Installasjon av programvare på operasjonelle systemer

Formål med kontroll 8.19

Operativ programvare kan i store trekk beskrives som hvilken som helst programvare som virksomheten aktivt bruker for å drive sin drift, til forskjell fra testprogramvare eller utviklingsprosjekter.

Det er svært viktig å sikre at programvare er installert og administrert på et gitt nettverk i henhold til et strengt sett med regler og krav som minimerer risiko, forbedrer effektiviteten og opprettholder sikkerheten innenfor interne og eksterne nettverk og tjenester.

Attributttabell for kontroll 8.19

Kontroll 8.19 er en forebyggende kontroll Det opprettholder risiko ved å etablere et sett med regler som styrer installasjon av programvare på operasjonelle systemer.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Beskytte	#Sikker konfigurasjon	#Beskyttelse
	#Integritet		#Applikasjonssikkerhet
	#Tilgjengelighet

Eierskap til kontroll 8.19

Kontroll 8.19 omhandler tekniske konsepter knyttet til vedlikehold og forvaltning av operative datasystemer. Som sådan bør eierskapet ligge hos IT-sjefen, eller tilsvarende organisatorisk.

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din

Generell veiledning om samsvar

For å kunne administrere endringer og installasjoner på nettverket på en sikker måte, bør organisasjoner:

Sørg for at programvareoppdateringer kun utføres av opplært og kompetent personell (se Kontroll 8.5).
Installer kun robust kjørbar kode som er fri for feil og som har gått ut av utviklingsstadiet på en trygg måte.
Installer og/eller oppdater programvare først etter at oppdateringen eller oppdateringen er vellykket testet, og organisasjonen er sikker på at ingen konflikter eller feil vil oppstå.
Opprettholde et oppdatert biblioteksystem.
Bruk et "konfigurasjonskontrollsystem" som administrerer alle forekomster av operativ programvare, inkludert programdokumentasjon.
Bli enige om en "tilbakeføringsstrategi" før eventuelle oppdateringer eller installasjoner, for å sikre forretningskontinuitet i tilfelle en uforutsett feil eller konflikt.
Hold en logg over eventuelle oppdateringer utført av operativ programvare, inkludert et sammendrag av oppdateringen, involvert personell og et tidsstempel.
Sørg for at ubrukt programvare – inkludert all dokumentasjon, konfigurasjonsfiler, systemlogger, støtteprosedyrer – er trygt lagret for videre bruk, dersom behovet skulle oppstå.
Håndheve et strengt sett med regler for typen programvarepakker som brukere kan installere, basert på prinsippene om "minst privilegert" og i samsvar med relevante roller og ansvar.

Veiledning – Leverandørprogramvare

Når det gjelder leverandørlevert programvare (f.eks. programvare som brukes i driften av maskiner eller for en skreddersydd forretningsfunksjon) bør slik programvare alltid holdes i god stand ved å henvise til leverandørens retningslinjer for sikker og sikker drift.

Det er viktig å merke seg at selv der programvare eller programvaremoduler leveres eksternt og administreres (dvs. at organisasjonen ikke er ansvarlig for noen oppdateringer), bør det tas skritt for å sikre at tredjepartsoppdateringer ikke går på akkord med integriteten til organisasjonens nettverk.

Organisasjoner bør unngå å bruke leverandørprogramvare som ikke støttes med mindre det er absolutt nødvendig, og vurdere de tilhørende sikkerhetsrisikoene ved bruk av overflødige applikasjoner i motsetning til en oppgradering til nyere og sikrere systemer.

Hvis en leverandør krever tilgang til en organisasjons nettverk for å utføre en installasjon eller oppdatering, bør aktiviteten overvåkes og valideres i tråd med alle relevante autorisasjonsprosedyrer (se kontroll 5.22).

Supplerende veiledning om kontroll 8.19

Programvare bør oppgraderes, installeres og/eller lappes i samsvar med organisasjonens publiserte prosedyrer for endringshåndtering, for å sikre enhetlighet med andre områder av virksomheten.

Når det identifiseres en oppdatering som enten fullstendig eliminerer en sårbarhet (eller en rekke sårbarheter), eller som på noen måte bidrar til å forbedre organisasjonens informasjonssikkerhetsdrift, bør slike endringer nesten alltid brukes (selv om det fortsatt er behov for å vurdere slike endringer på fra sak til sak).

Der det oppstår behov for å bruke åpen kildekode, bør denne alltid være av den nyeste offentlig tilgjengelige versjonen som vedlikeholdes aktivt. Følgelig bør organisasjoner vurdere de iboende risikoene ved å bruke uvedlikeholdt programvare innenfor alle forretningsfunksjoner.

Støttekontroller

5.22
8.5

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

ISO 27002:2022-8.19 erstatter ISO 27002:2003-12.5.1 (Installasjon av programvare på driftssystemer) og 12.6.2 (Restriksjoner på installasjon av programvare).

27002:2022-8.19 er en sammenslåing av de fleste rådene i 27002:2003-12.5.1 og 12.6.2, med flere nøkkelbegreper kort utvidet og med tillegg av noen nye styrende prinsipper:

Vedlikeholde et biblioteksystem.
Regler for bruk av åpen kildekode-programvare.
Nærmere logiske kontroller på installasjon og vedlikehold av leverandørprogramvare.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISMS.Online er en komplett løsning for implementering av ISO 27002. Det er et nettbasert system som lar deg vise at ditt styringssystem for informasjonssikkerhet (ISMS) er i samsvar med de godkjente standardene ved hjelp av gjennomtenkte prosesser, prosedyrer og sjekklister.

Det er ikke bare en brukervennlig plattform for å administrere din ISO 27002-implementering, men også et utmerket verktøy for opplæring av personalet i beste praksis og prosesser for informasjonssikkerhet, samt dokumentere all innsats.

Fordelene ved å bruke ISMS.Online:

Enkel å bruke nettplattform som kan nås fra alle enheter.
Den er fullstendig tilpassbar for å møte dine behov.
Tilpassbare arbeidsflyter og prosesser for å passe dine forretningsbehov.
Opplæringsverktøy for å hjelpe nyansatte med å komme raskere i gang.
Et bibliotek med maler for dokumenter som retningslinjer, prosedyrer, planer og sjekklister.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt