ISO 27002:2022, Kontroll 8.19 – Installasjon av programvare på operasjonelle systemer

ISO 27002:2022 Reviderte kontroller

Bestill en demonstrasjon

vid,vinkel,visning,opptatt,design,kontor,med,arbeidere,på

Formål med kontroll 8.19

Operativ programvare kan i store trekk beskrives som hvilken som helst programvare som virksomheten aktivt bruker for å drive sin drift, til forskjell fra testprogramvare eller utviklingsprosjekter.

Det er svært viktig å sikre at programvare er installert og administrert på et gitt nettverk i henhold til et strengt sett med regler og krav som minimerer risiko, forbedrer effektiviteten og opprettholder sikkerheten innenfor interne og eksterne nettverk og tjenester.

Attributttabell

Kontroll 8.19 er en forebyggende kontroll Det opprettholder risiko ved å etablere et sett med regler som styrer installasjon av programvare på operasjonelle systemer.

KontrolltypeInformasjonssikkerhetsegenskaperKonsepter for cybersikkerhetOperasjonelle evnerSikkerhetsdomener
#Forebyggende#Konfidensialitet
#Integritet
#Tilgjengelighet		#Beskytte#Sikker konfigurasjon
#Applikasjonssikkerhet		#Beskyttelse

Eierskap til kontroll 8.19

Kontroll 8.19 omhandler tekniske konsepter knyttet til vedlikehold og forvaltning av operative datasystemer. Som sådan bør eierskapet ligge hos IT-sjefen, eller tilsvarende organisatorisk.

Gå til emnet
Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Generell veiledning om samsvar

For å kunne administrere endringer og installasjoner på nettverket på en sikker måte, bør organisasjoner:

  1. Sørg for at programvareoppdateringer kun utføres av opplært og kompetent personell (se Kontroll 8.5).

  2. Installer kun robust kjørbar kode som er fri for feil og som har gått ut av utviklingsstadiet på en trygg måte.

  3. Installer og/eller oppdater programvare først etter at oppdateringen eller oppdateringen er vellykket testet, og organisasjonen er sikker på at ingen konflikter eller feil vil oppstå.

  4. Opprettholde et oppdatert biblioteksystem.

  5. Bruk et "konfigurasjonskontrollsystem" som administrerer alle forekomster av operativ programvare, inkludert programdokumentasjon.

  6. Bli enige om en "tilbakeføringsstrategi" før eventuelle oppdateringer eller installasjoner, for å sikre forretningskontinuitet i tilfelle en uforutsett feil eller konflikt.

  7. Hold en logg over eventuelle oppdateringer utført av operativ programvare, inkludert et sammendrag av oppdateringen, involvert personell og et tidsstempel.

  8. Sørg for at ubrukt programvare – inkludert all dokumentasjon, konfigurasjonsfiler, systemlogger, støtteprosedyrer – er trygt lagret for videre bruk, dersom behovet skulle oppstå.

  9. Håndheve et strengt sett med regler for typen programvarepakker som brukere kan installere, basert på prinsippene om "minst privilegert" og i samsvar med relevante roller og ansvar.

Veiledning – Leverandørprogramvare

Når det gjelder leverandørlevert programvare (f.eks. programvare som brukes i driften av maskiner eller for en skreddersydd forretningsfunksjon) bør slik programvare alltid holdes i god stand ved å henvise til leverandørens retningslinjer for sikker og sikker drift.

Det er viktig å merke seg at selv der programvare eller programvaremoduler leveres eksternt og administreres (dvs. at organisasjonen ikke er ansvarlig for noen oppdateringer), bør det tas skritt for å sikre at tredjepartsoppdateringer ikke går på akkord med integriteten til organisasjonens nettverk.

Organisasjoner bør unngå å bruke leverandørprogramvare som ikke støttes med mindre det er absolutt nødvendig, og vurdere de tilhørende sikkerhetsrisikoene ved bruk av overflødige applikasjoner i motsetning til en oppgradering til nyere og sikrere systemer.

Hvis en leverandør krever tilgang til en organisasjons nettverk for å utføre en installasjon eller oppdatering, bør aktiviteten overvåkes og valideres i tråd med alle relevante autorisasjonsprosedyrer (se kontroll 5.22).

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Supplerende veiledning om kontroll 8.19

Programvare bør oppgraderes, installeres og/eller lappes i samsvar med organisasjonens publiserte prosedyrer for endringshåndtering, for å sikre enhetlighet med andre områder av virksomheten.

Når det identifiseres en oppdatering som enten fullstendig eliminerer en sårbarhet (eller en rekke sårbarheter), eller som på noen måte bidrar til å forbedre organisasjonens informasjonssikkerhetsdrift, bør slike endringer nesten alltid brukes (selv om det fortsatt er behov for å vurdere slike endringer på fra sak til sak).

Der det oppstår behov for å bruke åpen kildekode, bør denne alltid være av den nyeste offentlig tilgjengelige versjonen som vedlikeholdes aktivt. Følgelig bør organisasjoner vurdere de iboende risikoene ved å bruke uvedlikeholdt programvare innenfor alle forretningsfunksjoner.

Støttekontroller

  • 5.22
  • 8.5

Endringer og forskjeller fra ISO 27002:2013

ISO 27002:2022-8.19 erstatter ISO 27002:2003-12.5.1 (Installasjon av programvare på driftssystemer) og 12.6.2 (Restriksjoner på installasjon av programvare).

27002:2022-8.19 er en sammenslåing av de fleste rådene i 27002:2003-12.5.1 og 12.6.2, med flere nøkkelbegreper kort utvidet og med tillegg av noen nye styrende prinsipper:

  • Vedlikeholde et biblioteksystem.

  • Regler for bruk av åpen kildekode-programvare.

  • Nærmere logiske kontroller på installasjon og vedlikehold av leverandørprogramvare.

Hvordan ISMS.online hjelper

ISMS.Online er en komplett løsning for implementering av ISO 27002. Det er et nettbasert system som lar deg vise at ditt styringssystem for informasjonssikkerhet (ISMS) er i samsvar med de godkjente standardene ved hjelp av gjennomtenkte prosesser, prosedyrer og sjekklister.

Det er ikke bare en brukervennlig plattform for å administrere din ISO 27002-implementering, men også et utmerket verktøy for opplæring av personalet i beste praksis og prosesser for informasjonssikkerhet, samt dokumentere all innsats.

Fordelene ved å bruke ISMS.Online:

  • Enkel å bruke nettplattform som kan nås fra alle enheter.

  • Den er fullstendig tilpassbar for å møte dine behov.

  • Tilpassbare arbeidsflyter og prosesser for å passe dine forretningsbehov.

  • Opplæringsverktøy for å hjelpe nyansatte med å komme raskere i gang.

  • Et bibliotek med maler for dokumenter som retningslinjer, prosedyrer, planer og sjekklister.

Ta kontakt i dag for å bestill en demo.

Er du klar for
den nye ISO 27002

Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.7NyTrusselintelligens
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.30NyIKT-beredskap for forretningskontinuitet
7.4NyFysisk sikkerhetsovervåking
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.16NyOvervåking av aktiviteter
8.23NyWeb-filtrering
8.28NySikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.105.1.1, 05.1.2Retningslinjer for informasjonssikkerhet
5.206.1.1Informasjonssikkerhetsroller og ansvar
5.306.1.2Ansvarsfordeling
5.407.2.1Lederansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med interessegrupper
5.7NyTrusselintelligens
5.806.1.5, 14.1.1Informasjonssikkerhet i prosjektledelse
5.908.1.1, 08.1.2Inventar av informasjon og andre tilhørende eiendeler
5.1008.1.3, 08.2.3Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.1108.1.4Retur av eiendeler
5.12 08.2.1Klassifisering av informasjon
5.1308.2.2Merking av informasjon
5.1413.2.1, 13.2.2, 13.2.3Informasjonsoverføring
5.1509.1.1, 09.1.2Adgangskontroll
5.1609.2.1Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformasjon
5.1809.2.2, 09.2.5, 09.2.6Tilgangsrettigheter
5.1915.1.1Informasjonssikkerhet i leverandørforhold
5.2015.1.2Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.2115.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.2215.2.1, 15.2.2Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.2416.1.1Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.2516.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
5.2616.1.5Respons på informasjonssikkerhetshendelser
5.2716.1.6Lær av informasjonssikkerhetshendelser
5.2816.1.7Innsamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informasjonssikkerhet under avbrudd
5.30NyIKT-beredskap for forretningskontinuitet
5.3118.1.1, 18.1.5Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.3218.1.2Immaterielle rettigheter
5.3318.1.3Beskyttelse av poster
5.3418.1.4Personvern og beskyttelse av PII
5.3518.2.1Uavhengig gjennomgang av informasjonssikkerhet
5.3618.2.2, 18.2.3Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.3712.1.1Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansettelsen
6.307.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.407.2.3Disiplinær prosess
6.507.3.1Ansvar etter oppsigelse eller endring av arbeidsforhold
6.613.2.4Avtaler om konfidensialitet eller taushetsplikt
6.706.2.2Fjernarbeid
6.816.1.2, 16.1.3Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
7.111.1.1Fysiske sikkerhetsomkretser
7.211.1.2, 11.1.6Fysisk inngang
7.311.1.3Sikring av kontorer, rom og fasiliteter
7.4NyFysisk sikkerhetsovervåking
7.511.1.4Beskyttelse mot fysiske og miljømessige trusler
7.611.1.5Arbeid i sikre områder
7.711.2.9Oversiktlig skrivebord og oversiktlig skjerm
7.811.2.1Utstyrsplassering og beskyttelse
7.911.2.6Sikkerhet av eiendeler utenfor lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedier
7.1111.2.2Støtteverktøy
7.1211.2.3Kablingssikkerhet
7.1311.2.4Vedlikehold av utstyr
7.1411.2.7Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
8.106.2.1, 11.2.8Brukerendepunktsenheter
8.209.2.3Privilegerte tilgangsrettigheter
8.309.4.1Begrensning av informasjonstilgang
8.409.4.5Tilgang til kildekode
8.509.4.2Sikker autentisering
8.612.1.3Kapasitetsstyring
8.712.2.1Beskyttelse mot skadelig programvare
8.812.6.1, 18.2.3Håndtering av tekniske sårbarheter
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.1312.3.1Sikkerhetskopiering av informasjon
8.1417.2.1Redundans av informasjonsbehandlingsanlegg
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NyOvervåking av aktiviteter
8.1712.4.4Kloksynkronisering
8.1809.4.4Bruk av privilegerte hjelpeprogrammer
8.1912.5.1, 12.6.2Installasjon av programvare på operasjonssystemer
8.2013.1.1Nettverkssikkerhet
8.2113.1.2Sikkerhet for nettverkstjenester
8.2213.1.3Segregering av nettverk
8.23NyWeb-filtrering
8.2410.1.1, 10.1.2Bruk av kryptografi
8.2514.2.1Sikker utviklingslivssyklus
8.2614.1.2, 14.1.3Krav til applikasjonssikkerhet
8.2714.2.5Sikker systemarkitektur og tekniske prinsipper
8.28NySikker koding
8.2914.2.8, 14.2.9Sikkerhetstesting i utvikling og aksept
8.3014.2.7Utkontraktert utvikling
8.3112.1.4, 14.2.6Separasjon av utviklings-, test- og produksjonsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Endringsledelse
8.3314.3.1Testinformasjon
8.3412.7.1Beskyttelse av informasjonssystemer under revisjonstesting
Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer