Implementering af ISO 27002 Control 8.27 for Stronger Security
Komplekse sammensætninger af moderne informationssystemer og det stadigt skiftende cybersikkerhedstrussellandskab gør informationssystemer mere sårbare over for kendte og potentielle sikkerhedstrusler.
Kontrol 8.27, omhandler, hvordan organisationer kan eliminere sikkerhedstrusler mod informationssystemer ved at skabe sikre systemtekniske principper som anvendes på alle faser af informationssystemets livscyklus.
Formål med kontrol 8.27
Kontrol 8.27 gør det muligt for organisationer at vedligeholde informationssystemers sikkerhed under design-, implementerings- og driftsstadierne ved at etablere og implementere sikre systemingeniørprincipper, som systemingeniører overholder.
Attributter Kontroltabel 8.27
Kontrol 8.27 er en forebyggende form for kontrol, der kræver, at organisationer eliminerer kendte og potentielle trusler mod fortrolighed, integritet og tilgængelighed af informationsaktiver lagret på eller behandlet gennem informationssystemer såsom lagringsmedier, databaser og applikationer via etablering af principper for sikker systemudvikling.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | #Applikationssikkerhed | #Beskyttelse |
| #Integritet | #System- og netværkssikkerhed | |||
| #Tilgængelighed |
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af kontrol 8.27
Chief Information Security Officer bør holdes ansvarlig til etablering, vedligeholdelse og implementering af principper, der styrer sikker konstruktion af informationssystemer.
Generel vejledning om overholdelse
Kontrol 8.27 fremhæver det organisationer bør integrere sikkerhed i alle lag af informationssystemer, herunder forretningsprocesser, applikationer og dataarkitektur.
Endvidere sikre tekniske principper bør gælde for alle aktiviteter relateret til informationssystemer og bør regelmæssigt gennemgås og opdateres under hensyntagen til nye trusler og angrebsmønstre.
Ud over informationssystemer, der er udviklet og drevet internt, gælder Kontrol 8.27 også for informationssystemer, der er oprettet af eksterne tjenesteudbydere.
Derfor bør organisationer sikre, at tjenesteudbyderes praksis og standarder er i overensstemmelse med deres egne sikre tekniske principper.
Kontrol 8.27 kræver sikre systemtekniske principper for at dække de otte følgende problemer:
- Vejledning om brugergodkendelsesmetoder.
- Vejledning om sikker sessionskontrol.
- Vejledning om datasanering og valideringsprocedurer.
- Omfattende analyse af alle sikkerhedsforanstaltninger nødvendige for at beskytte informationsaktiver og -systemer mod kendte trusler.
- Omfattende analyse af mulighederne for sikkerhedsforanstaltninger til at identificere, eliminere og reagere på sikkerhedstrusler.
- Analyserer sikkerhedsforanstaltninger, der anvendes på specifikke forretningsaktiviteter såsom kryptering af information.
- Hvordan sikkerhedsforanstaltninger vil blive implementeret og hvor. Dette kan omfatte integration af en specifik sikkerhedskontrol inden for teknisk infrastruktur.
- Hvordan forskellige sikkerhedsforanstaltninger arbejder sammen og fungerer som et kombineret sæt af kontroller.
Vejledning om Zero Trust-princippet
Organisationer bør overveje følgende nul-tillid principper:
- Startende med antagelsen om, at organisationens systemer allerede er kompromitteret, og den definerede netværksperimetersikkerhed ikke længere er effektiv.
- Vedtagelse af en "aldrig stol på og altid verificere" tilgang til at give adgang til informationssystemer.
- Giver sikkerhed for, at anmodninger til informationssystemer er beskyttet med ende-til-ende-kryptering.
- Implementering af verifikationsmekanisme, der forudsætter anmodninger om adgang til oplysninger systemer er lavet af eksterne, åbne netværk.
- Indførelse af "mindste privilegium" og dynamisk adgangskontrol teknikker i overensstemmelse med kontrol 5.15, 5,18, 8.2 og 5.16. Dette dækker godkendelse og godkendelse af adgangsanmodninger til følsomme informationer og informationssystemer, der tager hensyn til kontekstuelle oplysninger såsom brugeridentiteter som defineret i kontrol 5.12 og informationsklassificering som foreskrevet i kontrol XNUMX.
- Autentificerer altid anmoderens identitet og verificerer godkendelsesanmodninger for at få adgang til informationssystemer. Disse godkendelses- og verifikationsprocedurer skal udføres i overensstemmelse med godkendelsesoplysningerne i kontrol 5.17, brugeridentiteter i kontrol 5.16 og multi-faktor i kontrol 8.5.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvad skal sikre systemtekniske teknikker dække?
- Vedtagelse og implementering af sikre arkitekturprincipper, herunder "security by design", "defence in depth", "fail sikkert", "mistro input fra eksterne applikationer", "antage brud", "mindste privilegium", "brugerbarhed og håndterbarhed" og " mindst funktionalitet”.
- Vedtagelse og anvendelse af en sikkerhedsfokuseret designgennemgangsproces til opdage informationssikkerhed sårbarheder og garantere, at sikkerhedsforanstaltninger er identificeret og opfylder sikkerhedskravene.
- Dokumentation og anerkendelse af sikkerhedsforanstaltninger, der ikke opfylder kravene.
- Systemhærdning.
Hvilke kriterier skal man overveje, når man designer sikre tekniske principper?
Organisationer bør overveje følgende, når de etablerer sikre systemtekniske principper:
- Behovet for at integrere kontroller med specifik sikkerhedsarkitektur.
- Eksisterende teknisk sikkerhedsinfrastruktur, herunder offentlig nøgleinfrastruktur, identitetsstyring og forebyggelse af datalækage.
- Om organisationen er i stand til at opbygge og vedligeholde den valgte teknologi.
- Omkostninger og tid, der kræves for at opfylde sikkerhedskravene og kompleksiteten af sådanne krav.
- Eksisterende bedste praksis.
Praktisk vejledning om anvendelse af sikre systemtekniske principper
Kontrol 8.27 bemærker, at organisationer kan omsætte sikre tekniske principper i praksis, når de konfigurerer følgende:
- Fejltolerance og lignende modstandsdygtighedsmetoder.
- Segregationsteknikker såsom virtualisering.
- Modstand mod manipulation.
Desuden er brugen af sikker virtualiseringsteknologi kan hjælpe med at eliminere risikoen af aflytning mellem to applikationer, der kører på den samme enhed.
Endelig påpeges det, at brugen af manipulationsmodstandssystemer kan hjælpe med at identificere både den logiske og fysiske manipulation med informationssystemer og forhindre uautoriseret udtrækning af information.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
27002:2022/8.27 replaces 27002:2013/(14.2.5)
2022-versionen introducerer mere omfattende krav sammenlignet med 2013-versionen:
- I modsætning til 2013-versionen giver 2022-versionen vejledning om, hvad sikre ingeniørprincipper skal dække.
- I modsætning til 2013-versionen adresserer 2022-versionen, hvilke kriterier organisationer bør overveje, når de designer sikre systemtekniske principper.
- 2022-versionen indeholder vejledning om princippet om nul tillid. 2013-versionen dækkede til gengæld ikke dette.
- 2022-versionen indeholder anbefalinger om, hvilke sikre ingeniørteknikker der skal anvendes, såsom "sikkerhed ved design". I modsætning til 2022-versionen refererede 2013-versionen ikke til sådanne teknikker.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Hvordan ISMS.online hjælper
ISO 27002 implementering er enklere med vores trinvise tjekliste, der guider dig gennem hele processen. Din komplette overholdelsesløsning til ISO / IEC 27002: 2022.
- Op til 81 % fremskridt fra du logger ind.
- Enkel og total compliance-løsning.
Kontakt i dag for book en demo.
