Implementering av ISO 27002 Control 8.27 for Stronger Security
Komplekse sammensetninger av moderne informasjonssystemer, og det stadig skiftende cybersikkerhetstrussellandskapet gjør informasjonssystemer mer sårbare for kjente og potensielle sikkerhetstrusler.
Kontroll 8.27, tar for seg hvordan organisasjoner kan eliminere sikkerhetstrusler mot informasjonssystemer ved å skape sikre systemtekniske prinsipper som brukes i alle faser av informasjonssystemets livssyklus.
Formål med kontroll 8.27
Kontroll 8.27 gjør det mulig for organisasjoner å vedlikeholde sikkerhet for informasjonssystemer under design-, distribusjons- og driftsfasene ved å etablere og implementere sikre systemingeniørprinsipper som systemingeniører overholder.
Attributttabell for kontroll 8.27
Kontroll 8.27 er en forebyggende type kontroll som krever at organisasjoner eliminerer kjente og potensielle trusler mot konfidensialitet, integritet og tilgjengelighet av informasjonsressurser lagret på eller behandlet gjennom informasjonssystemer som lagringsmedier, databaser og applikasjoner ved å etablere prinsipper for sikker systemutvikling.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet | #Beskytte | #Applikasjonssikkerhet | #Beskyttelse |
| #Integritet | #System- og nettverkssikkerhet | |||
| #Tilgjengelighet |
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Eierskap til kontroll 8.27
Sjef Informasjonssikkerhetsansvarlig bør holdes ansvarlig for etablering, vedlikehold og implementering av prinsipper som styrer sikker utvikling av informasjonssystemer.
Generell veiledning om samsvar
Kontroll 8.27 fremhever det organisasjoner bør integrere sikkerhet i alle lag av informasjonssystemer, inkludert forretningsprosesser, applikasjoner og dataarkitektur.
Dessuten, sikre ingeniørprinsipper bør gjelde for alle aktiviteter knyttet til informasjonssystemer og bør være gjenstand for regelmessig gjennomgang og oppdateringer som tar hensyn til nye trusler og angrepsmønstre.
I tillegg til informasjonssystemer utviklet og driftet internt, gjelder Kontroll 8.27 også informasjonssystemer laget av eksterne tjenesteleverandører.
Derfor bør organisasjoner sikre at tjenesteleverandørers praksis og standarder er i samsvar med deres egne sikre tekniske prinsipper.
Kontroll 8.27 krever sikre systemtekniske prinsipper for å dekke de åtte følgende problemene:
- Veiledning om brukerautentiseringsmetoder.
- Veiledning på sikker øktkontroll.
- Veiledning om datasanering og valideringsprosedyrer.
- Omfattende analyse av alle sikkerhetstiltak nødvendig for å beskytte informasjonsressurser og -systemer mot kjente trusler.
- Omfattende analyse av mulighetene til sikkerhetstiltak for å identifisere, eliminere og svare på sikkerhetstrusler.
- Analyserer sikkerhetstiltak brukt på spesifikke forretningsaktiviteter som kryptering av informasjon.
- Hvordan sikkerhetstiltak skal iverksettes og hvor. Dette kan inkludere integrering av en spesifikk sikkerhetskontroll innenfor teknisk infrastruktur.
- Hvordan ulike sikkerhetstiltak fungerer sammen og fungerer som et kombinert sett med kontroller.
Veiledning om Zero Trust-prinsippet
Organisasjoner bør vurdere følgende null-tillit-prinsipper:
- Starter med antakelsen om at organisasjonens systemer allerede er kompromittert og den definerte nettverksperifersikkerheten ikke lenger er effektiv.
- Vedta en "aldri stol på og alltid verifiser"-tilnærming for å gi tilgang til informasjonssystemer.
- Gir forsikring om at forespørsler til informasjonssystemer er beskyttet med ende-til-ende-kryptering.
- Implementering av verifikasjonsmekanisme som forutsetter tilgangsforespørsler til informasjon systemer er laget av eksterne, åpne nettverk.
- Å få på plass «minst privilegium» og dynamisk tilgangskontrollteknikker i samsvar med kontroll 5.15, 5,18 og 8.2. Dette dekker autentisering og autorisasjon av tilgangsforespørsler for sensitiv informasjon og informasjonssystemer som vurderer kontekstuell informasjon som brukeridentiteter som definert i kontroll 5.16 og informasjonsklassifisering som foreskrevet i kontroll 5.12.
- Alltid autentisere identiteten til rekvirenten og verifisere autorisasjonsforespørsler for å få tilgang til informasjonssystemer. Disse autentiserings- og verifiseringsprosedyrene skal utføres i samsvar med autentiseringsinformasjonen i Kontroll 5.17, Brukeridentiteter i Kontroll 5.16 og Multi-Factor in Control 8.5.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Hva bør sikre systemtekniske teknikker dekke?
- Vedta og implementere sikre arkitekturprinsipper, inkludert "sikkerhet ved design", "dybdeforsvar", "sikkert feil", "mistro input fra eksterne applikasjoner", "anta brudd", "minste privilegium", "brukervennlighet og administrerbarhet" og " minst funksjonalitet».
- Vedta og bruke en sikkerhetsfokusert designgjennomgangsprosess til oppdage informasjonssikkerhet sårbarheter og garantere at sikkerhetstiltak er identifisert og tilfredsstiller sikkerhetskrav.
- Dokumentere og anerkjenne sikkerhetstiltak som ikke oppfyller kravene.
- Systemherding.
Hvilke kriterier bør man vurdere når man designer sikre ingeniørprinsipper?
Organisasjoner bør vurdere følgende når de etablerer sikre systemtekniske prinsipper:
- Behovet for å integrere kontroller med spesifikk sikkerhetsarkitektur.
- Eksisterende teknisk sikkerhetsinfrastruktur, inkludert offentlig nøkkelinfrastruktur, identitetsadministrasjon og forebygging av datalekkasje.
- Om organisasjonen er i stand til å bygge og vedlikeholde den valgte teknologien.
- Kostnader og tid som kreves for å tilfredsstille sikkerhetskrav og kompleksiteten til slike krav.
- Eksisterende beste praksis.
Praktisk veiledning om anvendelse av sikre systemtekniske prinsipper
Kontroll 8.27 bemerker at organisasjoner kan sette sikre tekniske prinsipper ut i livet når de konfigurerer følgende:
- Feiltoleranse og lignende spenstmetoder.
- Segregeringsteknikker som virtualisering.
- Inngrepsmotstand.
Videre bruk av sikker virtualiseringsteknologi kan bidra til å eliminere risikoen avskjæring mellom to applikasjoner som kjører på samme enhet.
Til slutt påpekes det at bruk av manipulasjonsmotstandssystemer kan bidra til å identifisere både logisk og fysisk tukling med informasjonssystemer og forhindre uautorisert utvinning av informasjon.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Endringer og forskjeller fra ISO 27002:2013
27002:2022/8.27 replaces 27002:2013/(14.2.5)
2022-versjonen introduserer mer omfattende krav sammenlignet med 2013-versjonen:
- I motsetning til 2013-versjonen gir 2022-versjonen veiledning om hva sikre ingeniørprinsipper skal dekke.
- I motsetning til 2013-versjonen, adresserer 2022-versjonen hvilke kriterier organisasjoner bør vurdere når de utformer sikre systemtekniske prinsipper.
- 2022-versjonen inkluderer veiledning om null tillitsprinsippet. 2013-versjonen, derimot, dekket ikke dette.
- 2022-versjonen inneholder anbefalinger om hvilke sikre ingeniørteknikker som bør brukes som "sikkerhet ved design". I motsetning til 2022-versjonen, refererte ikke 2013-versjonen til slike teknikker.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | NEW | Trusselintelligens |
| 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 8.9 | NEW | Konfigurasjonsstyring |
| 8.10 | NEW | Sletting av informasjon |
| 8.11 | NEW | Datamaskering |
| 8.12 | NEW | Forebygging av datalekkasje |
| 8.16 | NEW | Overvåking av aktiviteter |
| 8.23 | NEW | Web-filtrering |
| 8.28 | NEW | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Hvordan ISMS.online hjelper
ISO 27002-implementering er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen. Din komplette samsvarsløsning for ISO / IEC 27002: 2022.
- Opptil 81 % fremgang fra du logger på.
- Enkel og total overholdelsesløsning.
Ta kontakt i dag for å bestill en demo.
