ISO 27001:2022 Vedlegg A Kontroll 8.28

Sikker koding

Bestill en demonstrasjon

virksomhet, markedsføring, team, diskusjon, bedrift, konsept

Bruk av dårlig kodingspraksis, som feilaktig validering av inndata og svak nøkkelgenerering, kan føre til cyberangrep og kompromittering av sensitiv informasjonsressurser.

Av denne grunn utnyttet hackere den beryktede Heartbleed-feilen for å få tilgang til mer enn 4 millioner pasientjournaler.

For å forhindre sikkerhetssårbarheter, må organisasjoner følge sikre kodingsprinsipper.

Hva er formålet med ISO 27001:2022 vedlegg A 8.28?

Per ISO 27001: 2022, Vedlegg A Kontroll 8.28 hjelper organisasjoner med å forhindre sikkerhetsrisikoer og sårbarheter som kan oppstå på grunn av dårlig programvarekodingspraksis gjennom å utvikle, implementere og gjennomgå passende sikker programvarekodingspraksis.

Hvem har eierskap til vedlegg A 8.28?

En informasjonssikkerhetssjef bør være ansvarlig for å ta passende skritt for å sikre samsvar med 8.28, som krever utvikling og implementering av sikre kodingsprinsipper og -prosedyrer i hele organisasjonen.

Gå til emnet
Si hei til ISO 27001 suksess

Få 81 % av arbeidet gjort for deg og bli sertifisert raskere med ISMS.online

Bestill demoen din
img

Samsvarsretningslinjer for ISO 27001:2022 vedlegg A 8.28

Organisasjoner må utvikle og implementere sikre kodeprosesser som gjelder for produkter levert av eksterne parter og programvarekomponenter med åpen kildekode, som skissert i ISO 27001 vedlegg A Kontroll 8.28.

I tillegg bør organisasjoner holde seg informert om nye sikkerhetstrusler i den virkelige verden og den nyeste informasjonen om kjente eller potensielle sikkerhetssårbarheter i programvaren. Ved å bruke denne tilnærmingen kan organisasjoner utvikle robuste, sikre kodeprinsipper å bekjempe utviklende cybertrusler.

Utfyllende veiledning om planlegging

Det er viktig at både nye kodeprosjekter og gjenbruksoperasjoner av programvare overholder sikre programvarekodingsprinsipper.

Disse prinsippene bør følges både ved utvikling av programvare internt og ved overføring av programvareprodukter eller tjenester.

Organisasjoner bør vurdere følgende faktorer når de utvikler en plan for sikker kodingsprinsipper og fastsetter forutsetninger for sikker koding:

  • Sikkerhetsforventninger bør tilpasses organisasjonens spesifikke behov, og det bør etableres godkjente prinsipper for sikker programvarekode som gjelder intern programvare utvikling og outsourcet komponenter.

  • Organisasjoner bør identifisere og dokumentere de mest utbredte og historiske kodedesignfeilene og dårlig kodingspraksis for å forhindre datasikkerhetsbrudd.

  • Organisasjoner bør implementere og konfigurere programvareutviklingsverktøy for å sikre sikkerheten til all kode som lages. Integrerte utviklingsmiljøer (IDE) er et eksempel på slike verktøy.

  • Programvareutviklingsverktøy bør gi veiledning og instruksjoner for å hjelpe organisasjoner med å overholde retningslinjene og instruksjonene.

  • Utviklingsverktøy som kompilatorer bør gjennomgås, vedlikeholdes og brukes sikkert av organisasjoner.

Supplerende veiledning om sikkerhet under koding

For å sikre sikker kodingspraksis og prosedyrer, bør følgende vurderes under kodingsprosessen:

  • Kodeprinsipper for sikker programvare bør skreddersys til hvert programmeringsspråk og teknikk.

  • Testdrevet utvikling og parprogrammering er eksempler på sikre programmeringsteknikker og metoder.

  • Implementering av strukturerte programmeringsteknikker.

  • Dokumentasjon av koden og fjerning av mangler i koden.

  • Bruk av usikre programvarekodingsmetoder som ikke-godkjente kodeeksempler eller hardkodede passord er forbudt.

En sikkerhetstest bør utføres under og etter utvikling, som spesifisert i ISO 27001 vedlegg A Kontroll 8.29.

Organisasjoner bør vurdere følgende elementer før de implementerer programvaren i et levende applikasjonsmiljø:

  • Er det en angrepsflate?

  • Følges minste privilegiet-prinsippet?

  • Analysere de mest utbredte programmeringsfeilene og dokumentere eliminering av dem.

Supplerende veiledning for gjennomgangsprosessen

Etter implementeringen av koden i produksjonsmiljøet

  • En sikker metode bør brukes for å ta i bruk oppdateringer.

  • Per ISO 27001:2022 vedlegg A Kontroll 8.8, sikkerhetssårbarheter bør adresseres.

  • Det bør føres journal over mistenkte angrep og feil på informasjonssystemer, og disse journalene bør gjennomgås regelmessig slik at nødvendige endringer kan gjøres.

  • Bruk av verktøy som administrasjonsverktøy bør brukes for å forhindre uautorisert tilgang, bruk eller endring av kildekoden.

Organisasjoner bør vurdere følgende faktorer når de bruker eksterne verktøy

  • Regelmessig overvåking og oppdatering av eksterne biblioteker bør utføres i henhold til deres utgivelsessykluser.

  • En grundig gjennomgang, valg og godkjenning av programvarekomponenter er avgjørende, spesielt de som er relatert til kryptografi og autentisering.

  • Innhenting av lisenser for eksterne komponenter og sikring av deres sikkerhet.

  • Det bør være et system for sporing og vedlikehold av programvare. Dessuten må det sikres at det kommer fra en anerkjent kilde.

  • Det er viktig å ha langsiktige utviklingsressurser tilgjengelig.

Følgende faktorer bør tas i betraktning når du gjør endringer i en programvarepakke:

  • Integritetsprosesser eller innebygde kontroller kan utsette en organisasjon for risiko.

  • Det er viktig å avgjøre om leverandøren har samtykket til endringene.

  • Kan leverandørens samtykke innhentes til å utføre regelmessige oppdateringer av programvaren?

  • Den sannsynlige virkningen av å vedlikeholde programvaren når den endres.

  • Hvilken effekt vil endringene ha på andre programvarekomponenter organisasjonen bruker?

Ytterligere veiledning om ISO 27001:2022 vedlegg A 8.28

Organisasjoner må sørge for at de bruker sikkerhetsrelevant kode når det er nødvendig, og at den er motstandsdyktig mot tukling.

Vedlegg A Kontroll 8.28 i ISO 27001:2022 gir følgende anbefalinger for sikkerhetsrelevant kode:

  • Mens programmer som lastes ned via binær kode vil inkludere sikkerhetsrelatert kode i selve applikasjonen, vil den være begrenset i omfang til data lagret internt i applikasjonen.

  • Å holde styr på sikkerhetsrelevant kode er bare nyttig hvis den kjøres på en server som ikke kan nås av brukeren og er atskilt fra prosessene som bruker den slik at dataene holdes sikre i en annen database og trygt adskilt fra prosessene. som bruker det. Bruk av en skytjeneste for å kjøre en tolket kode er mulig, og du kan begrense tilgangen til koden til privilegerte administratorer for å begrense tilgangen til koden. Anbefalingen er at disse tilgangsrettighetene beskyttes med just-in-time administratorrettigheter og robuste autentiseringsmekanismer som bare gir tilgang til nettstedet til rett tid.

  • En passende konfigurasjon bør implementeres på webservere for å forhindre uautorisert tilgang til og surfing av kataloger på serveren.

  • For å utvikle sikker applikasjonskode må du anta at koden er sårbar for angrep på grunn av kodefeil og handlinger utført av ondsinnede aktører. En kritisk applikasjon bør utformes for å være immun mot interne feil på en måte som forhindrer at den er utsatt for feil. For eksempel, når man evaluerer utdataene til en algoritme, er det mulig å sikre at utdataene samsvarer med sikkerhetskravene før algoritmen kan brukes i kritiske applikasjoner, for eksempel de som er relatert til økonomi, før den kan brukes i applikasjonen.

  • På grunn av mangel på god kodingspraksis er enkelte nettapplikasjoner svært utsatt for sikkerhetstrusler, for eksempel databaseinjeksjon og skriptangrep på tvers av nettsteder.

  • Det anbefales at organisasjoner refererer til ISO/IEC 15408 for mer informasjon om IT-sikkerhetsevaluering og hvordan den gjennomføres.

Hva er endringene fra ISO 27001:2013?

Vedlegg A 8.28 er en ny vedlegg A-kontroll som er lagt til ISO 27001:2022-standarden.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Enten du er helt ny på informasjonssikkerhet eller ønsker å lære om ISO 27001 konsist uten å måtte bruke tid på å lese lange og detaljerte dokumenter eller lære fra bunnen av, er plattformen vår designet spesielt for deg.

Ved å bruke ISMS.Online får du enkelt tilgang til dokumentmaler, sjekklister og retningslinjer som kan tilpasses dine behov.

Vil du se hvordan det fungerer?

Ta kontakt i dag for å bestill en demo.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Metode for sikrede resultater
100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer