- Se ISO 27002:2022 Kontrol 8.28 for mere information.
ISO 27001 Annex A 8.28: Styrkelse af softwaresikkerhed med sikker kodning
Brugen af dårlig kodningspraksis, såsom ukorrekt inputvalidering og svag nøglegenerering, kan føre til cyberangreb og kompromittering af følsomme informationsaktiver.
Af denne grund udnyttede hackere den berygtede Heartbleed-fejl til at få adgang til mere end 4 millioner patientjournaler.
For at forhindre sikkerhedssårbarheder skal organisationer følge sikre kodningsprincipper.
Hvad er formålet med ISO 27001:2022 Annex A 8.28?
Per ISO 27001: 2022, Bilag A Kontrol 8.28 hjælper organisationer med at forhindre sikkerhedsrisici og sårbarheder, der kan opstå på grund af dårlig softwarekodningspraksis ved at udvikle, implementere og gennemgå passende sikker softwarekodningspraksis.
Hvem har ejerskab til bilag A 8.28?
En informationssikkerhedschef bør være ansvarlig for at tage passende skridt til at sikre overholdelse af 8.28, som kræver udvikling og implementering af sikre kodningsprincipper og -procedurer i hele organisationen.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Overholdelsesretningslinjer for ISO 27001:2022 Bilag A 8.28
Organisationer skal udvikle og implementere sikre kodningsprocesser, der gælder for produkter leveret af eksterne parter og open source softwarekomponenter, som beskrevet i ISO 27001 bilag A Kontrol 8.28.
Derudover bør organisationer forblive informeret om udvikling af sikkerhedstrusler i den virkelige verden og de seneste oplysninger om kendte eller potentielle softwaresikkerhedssårbarheder. Ved at bruge denne tilgang kan organisationer udvikle robuste, sikre kodningsprincipper at bekæmpe udviklende cybertrusler.
Supplerende vejledning om planlægning
Det er vigtigt, at både nye kodningsprojekter og genbrug af software overholder sikre softwarekodningsprincipper.
Disse principper bør overholdes både ved udvikling af software internt og ved overførsel af softwareprodukter eller -tjenester.
Organisationer bør overveje følgende faktorer, når de udvikler en plan for sikker kodningsprincipper og fastlægger forudsætninger for sikker kodning:
- Sikkerhedsforventninger bør skræddersyes til organisationens specifikke behov, og godkendte principper for sikker softwarekode bør etableres, så de gælder for intern software udvikling og outsourcet komponenter.
- Organisationer bør identificere og dokumentere de mest udbredte og historiske kodningsdesignfejl og dårlig kodningspraksis for at forhindre datasikkerhedsbrud.
- Organisationer bør implementere og konfigurere softwareudviklingsværktøjer for at sikre sikkerheden for al kode, der oprettes. Integrerede udviklingsmiljøer (IDE'er) er et eksempel på sådanne værktøjer.
- Softwareudviklingsværktøjer bør give vejledning og instruktioner til at hjælpe organisationer med at overholde retningslinjerne og instruktionerne.
- Udviklingsværktøjer såsom compilere bør gennemgås, vedligeholdes og bruges sikkert af organisationer.
Supplerende vejledning om sikkerhed under kodning
For at sikre sikker kodningspraksis og -procedurer bør følgende overvejes under kodningsprocessen:
- Kodningsprincipper for sikker software bør skræddersyes til hvert programmeringssprog og teknik.
- Testdrevet udvikling og parprogrammering er eksempler på sikre programmeringsteknikker og -metoder.
- Implementering af strukturerede programmeringsteknikker.
- Dokumentation af koden og fjernelse af fejl i koden.
- Det er forbudt at bruge usikre softwarekodningsmetoder, såsom ikke-godkendte kodeeksempler eller hårdkodede adgangskoder.
En sikkerhedstest bør udføres under og efter udvikling, som specificeret i ISO 27001 bilag A Kontrol 8.29.
Organisationer bør overveje følgende punkter, før de implementerer softwaren i et live applikationsmiljø:
- Er der en angrebsflade?
- Følges princippet om mindst privilegium?
- Analysere de mest udbredte programmeringsfejl og dokumentere deres eliminering.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Supplerende vejledning til gennemgangsprocessen
Efter implementeringen af kodekset i produktionsmiljøet
- En sikker metode bør bruges til at anvende opdateringer.
- Per ISO 27001:2022 Bilag A Kontrol 8.8, sikkerhedssårbarheder bør løses.
- Der bør føres registre over formodede angreb og fejl på informationssystemer, og disse registre bør gennemgås regelmæssigt, så der kan foretages passende ændringer.
- Brugen af værktøjer såsom administrationsværktøjer bør bruges til at forhindre uautoriseret adgang, brug eller ændring af kildekoden.
Organisationer bør overveje følgende faktorer, når de bruger eksterne værktøjer
- Regelmæssig overvågning og opdatering af eksterne biblioteker bør udføres efter deres udgivelsescyklusser.
- En grundig gennemgang, udvælgelse og godkendelse af softwarekomponenter er afgørende, især dem, der er relateret til kryptografi og autentificering.
- Indhentning af licenser til eksterne komponenter og sikring af deres sikkerhed.
- Der bør være et system til sporing og vedligeholdelse af software. Desuden skal det sikres, at det kommer fra en velrenommeret kilde.
- Det er vigtigt at have langsigtede udviklingsressourcer til rådighed.
Følgende faktorer bør tages i betragtning, når du foretager ændringer i en softwarepakke:
- Integritetsprocesser eller indbyggede kontroller kan udsætte en organisation for risici.
- Det er vigtigt at afgøre, om sælgeren har givet samtykke til ændringerne.
- Kan der indhentes leverandørens samtykke til at udføre regelmæssige opdateringer af softwaren?
- Den sandsynlige virkning af at vedligeholde softwaren, når den ændrer sig.
- Hvilken effekt vil ændringerne have på andre softwarekomponenter, som organisationen bruger?
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Yderligere vejledning om ISO 27001:2022 Bilag A 8.28
Organisationer skal sikre, at de bruger sikkerhedsrelevant kode, når det er nødvendigt, og at den er modstandsdygtig over for manipulation.
Bilag A Kontrol 8.28 i ISO 27001:2022 giver følgende anbefalinger til sikkerhedsrelevant kode:
- Mens programmer, der downloades via binær kode, vil inkludere sikkerhedsrelateret kode i selve applikationen, vil den være begrænset i omfang til data gemt internt i applikationen.
- Det er kun nyttigt at holde styr på sikkerhedsrelevant kode, hvis den køres på en server, der ikke kan tilgås af brugeren og er adskilt fra de processer, der bruger den, så dens data opbevares sikkert i en anden database og sikkert adskilt fra processerne der bruger det. Brugen af en cloud-tjeneste til at køre en fortolket kode er mulig, og du kan begrænse adgangen til koden til privilegerede administratorer for at begrænse adgangen til koden. Anbefalingen er, at disse adgangsrettigheder beskyttes med just-in-time administratorrettigheder og robuste autentificeringsmekanismer, der kun giver adgang til webstedet på det rigtige tidspunkt.
- En passende konfiguration bør implementeres på webservere for at forhindre uautoriseret adgang til og browsing af mapper på serveren.
- For at udvikle sikker applikationskode skal du antage, at koden er sårbar over for angreb på grund af kodefejl og handlinger udført af ondsindede aktører. En kritisk applikation bør være designet til at være immun over for interne fejl på en måde, der forhindrer den i at være tilbøjelig til fejl. For eksempel, når man evaluerer output fra en algoritme, er det muligt at sikre, at outputtet er i overensstemmelse med sikkerhedskravene, før algoritmen kan bruges i kritiske applikationer, såsom dem, der er relateret til økonomi, før den kan bruges i applikationen.
- På grund af mangel på god kodningspraksis er visse webapplikationer meget følsomme over for sikkerhedstrusler, såsom databaseinjektion og cross-site scripting-angreb.
- Det anbefales, at organisationer refererer til ISO/IEC 15408 for mere information om it-sikkerhedsevaluering og hvordan den udføres.
Hvad er ændringerne fra ISO 27001:2013?
Bilag A 8.28 er en ny bilag A kontrol, der er blevet tilføjet til ISO 27001:2022 standarden.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
ISO 27001:2022 Organisationskontrol
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
ISO 27001:2022 Personkontrol
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
ISO 27001:2022 Fysiske kontroller
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
ISO 27001:2022 Teknologiske kontroller
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online hjælper
Uanset om du er helt ny inden for informationssikkerhed eller ønsker at lære om ISO 27001 kortfattet uden at skulle bruge tid på at læse lange og detaljerede dokumenter eller lære fra bunden, er vores platform designet specifikt til dig.
Ved at bruge ISMS.Online får du nemt adgang til dokumentskabeloner, tjeklister og politikker, der kan tilpasses til dine behov.
Vil du se, hvordan det fungerer?
Kontakt i dag for book en demo.