ISO 27002:2022, Kontrol 8.26 – Applikationssikkerhedskrav

ISO 27002:2022 Reviderede kontroller

Book en demo

multiraciale, unge, kreative, mennesker, på, moderne, kontor., succesrig, hipster, team

Applikationssoftwareprogrammer såsom webapplikationer, grafiksoftware, databasesoftware og betalingsbehandlingssoftware er afgørende for mange kritiske forretningsoperationer.

Disse applikationer er dog ofte udsat for sikkerhedssårbarheder, der kan resultere i kompromittering af følsomme oplysninger.

For eksempel undlod Equifax, et amerikansk-baseret kreditbureau, at anvende en sikkerhedsrettelse på en hjemmesideapplikationsramme, der blev brugt til at håndtere kundeklager. Cyberangriberne brugte sikkerhedsproblemer i webapplikationen for at infiltrere Equifax' virksomhedsnetværk og stjal følsomme data fra omkring 145 millioner mennesker.

Kontrol 8.26 omhandler hvordan organisationer kan etablere og anvende krav til informationssikkerhed til udvikling, brug og erhvervelse af applikationer.

Formål med kontrol 8.26

Kontrol 8.26 gør det muligt for organisationer at beskytte informationsaktiver, der er lagret på eller behandlet gennem applikationer, ved at identificere og anvende passende informationssikkerhedskrav.

Attributter tabel

Kontrol 8.26 er en forebyggende form for kontrol, der forhindrer risici for integriteten, tilgængeligheden og fortroligheden af ​​informationsaktiver, der er gemt på applikationen, gennem brug af passende informationssikkerhedsforanstaltninger.

Kontrol type Informationssikkerhedsegenskaber CybersikkerhedskoncepterOperationelle evnerSikkerhedsdomæner
#Forebyggende#Fortrolighed
#Integritet
#Tilgængelighed		#Beskytte#Applikationssikkerhed
#System- og netværkssikkerhed		#Beskyttelse
#Forsvar
Gå til emne
Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

Ejerskab af kontrol 8.26

Chief Information Security Officer bør med støtte fra informationssikkerhedsspecialister være ansvarlig for identifikation, godkendelse og implementering af informationskrav til erhvervelse, brug og udvikling af applikationer.

Generel vejledning om overholdelse

Generel vejledning bemærker, at organisationer bør udføre en risikovurdering for at bestemme typen af ​​informationssikkerhedskrav passende til en bestemt applikation.

Mens indholdet og typerne af krav til informationssikkerhed kan variere afhængigt af ansøgningens art, skal kravene omhandle følgende:

  • Graden af ​​tillid, der er tildelt identiteten af ​​specifikke enheder i overensstemmelse med kontrol 5.17, 8.2 og 8.5.

  • Identifikation af klassifikationsniveauet tildelt informationsaktiver skal opbevares på eller behandles af applikationen.

  • Om der er behov for at adskille adgangen til funktioner og informationer, der er gemt på applikationen.

  • Om applikationen er modstandsdygtig over for cyberangreb såsom SQL-injektioner eller utilsigtede aflytninger såsom bufferoverløb.

  • Lovlige, regulatoriske og lovbestemte krav og standarder, der gælder for den transaktion, der behandles, genereres, lagres eller fuldføres af applikationen.

  • Privatlivsovervejelser for alle involverede parter.

  • Krav til beskyttelse af fortrolige data.

  • Beskyttelse af information, når den er i brug, under transport eller i hvile.

  • Hvorvidt sikker kryptering af kommunikation mellem alle relevante parter er nødvendig.

  • Implementering af inputkontroller såsom inputvalidering eller udførelse af integritetstjek.

  • Udførelse af automatiserede kontroller.

  • Udførelse af outputkontroller under hensyntagen til, hvem der kan se output og autorisation til Access.

  • Behov for at pålægge begrænsninger for indholdet af "fritekst" felter for at beskytte spredningen af ​​fortrolige data på en ukontrollerbar måde.

  • Krav, der udspringer af forretningsbehov, såsom logning af transaktioner og krav om ikke-afvisning.

  • Krav stillet af andre sikkerhedskontroller, såsom systemer til registrering af datalækage.

  • Sådan håndteres fejlmeddelelser.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Supplerende vejledning om transaktionstjenester

Kontrol 8.26 kræver, at organisationer tager hensyn til følgende syv anbefalinger, når en applikation tilbyder transaktionstjenester mellem organisationen og en partner:

  • Den grad af tillid, hver part i transaktionen kræver til den anden parts identitet.

  • Graden af ​​tillid, der kræves til integriteten af ​​data, der kommunikeres eller behandles, og identifikation af en passende mekanisme til at opdage enhver mangel på integritet, herunder værktøjer som hashing og digitale signaturer.

  • Etablering af en godkendelsesproces for, hvem der har tilladelse til at godkende indholdet af, underskrive eller underskrive væsentlige transaktionsdokumenter.

  • Opretholdelse af fortroligheden og integriteten af ​​de kritiske dokumenter og bevis for afsendelse og modtagelse af sådanne dokumenter.

  • Beskyttelse og vedligeholdelse af integriteten og fortroligheden af ​​alle transaktioner såsom ordrer og kvitteringer.

  • Krav til hvilken periode transaktioner skal holdes fortrolige.

  • Kontraktkrav og krav relateret til forsikring.

Supplerende vejledning om elektronisk bestilling og betalingsansøgninger

Når applikationer omfatter betalings- og elektronisk bestillingsfunktionalitet, bør organisationer tage følgende i betragtning:

  • Krav sikrer, at fortroligheden og integriteten af ​​ordreoplysninger ikke kompromitteres.

  • Bestemmelse af en passende grad af verifikation for at verificere betalingsoplysningerne angivet af en kunde.

  • Forebyggelse af tab eller duplikering af transaktionsoplysninger.

  • Sikring af, at information relateret til information opbevares uden for et offentligt tilgængeligt miljø som f.eks. på et lagringsmedie på organisationens eget intranet.

  • Hvor organisationer er afhængige af en betroet ekstern autoritet, såsom til udstedelse af digitale signaturer, skal de sikre, at sikkerheden er integreret på tværs af hele processen.

Supplerende vejledning om netværk

Når applikationer tilgås via netværk, er de sårbare over for trusler såsom kontraktstridigheder, svigagtige aktiviteter, fejldirigering, uautoriserede ændringer af indholdet af kommunikation eller tab af fortrolighed af følsomme oplysninger.

Kontrol 8.26 anbefaler, at organisationer udfører omfattende risikovurderinger for at identificere passende kontroller såsom brug af kryptografi for at sikre sikkerheden ved informationsoverførsler.

Er du klar til
den nye ISO 27002

Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo

Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

Ændringer og forskelle fra ISO 27002:2013

27002:2022/8.26 erstatte 27002:2013/(14.1.2 og 14.1.3)

Der er tre store forskelle mellem de to versioner.

Alle applikationer vs applikationer, der passerer gennem offentlige netværk

ISO 27002:2013-versionen anførte ikke krav, der gælder for alle applikationer: Den gav en liste over informationssikkerhedskrav, der bør tages i betragtning for applikationer, der passerer gennem offentlige netværk.

Kontrol 8.26 i 2022-versionen, derimod en liste over informationssikkerhedskrav, der gælder for alle applikationer.

Yderligere vejledning om elektronisk bestilling og betalingsansøgninger

Kontrol 8.26 i 2022-versionen indeholder specifik vejledning vedr Elektroniske bestillings- og betalingsansøgninger. I modsætning hertil behandlede 2013-versionen ikke dette.

Yderligere krav om transaktionstjenester

Mens 2022-versionen og 2013-versionen er næsten identiske med hensyn til kravene til transaktionstjenester, introducerer 2022-versionen et yderligere krav, som ikke er behandlet i 2013-versionen:

  • Organisationer bør overveje kontraktmæssige krav og krav relateret til forsikring.

Hvordan ISMS.online hjælper

ISMS.online er en cloud-baseret løsning, der hjælper virksomheder med at vise overholdelse af ISO 27002. ISMS.online-løsningen kan bruges til at håndtere kravene til ISO 27002 og sikre, at din organisation forbliver i overensstemmelse med den nye standard.

Vores platform er brugervenlig og ligetil. Det er ikke kun for meget tekniske personer; det er for alle i din virksomhed.

Kontakt i dag for book en demo.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.7NyTrusselsintelligens
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.30NyIKT-parathed til forretningskontinuitet
7.4NyFysisk sikkerhedsovervågning
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.16NyOvervågning af aktiviteter
8.23NyWebfiltrering
8.28NySikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.105.1.1, 05.1.2Politikker for informationssikkerhed
5.206.1.1Informationssikkerhedsroller og -ansvar
5.306.1.2Opdeling af pligter
5.407.2.1Ledelsesansvar
5.506.1.3Kontakt med myndigheder
5.606.1.4Kontakt til særlige interessegrupper
5.7NyTrusselsintelligens
5.806.1.5, 14.1.1Informationssikkerhed i projektledelse
5.908.1.1, 08.1.2Opgørelse af information og andre tilhørende aktiver
5.1008.1.3, 08.2.3Acceptabel brug af information og andre tilknyttede aktiver
5.1108.1.4Tilbagelevering af aktiver
5.12 08.2.1Klassificering af oplysninger
5.1308.2.2Mærkning af information
5.1413.2.1, 13.2.2, 13.2.3Informationsoverførsel
5.1509.1.1, 09.1.2Adgangskontrol
5.1609.2.1Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3Godkendelsesoplysninger
5.1809.2.2, 09.2.5, 09.2.6Adgangsrettigheder
5.1915.1.1Informationssikkerhed i leverandørforhold
5.2015.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
5.2115.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
5.2215.2.1, 15.2.2Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.2416.1.1Planlægning og forberedelse af informationssikkerhedshændelser
5.2516.1.4Vurdering og beslutning om informationssikkerhedshændelser
5.2616.1.5Reaktion på informationssikkerhedshændelser
5.2716.1.6Lær af informationssikkerhedshændelser
5.2816.1.7Indsamling af beviser
5.2917.1.1, 17.1.2, 17.1.3Informationssikkerhed under afbrydelse
5.30NyIKT-parathed til forretningskontinuitet
5.3118.1.1, 18.1.5Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.3218.1.2Intellektuelle ejendomsrettigheder
5.3318.1.3Beskyttelse af optegnelser
5.3418.1.4Privatliv og beskyttelse af PII
5.3518.2.1Uafhængig gennemgang af informationssikkerhed
5.3618.2.2, 18.2.3Overholdelse af politikker, regler og standarder for informationssikkerhed
5.3712.1.1Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansættelse
6.307.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
6.407.2.3Disciplinær proces
6.507.3.1Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.613.2.4Aftaler om fortrolighed eller tavshedspligt
6.706.2.2Fjernbetjening
6.816.1.2, 16.1.3Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
7.111.1.1Fysiske sikkerhedsomkredse
7.211.1.2, 11.1.6Fysisk adgang
7.311.1.3Sikring af kontorer, lokaler og faciliteter
7.4NyFysisk sikkerhedsovervågning
7.511.1.4Beskyttelse mod fysiske og miljømæssige trusler
7.611.1.5Arbejde i sikre områder
7.711.2.9Overskueligt skrivebord og klar skærm
7.811.2.1Udstyrsplacering og beskyttelse
7.911.2.6Sikkerhed af aktiver uden for lokalerne
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagermedier
7.1111.2.2Understøttende hjælpeprogrammer
7.1211.2.3Kabler sikkerhed
7.1311.2.4Vedligeholdelse af udstyr
7.1411.2.7Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
8.106.2.1, 11.2.8Bruger slutpunktsenheder
8.209.2.3Privilegerede adgangsrettigheder
8.309.4.1Begrænsning af informationsadgang
8.409.4.5Adgang til kildekode
8.509.4.2Sikker autentificering
8.612.1.3Kapacitetsstyring
8.712.2.1Beskyttelse mod malware
8.812.6.1, 18.2.3Håndtering af tekniske sårbarheder
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.1312.3.1Sikkerhedskopiering af information
8.1417.2.1Redundans af informationsbehandlingsfaciliteter
8.1512.4.1, 12.4.2, 12.4.3Logning
8.16NyOvervågning af aktiviteter
8.1712.4.4Ur synkronisering
8.1809.4.4Brug af privilegerede hjælpeprogrammer
8.1912.5.1, 12.6.2Installation af software på operativsystemer
8.2013.1.1Netværkssikkerhed
8.2113.1.2Sikkerhed af netværkstjenester
8.2213.1.3Adskillelse af netværk
8.23NyWebfiltrering
8.2410.1.1, 10.1.2Brug af kryptografi
8.2514.2.1Sikker udviklingslivscyklus
8.2614.1.2, 14.1.3Krav til applikationssikkerhed
8.2714.2.5Sikker systemarkitektur og tekniske principper
8.28NySikker kodning
8.2914.2.8, 14.2.9Sikkerhedstest i udvikling og accept
8.3014.2.7Udliciteret udvikling
8.3112.1.4, 14.2.6Adskillelse af udviklings-, test- og produktionsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Forandringsledelse
8.3314.3.1Testinformation
8.3412.7.1Beskyttelse af informationssystemer under revisionstest
Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere