ISO 27002:2022 – Kontrol 8.26 – Applikationssikkerhedskrav

Forståelse af ISO 27002 Control 8.26: Application Security Requirements

Applikationssoftwareprogrammer såsom webapplikationer, grafiksoftware, databasesoftware og betalingsbehandlingssoftware er afgørende for mange kritiske forretningsoperationer.

Disse applikationer er dog ofte udsat for sikkerhedssårbarheder, der kan resultere i kompromittering af følsomme oplysninger.

For eksempel undlod Equifax, et amerikansk-baseret kreditbureau, at anvende en sikkerhedsrettelse på en hjemmesideapplikationsramme, der blev brugt til at håndtere kundeklager. Cyberangriberne brugte sikkerhedsproblemer i webapplikationen for at infiltrere Equifax' virksomhedsnetværk og stjal følsomme data fra omkring 145 millioner mennesker.

Kontrol 8.26 omhandler hvordan organisationer kan etablere og anvende krav til informationssikkerhed til udvikling, brug og erhvervelse af applikationer.

Formål med kontrol 8.26

Kontrol 8.26 gør det muligt for organisationer at beskytte informationsaktiver, der er lagret på eller behandlet gennem applikationer, ved at identificere og anvende passende informationssikkerhedskrav.

Attributter Kontroltabel 8.26

Kontrol 8.26 er en forebyggende form for kontrol, der forhindrer risici for integriteten, tilgængeligheden og fortroligheden af ​​informationsaktiver, der er gemt på applikationen, gennem brug af passende informationssikkerhedsforanstaltninger.

Ejerskab af kontrol 8.26

Chief Information Security Officer bør med støtte fra informationssikkerhedsspecialister være ansvarlig for identifikation, godkendelse og implementering af informationskrav til erhvervelse, brug og udvikling af applikationer.

Generel vejledning om overholdelse

Generel vejledning bemærker, at organisationer bør udføre en risikovurdering for at bestemme typen af ​​informationssikkerhedskrav passende til en bestemt applikation.

Mens indholdet og typerne af krav til informationssikkerhed kan variere afhængigt af ansøgningens art, skal kravene omhandle følgende:

• Graden af ​​tillid, der er tildelt identiteten af ​​specifikke enheder i overensstemmelse med kontrol 5.17, 8.2 og 8.5.
• Identifikation af klassifikationsniveauet tildelt informationsaktiver skal opbevares på eller behandles af applikationen.
• Om der er behov for at adskille adgangen til funktioner og informationer, der er gemt på applikationen.
• Om applikationen er modstandsdygtig over for cyberangreb såsom SQL-injektioner eller utilsigtede aflytninger såsom bufferoverløb.
• Lovlige, regulatoriske og lovbestemte krav og standarder, der gælder for den transaktion, der behandles, genereres, lagres eller fuldføres af applikationen.
• Privatlivsovervejelser for alle involverede parter.
• Krav til beskyttelse af fortrolige data.
• Beskyttelse af information, når den er i brug, under transport eller i hvile.
• Hvorvidt sikker kryptering af kommunikation mellem alle relevante parter er nødvendig.
• Implementering af inputkontroller såsom inputvalidering eller udførelse af integritetstjek.
• Udførelse af automatiserede kontroller.
• Udførelse af outputkontroller under hensyntagen til, hvem der kan se output og autorisation til Access.
• Behov for at pålægge begrænsninger for indholdet af "fritekst" felter for at beskytte spredningen af ​​fortrolige data på en ukontrollerbar måde.
• Krav, der udspringer af forretningsbehov, såsom logning af transaktioner og krav om ikke-afvisning.
• Krav stillet af andre sikkerhedskontroller, såsom systemer til registrering af datalækage.
• Sådan håndteres fejlmeddelelser.

Supplerende vejledning om transaktionstjenester

Kontrol 8.26 kræver, at organisationer tager hensyn til følgende syv anbefalinger, når en applikation tilbyder transaktionstjenester mellem organisationen og en partner:

• Den grad af tillid, hver part i transaktionen kræver til den anden parts identitet.
• Graden af ​​tillid, der kræves til integriteten af ​​data, der kommunikeres eller behandles, og identifikation af en passende mekanisme til at opdage enhver mangel på integritet, herunder værktøjer som hashing og digitale signaturer.
• Etablering af en godkendelsesproces for, hvem der har tilladelse til at godkende indholdet af, underskrive eller underskrive væsentlige transaktionsdokumenter.
• Opretholdelse af fortroligheden og integriteten af ​​de kritiske dokumenter og bevis for afsendelse og modtagelse af sådanne dokumenter.
• Beskyttelse og vedligeholdelse af integriteten og fortroligheden af ​​alle transaktioner såsom ordrer og kvitteringer.
• Krav til hvilken periode transaktioner skal holdes fortrolige.
• Kontraktkrav og krav relateret til forsikring.

Supplerende vejledning om elektronisk bestilling og betalingsansøgninger

Når applikationer omfatter betalings- og elektronisk bestillingsfunktionalitet, bør organisationer tage følgende i betragtning:

• Krav sikrer, at fortroligheden og integriteten af ​​ordreoplysninger ikke kompromitteres.
• Bestemmelse af en passende grad af verifikation for at verificere betalingsoplysningerne angivet af en kunde.
• Forebyggelse af tab eller duplikering af transaktionsoplysninger.
• Sikring af, at information relateret til information opbevares uden for et offentligt tilgængeligt miljø som f.eks. på et lagringsmedie på organisationens eget intranet.
• Hvor organisationer er afhængige af en betroet ekstern autoritet, såsom til udstedelse af digitale signaturer, skal de sikre, at sikkerheden er integreret på tværs af hele processen.

Supplerende vejledning om netværk

Når applikationer tilgås via netværk, er de sårbare over for trusler såsom kontraktstridigheder, svigagtige aktiviteter, fejldirigering, uautoriserede ændringer af indholdet af kommunikation eller tab af fortrolighed af følsomme oplysninger.

Kontrol 8.26 anbefaler, at organisationer udfører omfattende risikovurderinger for at identificere passende kontroller såsom brug af kryptografi for at sikre sikkerheden ved informationsoverførsler.

Ændringer og forskelle fra ISO 27002:2013

27002:2022/8.26 erstatte 27002:2013/(14.1.2 og 14.1.3)

Der er tre store forskelle mellem de to versioner.

Alle applikationer vs applikationer, der passerer gennem offentlige netværk

ISO 27002:2013-versionen anførte ikke krav, der gælder for alle applikationer: Den gav en liste over informationssikkerhedskrav, der bør tages i betragtning for applikationer, der passerer gennem offentlige netværk.

Kontrol 8.26 i 2022-versionen, derimod en liste over informationssikkerhedskrav, der gælder for alle applikationer.

Yderligere vejledning om elektronisk bestilling og betalingsansøgninger

Kontrol 8.26 i 2022-versionen indeholder specifik vejledning vedr Elektroniske bestillings- og betalingsansøgninger. I modsætning hertil behandlede 2013-versionen ikke dette.

Yderligere krav om transaktionstjenester

Mens 2022-versionen og 2013-versionen er næsten identiske med hensyn til kravene til transaktionstjenester, introducerer 2022-versionen et yderligere krav, som ikke er behandlet i 2013-versionen:

• Organisationer bør overveje kontraktmæssige krav og krav relateret til forsikring.

Nye ISO 27002 kontroller

Hvordan ISMS.online hjælper

ISMS.online er en cloud-baseret løsning, der hjælper virksomheder med at vise overholdelse af ISO 27002. ISMS.online-løsningen kan bruges til at håndtere kravene til ISO 27002 og sikre, at din organisation forbliver i overensstemmelse med den nye standard.

Vores platform er brugervenlig og ligetil. Det er ikke kun for meget tekniske personer; det er for alle i din virksomhed.

Kontakt i dag for book en demo.