Dårlig kodningspraksis såsom ukorrekt inputvalidering og svag nøglegenerering kan udsætte informationssystemer for sikkerhedssårbarheder og resultere i cyberangreb og kompromittering af følsomme informationsaktiver.
For eksempel i det berygtede Heartbleed bug hændelse, hackere udnyttede ukorrekt inputvalidering i koden for at få adgang til mere end 4 millioner patienters data.
Derfor bør organisationer sikre, at sikre kodningsprincipper følges, så dårlig kodningspraksis ikke fører til sikkerhedssårbarheder.
Kontrol 8.28 gør det muligt for organisationer at forhindre sikkerhedsrisici og sårbarheder, der kan opstå som følge af dårlig softwarekodningspraksis ved at designe, implementere og gennemgå passende sikker softwarekodningsprincipper.
Kontrol 8.28 er en forebyggende form for kontrol, der hjælper organisationer med at opretholde sikkerheden for netværk, systemer og applikationer ved at eliminere risici, der kan opstå som følge af dårligt designet softwarekode.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Applikationssikkerhed #System- og netværkssikkerhed | #Beskyttelse |
I betragtning af, at 8.28 kræver udformning og implementering af sikre kodningsprincipper og -procedurer for hele organisationen, bør informationssikkerhedschefen være ansvarlig for at tage passende skridt til overholdelse.
Kontrol 8.28 kræver, at organisationer etablerer og implementerer organisationsdækkende processer for sikker kodning, der gælder både softwareprodukter opnået fra eksterne parter og open source-softwarekomponenter.
Ydermere bør organisationer holde sig ajour med udviklingen af sikkerhedstrusler fra den virkelige verden og med de seneste oplysninger om kendte eller potentielle sikkerhedssårbarheder i software. Dette vil gøre det muligt for organisationer at forbedre og implementere robuste sikre softwarekodningsprincipper, der er effektive mod cybertrusler, der udvikler sig.
Sikker softwarekodningsprincipper bør følges både for nye kodningsprojekter og for genbrug af software.
Disse principper bør overholdes både for interne softwareudviklingsaktiviteter og for overførsel af organisationens softwareprodukter eller -tjenester til tredjeparter.
Når organisationer etablerer en plan for sikker kodningsprincipper og fastlægger forudsætningerne for sikker kodning, bør organisationer overholde følgende:
Sikker kodningspraksis og -procedurer bør tage hensyn til følgende for kodningsprocessen:
Supplerende vejledning bemærker også, at sikkerhedstest skal udføres både under og efter udviklingen i overensstemmelse med kontrol 8.29.
Inden softwaren tages i brug i live-applikationsmiljøet, bør organisationer overveje følgende:
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Organisationer bør sikre, at sikkerhedsrelevant kode bruges, når det er nødvendigt og er modstandsdygtig over for manipulation.
Kontrol 8.28 viser også følgende anbefalinger for sikkerhedsrelevant kode:
27002:2022/8.28 er en ny type kontrol.
Vores platform er udviklet specifikt til dem, der er nye inden for informationssikkerhed eller har brug for en nem måde at lære om ISO 27002 uden at skulle bruge tid på at lære fra bunden eller gennemlæse lange dokumenter.
ISMS.Online er udstyret med alle de værktøjer, der er nødvendige for at opnå overholdelse, inklusive dokumentskabeloner, tjeklister og politikker, som kan tilpasses efter dine behov.
Vil du se, hvordan det fungerer?
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |