner av programvare overholder sikre programvarekodingsprinsipper.
Disse prinsippene bør følges både ved utvikling av programvare internt og ved overføring av programvareprodukter eller tjenester.
Organisasjoner bør vurdere følgende faktorer når de utvikler en plan for sikker kodingsprinsipper og fastsetter forutsetninger for sikker koding:
- Sikkerhetsforventninger bør tilpasses organisasjonens spesifikke behov, og det bør etableres godkjente prinsipper for sikker programvarekode som gjelder intern programvare utvikling og outsourcet komponenter.
- Organisasjoner bør identifisere og dokumentere de mest utbredte og historiske kodedesignfeilene og dårlig kodingspraksis for å forhindre datasikkerhetsbrudd.
- Organisasjoner bør implementere og konfigurere programvareutviklingsverktøy for å sikre sikkerheten til all kode som lages. Integrerte utviklingsmiljøer (IDE) er et eksempel på slike verktøy.
- Programvareutviklingsverktøy bør gi veiledning og instruksjoner for å hjelpe organisasjoner med å overholde retningslinjene og instruksjonene.
- Utviklingsverktøy som kompilatorer bør gjennomgås, vedlikeholdes og brukes sikkert av organisasjoner.
Supplerende veiledning om sikkerhet under koding
For å sikre sikker kodingspraksis og prosedyrer, bør følgende vurderes under kodingsprosessen:
- Kodeprinsipper for sikker programvare bør skreddersys til hvert programmeringsspråk og teknikk.
- Testdrevet utvikling og parprogrammering er eksempler på sikre programmeringsteknikker og metoder.
- Implementering av strukturerte programmeringsteknikker.
- Dokumentasjon av koden og fjerning av mangler i koden.
- Bruk av usikre programvarekodingsmetoder som ikke-godkjente kodeeksempler eller hardkodede passord er forbudt.
En sikkerhetstest bør utføres under og etter utvikling, som spesifisert i ISO 27001 vedlegg A Kontroll 8.29.
Organisasjoner bør vurdere følgende elementer før de implementerer programvaren i et levende applikasjonsmiljø:
- Er det en angrepsflate?
- Følges minste privilegiet-prinsippet?
- Analysere de mest utbredte programmeringsfeilene og dokumentere eliminering av dem.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Supplerende veiledning for gjennomgangsprosessen
Etter implementeringen av koden i produksjonsmiljøet
- En sikker metode bør brukes for å ta i bruk oppdateringer.
- Per ISO 27001:2022 vedlegg A Kontroll 8.8, sikkerhetssårbarheter bør adresseres.
- Det bør føres journal over mistenkte angrep og feil på informasjonssystemer, og disse journalene bør gjennomgås regelmessig slik at nødvendige endringer kan gjøres.
- Bruk av verktøy som administrasjonsverktøy bør brukes for å forhindre uautorisert tilgang, bruk eller endring av kildekoden.
Organisasjoner bør vurdere følgende faktorer når de bruker eksterne verktøy
- Regelmessig overvåking og oppdatering av eksterne biblioteker bør utføres i henhold til deres utgivelsessykluser.
- En grundig gjennomgang, valg og godkjenning av programvarekomponenter er avgjørende, spesielt de som er relatert til kryptografi og autentisering.
- Innhenting av lisenser for eksterne komponenter og sikring av deres sikkerhet.
- Det bør være et system for sporing og vedlikehold av programvare. Dessuten må det sikres at det kommer fra en anerkjent kilde.
- Det er viktig å ha langsiktige utviklingsressurser tilgjengelig.
Følgende faktorer bør tas i betraktning når du gjør endringer i en programvarepakke:
- Integritetsprosesser eller innebygde kontroller kan utsette en organisasjon for risiko.
- Det er viktig å avgjøre om leverandøren har samtykket til endringene.
- Kan leverandørens samtykke innhentes til å utføre regelmessige oppdateringer av programvaren?
- Den sannsynlige virkningen av å vedlikeholde programvaren når den endres.
- Hvilken effekt vil endringene ha på andre programvarekomponenter organisasjonen bruker?
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Ytterligere veiledning om ISO 27001:2022 vedlegg A 8.28
Organisasjoner må sørge for at de bruker sikkerhetsrelevant kode når det er nødvendig, og at den er motstandsdyktig mot tukling.
Vedlegg A Kontroll 8.28 i ISO 27001:2022 gir følgende anbefalinger for sikkerhetsrelevant kode:
- Mens programmer som lastes ned via binær kode vil inkludere sikkerhetsrelatert kode i selve applikasjonen, vil den være begrenset i omfang til data lagret internt i applikasjonen.
- Å holde styr på sikkerhetsrelevant kode er bare nyttig hvis den kjøres på en server som ikke kan nås av brukeren og er atskilt fra prosessene som bruker den slik at dataene holdes sikre i en annen database og trygt adskilt fra prosessene. som bruker det. Bruk av en skytjeneste for å kjøre en tolket kode er mulig, og du kan begrense tilgangen til koden til privilegerte administratorer for å begrense tilgangen til koden. Anbefalingen er at disse tilgangsrettighetene beskyttes med just-in-time administratorrettigheter og robuste autentiseringsmekanismer som bare gir tilgang til nettstedet til rett tid.
- En passende konfigurasjon bør implementeres på webservere for å forhindre uautorisert tilgang til og surfing av kataloger på serveren.
- For å utvikle sikker applikasjonskode må du anta at koden er sårbar for angrep på grunn av kodefeil og handlinger utført av ondsinnede aktører. En kritisk applikasjon bør utformes for å være immun mot interne feil på en måte som forhindrer at den er utsatt for feil. For eksempel, når man evaluerer utdataene til en algoritme, er det mulig å sikre at utdataene samsvarer med sikkerhetskravene før algoritmen kan brukes i kritiske applikasjoner, for eksempel de som er relatert til økonomi, før den kan brukes i applikasjonen.
- På grunn av mangel på god kodingspraksis er enkelte nettapplikasjoner svært utsatt for sikkerhetstrusler, for eksempel databaseinjeksjon og skriptangrep på tvers av nettsteder.
- Det anbefales at organisasjoner refererer til ISO/IEC 15408 for mer informasjon om IT-sikkerhetsevaluering og hvordan den gjennomføres.
Hva er endringene fra ISO 27001:2013?
Vedlegg A 8.28 er en ny vedlegg A-kontroll som er lagt til ISO 27001:2022-standarden.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
ISO 27001:2022 Organisasjonskontroller
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
ISO 27001:2022 Personkontroller
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
ISO 27001:2022 Fysiske kontroller
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
ISO 27001:2022 teknologiske kontroller
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan ISMS.online hjelper
Enten du er helt ny på informasjonssikkerhet eller ønsker å lære om ISO 27001 konsist uten å måtte bruke tid på å lese lange og detaljerte dokumenter eller lære fra bunnen av, er plattformen vår designet spesielt for deg.
Ved å bruke ISMS.Online får du enkelt tilgang til dokumentmaler, sjekklister og retningslinjer som kan tilpasses dine behov.
Vil du se hvordan det fungerer?
Ta kontakt i dag for å bestill en demo.