ISO 27002:2022, kontroll 8.26 – applikasjonssikkerhetskrav

ISO 27002:2022 Reviderte kontroller

Bestill en demonstrasjon

multirase, unge, kreative, mennesker, på, moderne, kontor., vellykket, hipster, team

Applikasjonsprogrammer som webapplikasjoner, grafikkprogramvare, databaseprogramvare og betalingsbehandlingsprogramvare er avgjørende for mange kritiske forretningsoperasjoner.

Imidlertid er disse applikasjonene ofte utsatt for sikkerhetssårbarheter som kan føre til kompromittering av sensitiv informasjon.

For eksempel klarte ikke Equifax, et USA-basert kredittbyrå, å bruke en sikkerhetsoppdatering på et nettstedsapplikasjonsrammeverk som ble brukt til å håndtere kundeklager. Cyberangriperne brukte sikkerhetsproblemer i nettapplikasjonen for å infiltrere Equifax sine bedriftsnettverk og stjal sensitive data til rundt 145 millioner mennesker.

Kontroll 8.26 tar for seg hvordan organisasjoner kan etablere og anvende krav til informasjonssikkerhet for utvikling, bruk og anskaffelse av applikasjoner.

Formål med kontroll 8.26

Kontroll 8.26 gjør det mulig for organisasjoner å beskytte informasjonsressurser som er lagret på eller behandlet gjennom applikasjoner ved å identifisere og anvende passende informasjonssikkerhetskrav.

Attributttabell

Kontroll 8.26 er en forebyggende type kontroll som forhindrer risiko for integriteten, tilgjengeligheten og konfidensialiteten til informasjonsmidler som er lagret på applikasjonen, ved bruk av passende informasjonssikkerhetstiltak.

Kontrolltype Informasjonssikkerhetsegenskaper Konsepter for cybersikkerhetOperasjonelle evnerSikkerhetsdomener
#Forebyggende#Konfidensialitet
#Integritet
#Tilgjengelighet		#Beskytte#Applikasjonssikkerhet
#System- og nettverkssikkerhet		#Beskyttelse
#Forsvar
Gå til emnet
Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Eierskap til kontroll 8.26

Chief Information Security Officer, med støtte fra informasjonssikkerhetsspesialister, bør være ansvarlig for identifisering, godkjenning og implementering av informasjonskrav for anskaffelse, bruk og utvikling av applikasjoner.

Generell veiledning om samsvar

Generell veiledning bemerker at organisasjoner bør gjennomføre en risikovurdering for å bestemme typen informasjonssikkerhetskrav passende for en bestemt applikasjon.

Mens innholdet og typene av krav til informasjonssikkerhet kan variere avhengig av søknadens art, kravene bør dekke følgende:

  • Graden av tillit som er tildelt identiteten til spesifikke enheter i samsvar med kontroll 5.17, 8.2 og 8.5.

  • Identifikasjon av klassifiseringsnivå tilordnet informasjonsmidler skal lagres på eller behandles av applikasjonen.

  • Hvorvidt det er behov for å skille tilgangen til funksjoner og informasjon som er lagret på applikasjonen.

  • Om applikasjonen er motstandsdyktig mot cyberangrep som SQL-injeksjoner eller utilsiktede avlyttinger som bufferoverløp.

  • Juridiske, regulatoriske og lovpålagte krav og standarder som gjelder for transaksjonen som behandles, genereres, lagres eller fullføres av applikasjonen.

  • Personvernhensyn for alle involverte parter.

  • Krav til beskyttelse av konfidensielle data.

  • Beskyttelse av informasjon når den er i bruk, under transport eller i hvile.

  • Enten sikker kryptering av kommunikasjon mellom alle relevante parter er nødvendig.

  • Implementering av inputkontroller som inputvalidering eller utførelse av integritetssjekker.

  • Utføre automatiserte kontroller.

  • Utføre utdatakontroller, tar hensyn til hvem som kan se utdata og autorisasjonen for Access.

  • Behov for å pålegge begrensninger på innholdet i "fritekst"-felt for å beskytte spredning av konfidensielle data på en ukontrollerbar måte.

  • Krav som oppstår som følge av forretningsbehov som logging av transaksjoner og krav om ikke-avvisning.

  • Krav pålagt av andre sikkerhetskontroller som for eksempel datalekkasjedeteksjonssystemer.

  • Hvordan håndtere feilmeldinger.

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Supplerende veiledning om transaksjonstjenester

Kontroll 8.26 krever at organisasjoner tar hensyn til følgende syv anbefalinger når en applikasjon tilbyr transaksjonstjenester mellom organisasjonen og en partner:

  • Graden av tillit hver part i transaksjonen krever i den andre partens identitet.

  • Graden av tillit som kreves i integriteten til data som kommuniseres eller behandles og identifisering av en riktig mekanisme for å oppdage eventuell mangel på integritet, inkludert verktøy som hashing og digitale signaturer.

  • Etablering av en autorisasjonsprosess for hvem som har lov til å godkjenne innholdet i, signere eller signere viktige transaksjonsdokumenter.

  • Opprettholde konfidensialiteten og integriteten til de kritiske dokumentene og bevise sending og mottak av slike dokumenter.

  • Beskytte og opprettholde integriteten og konfidensialiteten til alle transaksjoner som bestillinger og kvitteringer.

  • Krav for hvilken tidsperiode transaksjoner skal holdes konfidensielle.

  • Kontraktsmessige krav og krav knyttet til forsikring.

Supplerende veiledning om elektroniske bestillings- og betalingsapplikasjoner

Når applikasjoner inkluderer betalings- og elektronisk bestillingsfunksjonalitet, bør organisasjoner ta hensyn til følgende:

  • Krav sikrer at konfidensialitet og integritet til ordreinformasjon ikke kompromitteres.

  • Bestemme en passende grad av bekreftelse for å verifisere betalingsdetaljene oppgitt av en kunde.

  • Forhindre tap eller duplisering av transaksjonsinformasjon.

  • Sørge for at informasjon knyttet til informasjon lagres utenfor et offentlig tilgjengelig miljø, for eksempel på et lagringsmedium som ligger på organisasjonens eget intranett.

  • Der organisasjoner er avhengige av en pålitelig ekstern myndighet, for eksempel for utstedelse av digitale signaturer, må de sørge for at sikkerheten er integrert i hele prosessen.

Supplerende veiledning om nettverk

Når applikasjoner åpnes via nettverk, er de sårbare for trusler som kontraktstvister, uredelige aktiviteter, feilruting, uautoriserte endringer i innholdet i kommunikasjon eller tap av konfidensialitet for sensitiv informasjon.

Kontroll 8.26 anbefaler at organisasjoner utfører omfattende risikovurderinger for å identifisere passende kontroller som bruk av kryptografi for å sikre sikkerheten ved informasjonsoverføringer.

Er du klar for
den nye ISO 27002

Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din

Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

Endringer og forskjeller fra ISO 27002:2013

27002:2022/8.26 erstatte 27002:2013/(14.1.2 og 14.1.3)

Det er tre store forskjeller mellom de to versjonene.

Alle applikasjoner vs applikasjoner som går gjennom offentlige nettverk

ISO 27002:2013-versjonen listet ikke opp krav som gjelder for alle applikasjoner: Den ga en liste over informasjonssikkerhetskrav som bør vurderes for applikasjoner som går gjennom offentlige nettverk.

Kontroller 8.26 i 2022-versjonentvert imot, ga en liste over informasjonssikkerhetskrav som gjelder for alle applikasjoner.

Ytterligere veiledning om elektroniske bestillings- og betalingsapplikasjoner

Kontroll 8.26 i 2022-versjonen inneholder spesifikk veiledning om Elektroniske bestillings- og betalingsapplikasjoner. I motsetning til dette tok ikke 2013-versjonen opp dette.

Ytterligere krav til transaksjonstjenester

Mens 2022-versjonen og 2013-versjonen er nesten identiske når det gjelder kravene til transaksjonstjenester, introduserer 2022-versjonen et tilleggskrav som ikke er adressert i 2013-versjonen:

  • Organisasjoner bør vurdere kontraktsmessige krav og krav knyttet til forsikring.

Hvordan ISMS.online hjelper

ISMS.online er en skybasert løsning som hjelper bedrifter å vise samsvar med ISO 27002. ISMS.online-løsningen kan brukes til å håndtere kravene til ISO 27002 og sikre at organisasjonen din forblir kompatibel med den nye standarden.

Vår plattform er brukervennlig og grei. Det er ikke bare for svært tekniske personer; det er for alle i bedriften din.

Ta kontakt i dag for å bestill en demo.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.7NyTrusselintelligens
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.30NyIKT-beredskap for forretningskontinuitet
7.4NyFysisk sikkerhetsovervåking
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.16NyOvervåking av aktiviteter
8.23NyWeb-filtrering
8.28NySikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.105.1.1, 05.1.2Retningslinjer for informasjonssikkerhet
5.206.1.1Informasjonssikkerhetsroller og ansvar
5.306.1.2Ansvarsfordeling
5.407.2.1Lederansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med interessegrupper
5.7NyTrusselintelligens
5.806.1.5, 14.1.1Informasjonssikkerhet i prosjektledelse
5.908.1.1, 08.1.2Inventar av informasjon og andre tilhørende eiendeler
5.1008.1.3, 08.2.3Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.1108.1.4Retur av eiendeler
5.12 08.2.1Klassifisering av informasjon
5.1308.2.2Merking av informasjon
5.1413.2.1, 13.2.2, 13.2.3Informasjonsoverføring
5.1509.1.1, 09.1.2Adgangskontroll
5.1609.2.1Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformasjon
5.1809.2.2, 09.2.5, 09.2.6Tilgangsrettigheter
5.1915.1.1Informasjonssikkerhet i leverandørforhold
5.2015.1.2Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.2115.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.2215.2.1, 15.2.2Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.2416.1.1Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.2516.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
5.2616.1.5Respons på informasjonssikkerhetshendelser
5.2716.1.6Lær av informasjonssikkerhetshendelser
5.2816.1.7Innsamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informasjonssikkerhet under avbrudd
5.30NyIKT-beredskap for forretningskontinuitet
5.3118.1.1, 18.1.5Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.3218.1.2Immaterielle rettigheter
5.3318.1.3Beskyttelse av poster
5.3418.1.4Personvern og beskyttelse av PII
5.3518.2.1Uavhengig gjennomgang av informasjonssikkerhet
5.3618.2.2, 18.2.3Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.3712.1.1Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansettelsen
6.307.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.407.2.3Disiplinær prosess
6.507.3.1Ansvar etter oppsigelse eller endring av arbeidsforhold
6.613.2.4Avtaler om konfidensialitet eller taushetsplikt
6.706.2.2Fjernarbeid
6.816.1.2, 16.1.3Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
7.111.1.1Fysiske sikkerhetsomkretser
7.211.1.2, 11.1.6Fysisk inngang
7.311.1.3Sikring av kontorer, rom og fasiliteter
7.4NyFysisk sikkerhetsovervåking
7.511.1.4Beskyttelse mot fysiske og miljømessige trusler
7.611.1.5Arbeid i sikre områder
7.711.2.9Oversiktlig skrivebord og oversiktlig skjerm
7.811.2.1Utstyrsplassering og beskyttelse
7.911.2.6Sikkerhet av eiendeler utenfor lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedier
7.1111.2.2Støtteverktøy
7.1211.2.3Kablingssikkerhet
7.1311.2.4Vedlikehold av utstyr
7.1411.2.7Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
8.106.2.1, 11.2.8Brukerendepunktsenheter
8.209.2.3Privilegerte tilgangsrettigheter
8.309.4.1Begrensning av informasjonstilgang
8.409.4.5Tilgang til kildekode
8.509.4.2Sikker autentisering
8.612.1.3Kapasitetsstyring
8.712.2.1Beskyttelse mot skadelig programvare
8.812.6.1, 18.2.3Håndtering av tekniske sårbarheter
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.1312.3.1Sikkerhetskopiering av informasjon
8.1417.2.1Redundans av informasjonsbehandlingsanlegg
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NyOvervåking av aktiviteter
8.1712.4.4Kloksynkronisering
8.1809.4.4Bruk av privilegerte hjelpeprogrammer
8.1912.5.1, 12.6.2Installasjon av programvare på operasjonssystemer
8.2013.1.1Nettverkssikkerhet
8.2113.1.2Sikkerhet for nettverkstjenester
8.2213.1.3Segregering av nettverk
8.23NyWeb-filtrering
8.2410.1.1, 10.1.2Bruk av kryptografi
8.2514.2.1Sikker utviklingslivssyklus
8.2614.1.2, 14.1.3Krav til applikasjonssikkerhet
8.2714.2.5Sikker systemarkitektur og tekniske prinsipper
8.28NySikker koding
8.2914.2.8, 14.2.9Sikkerhetstesting i utvikling og aksept
8.3014.2.7Utkontraktert utvikling
8.3112.1.4, 14.2.6Separasjon av utviklings-, test- og produksjonsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Endringsledelse
8.3314.3.1Testinformasjon
8.3412.7.1Beskyttelse av informasjonssystemer under revisjonstesting
Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer