ISO 27001:2022 Bilag A Kontrol 8.28

Overholdelsesretningslinjer for ISO 27001:2022 Bilag A 8.28

Organisationer skal udvikle og implementere sikre kodningsprocesser, der gælder for produkter leveret af eksterne parter og open source softwarekomponenter, som beskrevet i ISO 27001 bilag A Kontrol 8.28.

Derudover bør organisationer forblive informeret om udvikling af sikkerhedstrusler i den virkelige verden og de seneste oplysninger om kendte eller potentielle softwaresikkerhedssårbarheder. Ved at bruge denne tilgang kan organisationer udvikle robuste, sikre kodningsprincipper at bekæmpe udviklende cybertrusler.

Supplerende vejledning om planlægning

Det er vigtigt, at både nye kodningsprojekter og genbrug af software overholder sikre softwarekodningsprincipper.

Disse principper bør overholdes både ved udvikling af software internt og ved overførsel af softwareprodukter eller -tjenester.

Organisationer bør overveje følgende faktorer, når de udvikler en plan for sikker kodningsprincipper og fastlægger forudsætninger for sikker kodning:

• Sikkerhedsforventninger bør skræddersyes til organisationens specifikke behov, og godkendte principper for sikker softwarekode bør etableres, så de gælder for intern software udvikling og outsourcet komponenter.
• Organisationer bør identificere og dokumentere de mest udbredte og historiske kodningsdesignfejl og dårlig kodningspraksis for at forhindre datasikkerhedsbrud.
• Organisationer bør implementere og konfigurere softwareudviklingsværktøjer for at sikre sikkerheden for al kode, der oprettes. Integrerede udviklingsmiljøer (IDE'er) er et eksempel på sådanne værktøjer.
• Softwareudviklingsværktøjer bør give vejledning og instruktioner til at hjælpe organisationer med at overholde retningslinjerne og instruktionerne.
• Udviklingsværktøjer såsom compilere bør gennemgås, vedligeholdes og bruges sikkert af organisationer.

Supplerende vejledning om sikkerhed under kodning

For at sikre sikker kodningspraksis og -procedurer bør følgende overvejes under kodningsprocessen:

• Kodningsprincipper for sikker software bør skræddersyes til hvert programmeringssprog og teknik.
• Testdrevet udvikling og parprogrammering er eksempler på sikre programmeringsteknikker og -metoder.
• Implementering af strukturerede programmeringsteknikker.
• Dokumentation af koden og fjernelse af fejl i koden.
• Det er forbudt at bruge usikre softwarekodningsmetoder, såsom ikke-godkendte kodeeksempler eller hårdkodede adgangskoder.

En sikkerhedstest bør udføres under og efter udvikling, som specificeret i ISO 27001 bilag A Kontrol 8.29.

Organisationer bør overveje følgende punkter, før de implementerer softwaren i et live applikationsmiljø:

• Er der en angrebsflade?
• Følges princippet om mindst privilegium?
• Analysere de mest udbredte programmeringsfejl og dokumentere deres eliminering.

Supplerende vejledning til gennemgangsprocessen

Efter implementeringen af ​​kodekset i produktionsmiljøet

• En sikker metode bør bruges til at anvende opdateringer.
• Per ISO 27001:2022 Bilag A Kontrol 8.8, sikkerhedssårbarheder bør løses.
• Der bør føres registre over formodede angreb og fejl på informationssystemer, og disse registre bør gennemgås regelmæssigt, så der kan foretages passende ændringer.
• Brugen af ​​værktøjer såsom administrationsværktøjer bør bruges til at forhindre uautoriseret adgang, brug eller ændring af kildekoden.

Organisationer bør overveje følgende faktorer, når de bruger eksterne værktøjer

• Regelmæssig overvågning og opdatering af eksterne biblioteker bør udføres efter deres udgivelsescyklusser.
• En grundig gennemgang, udvælgelse og godkendelse af softwarekomponenter er afgørende, især dem, der er relateret til kryptografi og autentificering.
• Indhentning af licenser til eksterne komponenter og sikring af deres sikkerhed.
• Der bør være et system til sporing og vedligeholdelse af software. Desuden skal det sikres, at det kommer fra en velrenommeret kilde.
• Det er vigtigt at have langsigtede udviklingsressourcer til rådighed.

Følgende faktorer bør tages i betragtning, når du foretager ændringer i en softwarepakke:

• Integritetsprocesser eller indbyggede kontroller kan udsætte en organisation for risici.
• Det er vigtigt at afgøre, om sælgeren har givet samtykke til ændringerne.
• Kan der indhentes leverandørens samtykke til at udføre regelmæssige opdateringer af softwaren?
• Den sandsynlige virkning af at vedligeholde softwaren, når den ændrer sig.
• Hvilken effekt vil ændringerne have på andre softwarekomponenter, som organisationen bruger?

Yderligere vejledning om ISO 27001:2022 Bilag A 8.28

Organisationer skal sikre, at de bruger sikkerhedsrelevant kode, når det er nødvendigt, og at den er modstandsdygtig over for manipulation.

Bilag A Kontrol 8.28 i ISO 27001:2022 giver følgende anbefalinger til sikkerhedsrelevant kode:

• Mens programmer, der downloades via binær kode, vil inkludere sikkerhedsrelateret kode i selve applikationen, vil den være begrænset i omfang til data gemt internt i applikationen.
• Det er kun nyttigt at holde styr på sikkerhedsrelevant kode, hvis den køres på en server, der ikke kan tilgås af brugeren og er adskilt fra de processer, der bruger den, så dens data opbevares sikkert i en anden database og sikkert adskilt fra processerne der bruger det. Brugen af ​​en cloud-tjeneste til at køre en fortolket kode er mulig, og du kan begrænse adgangen til koden til privilegerede administratorer for at begrænse adgangen til koden. Anbefalingen er, at disse adgangsrettigheder beskyttes med just-in-time administratorrettigheder og robuste autentificeringsmekanismer, der kun giver adgang til webstedet på det rigtige tidspunkt.
• En passende konfiguration bør implementeres på webservere for at forhindre uautoriseret adgang til og browsing af mapper på serveren.
• For at udvikle sikker applikationskode skal du antage, at koden er sårbar over for angreb på grund af kodefejl og handlinger udført af ondsindede aktører. En kritisk applikation bør være designet til at være immun over for interne fejl på en måde, der forhindrer den i at være tilbøjelig til fejl. For eksempel, når man evaluerer output fra en algoritme, er det muligt at sikre, at outputtet er i overensstemmelse med sikkerhedskravene, før algoritmen kan bruges i kritiske applikationer, såsom dem, der er relateret til økonomi, før den kan bruges i applikationen.
• På grund af mangel på god kodningspraksis er visse webapplikationer meget følsomme over for sikkerhedstrusler, såsom databaseinjektion og cross-site scripting-angreb.
• Det anbefales, at organisationer refererer til ISO/IEC 15408 for mere information om it-sikkerhedsevaluering og hvordan den udføres.

Hvad er ændringerne fra ISO 27001:2013?

Bilag A 8.28 er en ny bilag A kontrol, der er blevet tilføjet til ISO 27001:2022 standarden.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvordan ISMS.online hjælper

Uanset om du er helt ny inden for informationssikkerhed eller ønsker at lære om ISO 27001 kortfattet uden at skulle bruge tid på at læse lange og detaljerede dokumenter eller lære fra bunden, er vores platform designet specifikt til dig.

Ved at bruge ISMS.Online får du nemt adgang til dokumentskabeloner, tjeklister og politikker, der kan tilpasses til dine behov.

Vil du se, hvordan det fungerer?

Kontakt i dag for book en demo.