ISO 27002:2022, Kontroll 8.28 – Sikker koding

ISO 27002:2022 Reviderte kontroller

Bestill en demonstrasjon

mann, hender, jobber, på, bærbar PC

Dårlig kodingspraksis som feilaktig validering av inndata og svak nøkkelgenerering kan utsette informasjonssystemer for sikkerhetssårbarheter og resultere i cyberangrep og kompromittering av sensitive informasjonsressurser.

For eksempel i det beryktede Hjerteblødningsfeil, hackere utnyttet feilaktig inndatavalidering i koden for å få tilgang til mer enn 4 millioner pasientdata.

Derfor bør organisasjoner sørge for at sikre kodingsprinsipper følges slik at dårlig kodingspraksis ikke fører til sikkerhetssårbarheter.

Formål med kontroll 8.28

Kontroll 8.28 gjør det mulig for organisasjoner å forhindre sikkerhetsrisikoer og sårbarheter som kan oppstå som følge av dårlig programvarekodingspraksis ved å designe, implementere og gjennomgå passende kodeprinsipper for sikker programvare.

Attributttabell

Kontroll 8.28 er en forebyggende type kontroll som hjelper organisasjoner å opprettholde sikkerheten til nettverk, systemer og applikasjoner ved å eliminere risikoer som kan oppstå på grunn av dårlig utformet programvarekode.

KontrolltypeInformasjonssikkerhetsegenskaperKonsepter for cybersikkerhetOperasjonelle evnerSikkerhetsdomener
#Forebyggende #Konfidensialitet
#Integritet
#Tilgjengelighet		#Beskytte #Applikasjonssikkerhet
#System- og nettverkssikkerhet		#Beskyttelse
Gå til emnet
Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Eierskap til kontroll 8.28

Tatt i betraktning at 8.28 krever utforming og implementering av organisasjonsomfattende sikre kodingsprinsipper og -prosedyrer, bør informasjonssikkerhetssjefen være ansvarlig for å ta passende skritt for samsvar.

Generell veiledning om samsvar

Kontroll 8.28 krever at organisasjoner etablerer og implementerer organisasjonsomfattende prosesser for sikker koding som gjelder både programvareprodukter hentet fra eksterne parter og programvarekomponenter med åpen kildekode.

I tillegg bør organisasjoner holde seg oppdatert med nye sikkerhetstrusler i den virkelige verden og med den nyeste informasjonen om kjente eller potensielle sikkerhetssårbarheter i programvaren. Dette vil gjøre det mulig for organisasjoner å forbedre og implementere robuste kodeprinsipper for sikker programvare som er effektive mot nye cybertrusler.

Utfyllende veiledning om planlegging

Sikker programvarekodingsprinsipper bør følges både for nye kodeprosjekter og for gjenbruk av programvare.

Disse prinsippene bør følges både for interne programvareutviklingsaktiviteter og for overføring av organisasjonens programvareprodukter eller tjenester til tredjeparter.

Ved etablering av en plan for sikker koding og fastsettelse av forutsetninger for sikker koding, bør organisasjoner overholde følgende:

  • Organisasjoner bør fastsette sikkerhetsforventninger skreddersydd til deres behov og etablere godkjente prinsipper for sikker programvarekoding som vil gjelde både intern programvareutvikling og outsourcede programvarekomponenter.

  • Organisasjoner bør oppdage og dokumentere de mest utbredte og historisk dårlige kodedesignpraksisene og feilene som resulterer i kompromittering av informasjonssikkerhet.

  • Organisasjoner bør sette på plass og konfigurere programvareutviklingsverktøy for å sikre sikkerheten til all kode som lages. Et eksempel på slike verktøy er integrerte utviklingsmiljøer (IDE).

  • Organisasjoner bør oppnå samsvar med veiledningen og instruksjonene gitt av programvareutviklingsverktøy.

  • Organisasjoner bør gjennomgå, vedlikeholde og sikkert bruke utviklingsverktøy som kompilatorer.

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Supplerende veiledning om sikkerhet under koding

Sikker kodingspraksis og prosedyrer bør ta hensyn til følgende for kodingsprosessen:

  • Sikker programvarekodingsprinsipper bør skreddersys til hvert programmeringsspråk og teknikk som brukes.

  • Utplassering av sikre programmeringsteknikker og metoder som testdrevet utvikling og parprogrammering.

  • Bruk av strukturerte programmeringsmetoder.

  • Riktig kodedokumentasjon og fjerning av kodefeil.

  • Forbud mot bruk av usikre programvarekodingsmetoder som ikke-godkjente kodeeksempler eller hardkodede passord.

Supplerende veiledning bemerker også at sikkerhetstesting bør utføres både under og etter utviklingen i henhold til Kontroll 8.29.

Før programvaren tas i bruk i live-applikasjonsmiljøet, bør organisasjoner vurdere følgende:

  • Hva er angrepsflaten?

  • Følges prinsippet om minste privilegium?

  • Gjennomføre en analyse av de mest utbredte programmeringsfeilene og dokumentere at disse risikoene er eliminert.

Supplerende veiledning om gjennomgangsprosess

Etter at koden er tatt i bruk i produksjonsmiljøet

  • Oppdateringer bør brukes på en sikker måte.

  • Sikkerhetssårbarheter rapportert i tråd med kontroll 8.8 bør løses.

  • Mistenkte angrep på informasjonssystemer og feil bør registreres, og disse postene bør gjennomgås med jevne mellomrom, slik at passende endringer i koden kan gjøres.

  • Uautorisert tilgang til, bruk av eller endringer i kildekoden bør forhindres via mekanismer som administrasjonsverktøy.

Når organisasjoner bruker eksterne verktøy, bør de ta hensyn til følgende

  • Eksterne biblioteker bør overvåkes og oppdateres med jevne mellomrom basert på utgivelsessyklusene deres.

  • Programvarekomponenter bør kontrolleres, velges og autoriseres nøye, spesielt kryptografi- og autentiseringskomponenter.

  • Lisensering av eksterne komponenter og sikring av deres sikkerhet.

  • Programvare bør spores og vedlikeholdes. Videre må det sikres at det kommer fra en pålitelig kilde.

  • Utviklingsressurser bør være tilgjengelig på lang sikt.

Når du gjør endringer i en programvarepakke, bør følgende vurderes

  • Risikoer som kan oppstå på grunn av innebygde kontroller eller kompromittering av integritetsprosesser.

  • Hvorvidt leverandøren gir samtykke til endringer.

  • Om det er mulig å få samtykke fra programvareleverandøren for regelmessige oppdateringer.

  • Den sannsynlige virkningen av å fortsette vedlikeholdet av programvaren som oppstår som følge av endringer.

  • Om endringene vil være kompatible med andre programvarekomponenter som brukes av organisasjonen.

Er du klar for
den nye ISO 27002

Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

Ytterligere veiledning om kontroll 8.28

Organisasjoner bør sørge for at sikkerhetsrelevant kode brukes når det er nødvendig og er motstandsdyktig mot tukling.

Kontroll 8.28 viser også følgende anbefalinger for sikkerhetsrelevant kode:

  • Mens programmer installert via binær kode inkluderer sikkerhetsrelevant kode, er dette begrenset til dataene som er lagret i selve applikasjonen.

  • Konseptet med sikkerhetsrelevant kode er bare nyttig når koden kjøres på en server som ikke er tilgjengelig for brukeren og den er adskilt fra prosessene som bruker den og dens data holdes sikkert i en annen database. Du kan for eksempel kjøre en tolket kode på en skytjeneste og tilgang til kode kan begrenses til privilegerte administratorer. Det anbefales at du beskytter disse tilgangsrettighetene via metoder som just-in-time administratorrettigheter og robuste autentiseringsmekanismer.

  • Passende konfigurasjoner på webservere bør implementeres for å forhindre uautorisert tilgang til og surfing i katalogen.

  • Når du designer applikasjonskode, bør du starte med antagelsen om at koden er sårbar for angrep på grunn av kodefeil og handlinger fra ondsinnede aktører. Du bør designe kritiske applikasjoner på en måte som ikke er sårbare for interne feil. For eksempel kan utdataene som produseres av en algoritme gjennomgås for å sikre at den samsvarer med sikkerhetskravene før den kan brukes i kritiske applikasjoner som finansrelaterte applikasjoner.

  • Enkelte nettapplikasjoner er svært sårbare for sikkerhetstrusler på grunn av dårlig kodingspraksis som databaseinjeksjon og skriptangrep på tvers av nettsteder.

  • Organisasjoner bør henvise til ISO/IEC 15408-serien for mer informasjon om IT-sikkerhetsevaluering.

Endringer og forskjeller fra ISO 27002:2013

27002:2022/8.28 er en ny type kontroll.

Hvordan ISMS.online hjelper

Plattformen vår er utviklet spesielt for de som er nye innen informasjonssikkerhet eller trenger en enkel måte å lære om ISO 27002 uten å måtte bruke tid på å lære fra bunnen av eller lese gjennom lange dokumenter.

ISMS.Online er utstyrt med alle verktøyene som trengs for å oppnå samsvar, inkludert dokumentmaler, sjekklister og retningslinjer som kan tilpasses etter dine behov.

Vil du se hvordan det fungerer?

Ta kontakt i dag for å bestill en demo.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.7NyTrusselintelligens
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.30NyIKT-beredskap for forretningskontinuitet
7.4NyFysisk sikkerhetsovervåking
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.16NyOvervåking av aktiviteter
8.23NyWeb-filtrering
8.28NySikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.105.1.1, 05.1.2Retningslinjer for informasjonssikkerhet
5.206.1.1Informasjonssikkerhetsroller og ansvar
5.306.1.2Ansvarsfordeling
5.407.2.1Lederansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med interessegrupper
5.7NyTrusselintelligens
5.806.1.5, 14.1.1Informasjonssikkerhet i prosjektledelse
5.908.1.1, 08.1.2Inventar av informasjon og andre tilhørende eiendeler
5.1008.1.3, 08.2.3Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.1108.1.4Retur av eiendeler
5.12 08.2.1Klassifisering av informasjon
5.1308.2.2Merking av informasjon
5.1413.2.1, 13.2.2, 13.2.3Informasjonsoverføring
5.1509.1.1, 09.1.2Adgangskontroll
5.1609.2.1Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformasjon
5.1809.2.2, 09.2.5, 09.2.6Tilgangsrettigheter
5.1915.1.1Informasjonssikkerhet i leverandørforhold
5.2015.1.2Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.2115.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.2215.2.1, 15.2.2Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.2416.1.1Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.2516.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
5.2616.1.5Respons på informasjonssikkerhetshendelser
5.2716.1.6Lær av informasjonssikkerhetshendelser
5.2816.1.7Innsamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informasjonssikkerhet under avbrudd
5.30NyIKT-beredskap for forretningskontinuitet
5.3118.1.1, 18.1.5Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.3218.1.2Immaterielle rettigheter
5.3318.1.3Beskyttelse av poster
5.3418.1.4Personvern og beskyttelse av PII
5.3518.2.1Uavhengig gjennomgang av informasjonssikkerhet
5.3618.2.2, 18.2.3Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.3712.1.1Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansettelsen
6.307.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.407.2.3Disiplinær prosess
6.507.3.1Ansvar etter oppsigelse eller endring av arbeidsforhold
6.613.2.4Avtaler om konfidensialitet eller taushetsplikt
6.706.2.2Fjernarbeid
6.816.1.2, 16.1.3Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
7.111.1.1Fysiske sikkerhetsomkretser
7.211.1.2, 11.1.6Fysisk inngang
7.311.1.3Sikring av kontorer, rom og fasiliteter
7.4NyFysisk sikkerhetsovervåking
7.511.1.4Beskyttelse mot fysiske og miljømessige trusler
7.611.1.5Arbeid i sikre områder
7.711.2.9Oversiktlig skrivebord og oversiktlig skjerm
7.811.2.1Utstyrsplassering og beskyttelse
7.911.2.6Sikkerhet av eiendeler utenfor lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedier
7.1111.2.2Støtteverktøy
7.1211.2.3Kablingssikkerhet
7.1311.2.4Vedlikehold av utstyr
7.1411.2.7Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
8.106.2.1, 11.2.8Brukerendepunktsenheter
8.209.2.3Privilegerte tilgangsrettigheter
8.309.4.1Begrensning av informasjonstilgang
8.409.4.5Tilgang til kildekode
8.509.4.2Sikker autentisering
8.612.1.3Kapasitetsstyring
8.712.2.1Beskyttelse mot skadelig programvare
8.812.6.1, 18.2.3Håndtering av tekniske sårbarheter
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.1312.3.1Sikkerhetskopiering av informasjon
8.1417.2.1Redundans av informasjonsbehandlingsanlegg
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NyOvervåking av aktiviteter
8.1712.4.4Kloksynkronisering
8.1809.4.4Bruk av privilegerte hjelpeprogrammer
8.1912.5.1, 12.6.2Installasjon av programvare på operasjonssystemer
8.2013.1.1Nettverkssikkerhet
8.2113.1.2Sikkerhet for nettverkstjenester
8.2213.1.3Segregering av nettverk
8.23NyWeb-filtrering
8.2410.1.1, 10.1.2Bruk av kryptografi
8.2514.2.1Sikker utviklingslivssyklus
8.2614.1.2, 14.1.3Krav til applikasjonssikkerhet
8.2714.2.5Sikker systemarkitektur og tekniske prinsipper
8.28NySikker koding
8.2914.2.8, 14.2.9Sikkerhetstesting i utvikling og aksept
8.3014.2.7Utkontraktert utvikling
8.3112.1.4, 14.2.6Separasjon av utviklings-, test- og produksjonsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Endringsledelse
8.3314.3.1Testinformasjon
8.3412.7.1Beskyttelse av informasjonssystemer under revisjonstesting
Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer