ISO 27002:2022, Kontrol 8.28 – Sikker kodning

ISO 27002:2022 Reviderede kontroller

Book en demo

mand, hænder, arbejder, på, bærbar computer

Dårlig kodningspraksis såsom ukorrekt inputvalidering og svag nøglegenerering kan udsætte informationssystemer for sikkerhedssårbarheder og resultere i cyberangreb og kompromittering af følsomme informationsaktiver.

For eksempel i det berygtede Heartbleed bug hændelse, hackere udnyttede ukorrekt inputvalidering i koden for at få adgang til mere end 4 millioner patienters data.

Derfor bør organisationer sikre, at sikre kodningsprincipper følges, så dårlig kodningspraksis ikke fører til sikkerhedssårbarheder.

Formål med kontrol 8.28

Kontrol 8.28 gør det muligt for organisationer at forhindre sikkerhedsrisici og sårbarheder, der kan opstå som følge af dårlig softwarekodningspraksis ved at designe, implementere og gennemgå passende sikker softwarekodningsprincipper.

Attributter tabel

Kontrol 8.28 er en forebyggende form for kontrol, der hjælper organisationer med at opretholde sikkerheden for netværk, systemer og applikationer ved at eliminere risici, der kan opstå som følge af dårligt designet softwarekode.

Kontrol typeInformationssikkerhedsegenskaberCybersikkerhedskoncepterOperationelle evnerSikkerhedsdomæner
#Forebyggende #Fortrolighed
#Integritet
#Tilgængelighed		#Beskytte #Applikationssikkerhed
#System- og netværkssikkerhed		#Beskyttelse
Gå til emne
Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

Ejerskab af kontrol 8.28

I betragtning af, at 8.28 kræver udformning og implementering af sikre kodningsprincipper og -procedurer for hele organisationen, bør informationssikkerhedschefen være ansvarlig for at tage passende skridt til overholdelse.

Generel vejledning om overholdelse

Kontrol 8.28 kræver, at organisationer etablerer og implementerer organisationsdækkende processer for sikker kodning, der gælder både softwareprodukter opnået fra eksterne parter og open source-softwarekomponenter.

Ydermere bør organisationer holde sig ajour med udviklingen af ​​sikkerhedstrusler fra den virkelige verden og med de seneste oplysninger om kendte eller potentielle sikkerhedssårbarheder i software. Dette vil gøre det muligt for organisationer at forbedre og implementere robuste sikre softwarekodningsprincipper, der er effektive mod cybertrusler, der udvikler sig.

Supplerende vejledning om planlægning

Sikker softwarekodningsprincipper bør følges både for nye kodningsprojekter og for genbrug af software.

Disse principper bør overholdes både for interne softwareudviklingsaktiviteter og for overførsel af organisationens softwareprodukter eller -tjenester til tredjeparter.

Når organisationer etablerer en plan for sikker kodningsprincipper og fastlægger forudsætningerne for sikker kodning, bør organisationer overholde følgende:

  • Organisationer bør fastlægge sikkerhedsforventninger skræddersyet til deres behov og etablere godkendte principper for sikker softwarekodning, der vil gælde for både intern softwareudvikling og outsourcede softwarekomponenter.

  • Organisationer bør opdage og dokumentere de mest udbredte og historisk dårlige kodningsdesignpraksis og fejl, der resulterer i kompromittering af informationssikkerhed.

  • Organisationer bør etablere og konfigurere softwareudviklingsværktøjer for at sikre sikkerheden for al kode, der oprettes. Et eksempel på sådanne værktøjer er integrerede udviklingsmiljøer (IDE).

  • Organisationer bør opnå overholdelse af vejledningen og instruktionerne fra softwareudviklingsværktøjer.

  • Organisationer bør gennemgå, vedligeholde og sikkert bruge udviklingsværktøjer såsom compilere.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Supplerende vejledning om sikkerhed under kodning

Sikker kodningspraksis og -procedurer bør tage hensyn til følgende for kodningsprocessen:

  • Sikker softwarekodningsprincipper bør skræddersyes til hvert programmeringssprog og anvendte teknikker.

  • Implementering af sikre programmeringsteknikker og -metoder såsom testdrevet udvikling og parprogrammering.

  • Brug af strukturerede programmeringsmetoder.

  • Korrekt kodedokumentation og fjernelse af kodefejl.

  • Forbud mod brug af usikre softwarekodningsmetoder såsom ikke-godkendte kodeeksempler eller hårdkodede adgangskoder.

Supplerende vejledning bemærker også, at sikkerhedstest skal udføres både under og efter udviklingen i overensstemmelse med kontrol 8.29.

Inden softwaren tages i brug i live-applikationsmiljøet, bør organisationer overveje følgende:

  • Hvad er angrebsfladen?

  • Følges princippet om mindste privilegium?

  • Gennemføre en analyse af de mest udbredte programmeringsfejl og dokumentere, at disse risici er elimineret.

Supplerende vejledning om gennemgangsprocessen

Efter at koden er taget i brug i produktionsmiljøet

  • Opdateringer bør anvendes på en sikker måde.

  • Sikkerhedssårbarheder rapporteret i overensstemmelse med kontrol 8.8 bør løses.

  • Formodede angreb på informationssystemer og fejl bør registreres, og disse optegnelser bør gennemgås med jævne mellemrum, så der kan foretages passende ændringer af koden.

  • Uautoriseret adgang til, brug af eller ændringer af kildekoden bør forhindres via mekanismer såsom administrationsværktøjer.

Når organisationer bruger eksterne værktøjer, bør de tage hensyn til følgende

  • Eksterne biblioteker bør overvåges og opdateres med regelmæssige intervaller baseret på deres udgivelsescyklusser.

  • Softwarekomponenter skal være omhyggeligt undersøgt, udvalgt og godkendt, især kryptografi- og autentificeringskomponenter.

  • Licensering af eksterne komponenter og sikring af deres sikkerhed.

  • Software skal spores og vedligeholdes. Desuden skal det sikres, at det kommer fra en pålidelig kilde.

  • Udviklingsressourcer bør være tilgængelige på lang sigt.

Når du foretager ændringer i en softwarepakke, bør følgende overvejes

  • Risici, der kan opstå som følge af indbyggede kontroller eller kompromittering af integritetsprocesser.

  • Om sælgeren giver samtykke til ændringer.

  • Om det er muligt at få samtykke fra softwareleverandøren til regelmæssige opdateringer.

  • Den sandsynlige indvirkning af at fortsætte vedligeholdelsen af ​​softwaren, der opstår som følge af ændringer.

  • Om ændringerne ville være kompatible med andre softwarekomponenter, som bruges af organisationen.

Er du klar til
den nye ISO 27002

Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

Yderligere vejledning om kontrol 8.28

Organisationer bør sikre, at sikkerhedsrelevant kode bruges, når det er nødvendigt og er modstandsdygtig over for manipulation.

Kontrol 8.28 viser også følgende anbefalinger for sikkerhedsrelevant kode:

  • Mens programmer installeret via binær kode inkluderer sikkerhedsrelevant kode, er dette begrænset til de data, der er gemt i selve applikationen.

  • Begrebet sikkerhedsrelevant kode er kun nyttigt, når kode køres på en server, der ikke er tilgængelig for brugeren, og den er adskilt fra de processer, der bruger den, og dens data opbevares sikkert i en anden database. For eksempel kan du køre en fortolket kode på en skytjeneste, og adgang til kode kan begrænses til privilegerede administratorer. Det anbefales, at du beskytter disse adgangsrettigheder via metoder såsom just-in-time administratorrettigheder og robuste godkendelsesmekanismer.

  • Passende konfigurationer på webservere bør implementeres for at forhindre uautoriseret adgang til og browsing af biblioteket.

  • Når du designer applikationskode, bør du starte med den antagelse, at koden er sårbar over for angreb på grund af kodefejl og handlinger fra ondsindede aktører. Du bør designe kritiske applikationer på en måde, så de ikke er sårbare over for interne fejl. For eksempel kan output produceret af en algoritme gennemgås for at sikre, at det overholder sikkerhedskravene, før det kan bruges i kritiske applikationer såsom finansrelaterede applikationer.

  • Visse webapplikationer er meget sårbare over for sikkerhedstrusler på grund af dårlig kodningspraksis, såsom databaseinjektion og scriptangreb på tværs af websteder.

  • Organisationer bør henvise til ISO/IEC 15408-serien for mere information om IT-sikkerhedsevaluering.

Ændringer og forskelle fra ISO 27002:2013

27002:2022/8.28 er en ny type kontrol.

Hvordan ISMS.online hjælper

Vores platform er udviklet specifikt til dem, der er nye inden for informationssikkerhed eller har brug for en nem måde at lære om ISO 27002 uden at skulle bruge tid på at lære fra bunden eller gennemlæse lange dokumenter.

ISMS.Online er udstyret med alle de værktøjer, der er nødvendige for at opnå overholdelse, inklusive dokumentskabeloner, tjeklister og politikker, som kan tilpasses efter dine behov.

Vil du se, hvordan det fungerer?

Kontakt i dag for book en demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.7NyTrusselsintelligens
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.30NyIKT-parathed til forretningskontinuitet
7.4NyFysisk sikkerhedsovervågning
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.16NyOvervågning af aktiviteter
8.23NyWebfiltrering
8.28NySikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.105.1.1, 05.1.2Politikker for informationssikkerhed
5.206.1.1Informationssikkerhedsroller og -ansvar
5.306.1.2Opdeling af pligter
5.407.2.1Ledelsesansvar
5.506.1.3Kontakt med myndigheder
5.606.1.4Kontakt til særlige interessegrupper
5.7NyTrusselsintelligens
5.806.1.5, 14.1.1Informationssikkerhed i projektledelse
5.908.1.1, 08.1.2Opgørelse af information og andre tilhørende aktiver
5.1008.1.3, 08.2.3Acceptabel brug af information og andre tilknyttede aktiver
5.1108.1.4Tilbagelevering af aktiver
5.12 08.2.1Klassificering af oplysninger
5.1308.2.2Mærkning af information
5.1413.2.1, 13.2.2, 13.2.3Informationsoverførsel
5.1509.1.1, 09.1.2Adgangskontrol
5.1609.2.1Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3Godkendelsesoplysninger
5.1809.2.2, 09.2.5, 09.2.6Adgangsrettigheder
5.1915.1.1Informationssikkerhed i leverandørforhold
5.2015.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
5.2115.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
5.2215.2.1, 15.2.2Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.2416.1.1Planlægning og forberedelse af informationssikkerhedshændelser
5.2516.1.4Vurdering og beslutning om informationssikkerhedshændelser
5.2616.1.5Reaktion på informationssikkerhedshændelser
5.2716.1.6Lær af informationssikkerhedshændelser
5.2816.1.7Indsamling af beviser
5.2917.1.1, 17.1.2, 17.1.3Informationssikkerhed under afbrydelse
5.30NyIKT-parathed til forretningskontinuitet
5.3118.1.1, 18.1.5Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.3218.1.2Intellektuelle ejendomsrettigheder
5.3318.1.3Beskyttelse af optegnelser
5.3418.1.4Privatliv og beskyttelse af PII
5.3518.2.1Uafhængig gennemgang af informationssikkerhed
5.3618.2.2, 18.2.3Overholdelse af politikker, regler og standarder for informationssikkerhed
5.3712.1.1Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansættelse
6.307.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
6.407.2.3Disciplinær proces
6.507.3.1Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.613.2.4Aftaler om fortrolighed eller tavshedspligt
6.706.2.2Fjernbetjening
6.816.1.2, 16.1.3Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
7.111.1.1Fysiske sikkerhedsomkredse
7.211.1.2, 11.1.6Fysisk adgang
7.311.1.3Sikring af kontorer, lokaler og faciliteter
7.4NyFysisk sikkerhedsovervågning
7.511.1.4Beskyttelse mod fysiske og miljømæssige trusler
7.611.1.5Arbejde i sikre områder
7.711.2.9Overskueligt skrivebord og klar skærm
7.811.2.1Udstyrsplacering og beskyttelse
7.911.2.6Sikkerhed af aktiver uden for lokalerne
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagermedier
7.1111.2.2Understøttende hjælpeprogrammer
7.1211.2.3Kabler sikkerhed
7.1311.2.4Vedligeholdelse af udstyr
7.1411.2.7Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
8.106.2.1, 11.2.8Bruger slutpunktsenheder
8.209.2.3Privilegerede adgangsrettigheder
8.309.4.1Begrænsning af informationsadgang
8.409.4.5Adgang til kildekode
8.509.4.2Sikker autentificering
8.612.1.3Kapacitetsstyring
8.712.2.1Beskyttelse mod malware
8.812.6.1, 18.2.3Håndtering af tekniske sårbarheder
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.1312.3.1Sikkerhedskopiering af information
8.1417.2.1Redundans af informationsbehandlingsfaciliteter
8.1512.4.1, 12.4.2, 12.4.3Logning
8.16NyOvervågning af aktiviteter
8.1712.4.4Ur synkronisering
8.1809.4.4Brug af privilegerede hjælpeprogrammer
8.1912.5.1, 12.6.2Installation af software på operativsystemer
8.2013.1.1Netværkssikkerhed
8.2113.1.2Sikkerhed af netværkstjenester
8.2213.1.3Adskillelse af netværk
8.23NyWebfiltrering
8.2410.1.1, 10.1.2Brug af kryptografi
8.2514.2.1Sikker udviklingslivscyklus
8.2614.1.2, 14.1.3Krav til applikationssikkerhed
8.2714.2.5Sikker systemarkitektur og tekniske principper
8.28NySikker kodning
8.2914.2.8, 14.2.9Sikkerhedstest i udvikling og accept
8.3014.2.7Udliciteret udvikling
8.3112.1.4, 14.2.6Adskillelse af udviklings-, test- og produktionsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Forandringsledelse
8.3314.3.1Testinformation
8.3412.7.1Beskyttelse af informationssystemer under revisionstest
Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere