Forståelse af ISO 27002 Control 8.26: Application Security Requirements
Applikationssoftwareprogrammer såsom webapplikationer, grafiksoftware, databasesoftware og betalingsbehandlingssoftware er afgørende for mange kritiske forretningsoperationer.
Disse applikationer er dog ofte udsat for sikkerhedssårbarheder, der kan resultere i kompromittering af følsomme oplysninger.
For eksempel undlod Equifax, et amerikansk-baseret kreditbureau, at anvende en sikkerhedsrettelse på en hjemmesideapplikationsramme, der blev brugt til at håndtere kundeklager. Cyberangriberne brugte sikkerhedsproblemer i webapplikationen for at infiltrere Equifax' virksomhedsnetværk og stjal følsomme data fra omkring 145 millioner mennesker.
Kontrol 8.26 omhandler hvordan organisationer kan etablere og anvende krav til informationssikkerhed til udvikling, brug og erhvervelse af applikationer.
Formål med kontrol 8.26
Kontrol 8.26 gør det muligt for organisationer at beskytte informationsaktiver, der er lagret på eller behandlet gennem applikationer, ved at identificere og anvende passende informationssikkerhedskrav.
Attributter Kontroltabel 8.26
Kontrol 8.26 er en forebyggende form for kontrol, der forhindrer risici for integriteten, tilgængeligheden og fortroligheden af informationsaktiver, der er gemt på applikationen, gennem brug af passende informationssikkerhedsforanstaltninger.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | #Applikationssikkerhed | #Beskyttelse |
| #Integritet | #System- og netværkssikkerhed | #Forsvar | ||
| #Tilgængelighed |
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af kontrol 8.26
Chief Information Security Officer bør med støtte fra informationssikkerhedsspecialister være ansvarlig for identifikation, godkendelse og implementering af informationskrav til erhvervelse, brug og udvikling af applikationer.
Generel vejledning om overholdelse
Generel vejledning bemærker, at organisationer bør udføre en risikovurdering for at bestemme typen af informationssikkerhedskrav passende til en bestemt applikation.
Mens indholdet og typerne af krav til informationssikkerhed kan variere afhængigt af ansøgningens art, skal kravene omhandle følgende:
- Graden af tillid, der er tildelt identiteten af specifikke enheder i overensstemmelse med kontrol 5.17, 8.2 og 8.5.
- Identifikation af klassifikationsniveauet tildelt informationsaktiver skal opbevares på eller behandles af applikationen.
- Om der er behov for at adskille adgangen til funktioner og informationer, der er gemt på applikationen.
- Om applikationen er modstandsdygtig over for cyberangreb såsom SQL-injektioner eller utilsigtede aflytninger såsom bufferoverløb.
- Lovlige, regulatoriske og lovbestemte krav og standarder, der gælder for den transaktion, der behandles, genereres, lagres eller fuldføres af applikationen.
- Privatlivsovervejelser for alle involverede parter.
- Krav til beskyttelse af fortrolige data.
- Beskyttelse af information, når den er i brug, under transport eller i hvile.
- Hvorvidt sikker kryptering af kommunikation mellem alle relevante parter er nødvendig.
- Implementering af inputkontroller såsom inputvalidering eller udførelse af integritetstjek.
- Udførelse af automatiserede kontroller.
- Udførelse af outputkontroller under hensyntagen til, hvem der kan se output og autorisation til Access.
- Behov for at pålægge begrænsninger for indholdet af "fritekst" felter for at beskytte spredningen af fortrolige data på en ukontrollerbar måde.
- Krav, der udspringer af forretningsbehov, såsom logning af transaktioner og krav om ikke-afvisning.
- Krav stillet af andre sikkerhedskontroller, såsom systemer til registrering af datalækage.
- Sådan håndteres fejlmeddelelser.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Supplerende vejledning om transaktionstjenester
Kontrol 8.26 kræver, at organisationer tager hensyn til følgende syv anbefalinger, når en applikation tilbyder transaktionstjenester mellem organisationen og en partner:
- Den grad af tillid, hver part i transaktionen kræver til den anden parts identitet.
- Graden af tillid, der kræves til integriteten af data, der kommunikeres eller behandles, og identifikation af en passende mekanisme til at opdage enhver mangel på integritet, herunder værktøjer som hashing og digitale signaturer.
- Etablering af en godkendelsesproces for, hvem der har tilladelse til at godkende indholdet af, underskrive eller underskrive væsentlige transaktionsdokumenter.
- Opretholdelse af fortroligheden og integriteten af de kritiske dokumenter og bevis for afsendelse og modtagelse af sådanne dokumenter.
- Beskyttelse og vedligeholdelse af integriteten og fortroligheden af alle transaktioner såsom ordrer og kvitteringer.
- Krav til hvilken periode transaktioner skal holdes fortrolige.
- Kontraktkrav og krav relateret til forsikring.
Supplerende vejledning om elektronisk bestilling og betalingsansøgninger
Når applikationer omfatter betalings- og elektronisk bestillingsfunktionalitet, bør organisationer tage følgende i betragtning:
- Krav sikrer, at fortroligheden og integriteten af ordreoplysninger ikke kompromitteres.
- Bestemmelse af en passende grad af verifikation for at verificere betalingsoplysningerne angivet af en kunde.
- Forebyggelse af tab eller duplikering af transaktionsoplysninger.
- Sikring af, at information relateret til information opbevares uden for et offentligt tilgængeligt miljø som f.eks. på et lagringsmedie på organisationens eget intranet.
- Hvor organisationer er afhængige af en betroet ekstern autoritet, såsom til udstedelse af digitale signaturer, skal de sikre, at sikkerheden er integreret på tværs af hele processen.
Supplerende vejledning om netværk
Når applikationer tilgås via netværk, er de sårbare over for trusler såsom kontraktstridigheder, svigagtige aktiviteter, fejldirigering, uautoriserede ændringer af indholdet af kommunikation eller tab af fortrolighed af følsomme oplysninger.
Kontrol 8.26 anbefaler, at organisationer udfører omfattende risikovurderinger for at identificere passende kontroller såsom brug af kryptografi for at sikre sikkerheden ved informationsoverførsler.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
27002:2022/8.26 erstatte 27002:2013/(14.1.2 og 14.1.3)
Der er tre store forskelle mellem de to versioner.
Alle applikationer vs applikationer, der passerer gennem offentlige netværk
ISO 27002:2013-versionen anførte ikke krav, der gælder for alle applikationer: Den gav en liste over informationssikkerhedskrav, der bør tages i betragtning for applikationer, der passerer gennem offentlige netværk.
Kontrol 8.26 i 2022-versionen, derimod en liste over informationssikkerhedskrav, der gælder for alle applikationer.
Yderligere vejledning om elektronisk bestilling og betalingsansøgninger
Kontrol 8.26 i 2022-versionen indeholder specifik vejledning vedr Elektroniske bestillings- og betalingsansøgninger. I modsætning hertil behandlede 2013-versionen ikke dette.
Yderligere krav om transaktionstjenester
Mens 2022-versionen og 2013-versionen er næsten identiske med hensyn til kravene til transaktionstjenester, introducerer 2022-versionen et yderligere krav, som ikke er behandlet i 2013-versionen:
- Organisationer bør overveje kontraktmæssige krav og krav relateret til forsikring.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Hvordan ISMS.online hjælper
ISMS.online er en cloud-baseret løsning, der hjælper virksomheder med at vise overholdelse af ISO 27002. ISMS.online-løsningen kan bruges til at håndtere kravene til ISO 27002 og sikre, at din organisation forbliver i overensstemmelse med den nye standard.
Vores platform er brugervenlig og ligetil. Det er ikke kun for meget tekniske personer; det er for alle i din virksomhed.
Kontakt i dag for book en demo.
