ISO 27001:2022 Bylae A 8.27 – Veilige Stelselargitektuur en Ingenieursbeginsels

• sien ISO 27002:2022 Beheer 8.27 vir meer inligting.
• sien ISO 27001:2013 Bylae A 14.2.5 vir meer inligting.

ISO 27001:2022 Beheer 8.27 – Versterking van stelselsekuriteit van die grond af

Die ISO 27001: 2022 Bylae A 8.27 spesifiseer dat organisasies veilige stelselargitektuur en ingenieursbeginsels moet implementeer om te verseker dat die ontwerp, implementering en bestuur van die inligtingstelsel gepas is vir die organisasie se sekuriteitsvereistes. Dit sluit die vestiging van veilige stelselargitekture, ingenieursbeginsels en veilige ontwerppraktyke in.

Die ingewikkelde strukture van kontemporêre inligtingstelsels, gekombineer met die onophoudelike verskuiwende kuberveiligheidsrisiko-omgewing, maak inligtingstelsels meer geneig tot bestaande en potensiële sekuriteitsbedreigings.

Bylae A 8.27 skets hoe organisasies kan beskerm hul inligtingstelsels van sekuriteitsbedreigings deur die implementering van veilige stelselingenieursbeginsels gedurende alle stadiums van die inligtingstelsellewensiklus.

Doel van ISO 27001:2022 Bylae A 8.27

Bylae A 8.27 fasiliteer organisasies om inligtingstelsels tydens die fases van ontwerp, ontplooiing en bedryf te beveilig, deur die vestiging en implementering van veilige stelselingenieursbeginsels waaraan stelselingenieurs moet voldoen.

Eienaarskap van Bylae A 8.27

Die Hoofbeampte vir inligtingsekuriteit moet verantwoordelik gehou word vir die oprigting, handhawing en inwerkingstelling van die reëls wat veilige ingenieurswese van inligtingstelsels beheer.

Algemene riglyne oor ISO 27001:2022 Bylae A 8.27 Voldoening

ISO 27001:2022 Bylae A 8.27 onderstreep die noodsaaklikheid vir organisasies om sekuriteit in die geheel van hul inligtingstelsels in te sluit, insluitend besigheidsprosesse, toepassings en data-argitektuur.

Veilige ingenieurspraktyke moet geïmplementeer word vir alle take wat met inligtingstelsels verband hou, gereeld hersien en bygewerk word om rekening te hou met opkomende bedreigings en aanvalpatrone.

Bylae A 8.27 is ook van toepassing op stelsels wat deur eksterne verskaffers geskep is, benewens dié wat intern ontwikkel en bedryf word.

Organisasies moet waarborg dat die praktyke en standaarde van diensverskaffers in lyn is met hul veilige ingenieursprotokolle.

ISO 27001:2022 Bylae A 8.27 noodsaak veilige stelselingenieursbeginsels om die volgende agt onderwerpe aan te spreek:

1. Metodes van gebruikersverifikasie.
2. Veilige sessiebeheerleiding.
3. Prosedures vir die ontsmetting en validering van data.
4. Sekuriteitsmaatreëls om inligtingbates en -stelsels teen bekende bedreigings te beskerm, word omvattend ontleed.
5. Sekuriteitsmaatreëls ontleed vir hul vermoë om sekuriteitsbedreigings te identifiseer, uit te skakel en daarop te reageer.
6. Ontleed die sekuriteitsmaatreëls wat toegepas word op spesifieke besigheidsaktiwiteite, soos inligtingkodering.
7. Waar en hoe veiligheidsmaatreëls geïmplementeer sal word. 'n Spesifieke Bylae A-sekuriteitsbeheer kan binne die tegniese infrastruktuur geïntegreer word as deel van hierdie proses.
8. Die manier waarop verskillende sekuriteitsmaatreëls saamwerk en as 'n gekombineerde stelsel funksioneer.

Leiding oor Zero Trust-beginsel

Organisasies moet hierdie nul-trustbeginsels in gedagte hou:

• Gebaseer op die aanname dat die organisasie se stelsels reeds gekompromitteer is en dat die gedefinieerde omtreksekuriteit van sy netwerk nie voldoende beskerming kan bied nie.
• ’n Beleid van “verifikasie voor vertroue” moet aanvaar word wanneer dit kom by die verlening van toegang tot inligtingstelsels. Dit verseker dat toegang slegs verleen word na ondersoek, om seker te maak dat die regte mense dit het.
• Om te verseker dat versoeke aan inligtingstelsels beveilig word met end-tot-end-enkripsie, bied versekering.
• Verifikasiemeganismes word geïmplementeer met die veronderstelling van toegangsversoeke van eksterne, oop netwerke na inligtingstelsels.
• Implementeer minste voorreg en dinamiese toegangsbeheer in ooreenstemming met ISO 27001:2022 Bylae A 5.15, 5.18 en 8.2. Dit moet verifikasie en magtiging van sensitiewe inligting en inligtingstelsels insluit met inagneming van kontekstuele aspekte soos gebruikersidentiteite (ISO 27001:2022 Bylae A 5.16) en inligting klassifikasie (ISO 27001:2022 Bylae A 5.12).
• Verifieer die identiteit van die versoeker en verifieer magtigingsversoeke om toegang tot inligtingstelsels te verkry volgens verifikasieinligting in ISO 27001:2022 Bylae A 5.17, 5.16 en 8.5.

Wat moet veilige stelselingenieurswese-tegnieke dek?

Jou organisasie moet die volgende in gedagte hou:

• Die inkorporering van veilige argitektuurbeginsels soos "veiligheid deur ontwerp", "verdediging in diepte", "veilig misluk", "wantroue insette van eksterne toepassings", "aanvaar breuk", "minste voorreg", "bruikbaarheid en hanteerbaarheid" en "minste funksionaliteit". ” is uiters belangrik.
• Om 'n sekuriteitsgerigte ontwerphersiening uit te voer om enige inligtingsekuriteitskwessies op te spoor en seker te maak dat sekuriteitsmaatreëls ingestel is en aan die sekuriteitsbehoeftes voldoen.
• Dokumentasie en erkenning van sekuriteitsmaatreëls wat nie aan vereistes voldoen nie, is noodsaaklik.
• Stelselverharding is noodsaaklik vir die veiligheid van enige stelsel.

Watter kriteria om te oorweeg wanneer veilige ingenieursbeginsels ontwerp word?

Organisasies moet die volgende punte in ag neem wanneer hulle veilige stelselingenieursbeginsels opstel:

• Die vereiste om aanhangsel A-kontroles te koördineer met spesifieke sekuriteitsargitektuur is onontbeerlik.
• 'n Organisasie se bestaande tegniese sekuriteitsinfrastruktuur, insluitend publieke sleutelinfrastruktuur, identiteitsbestuur en voorkoming van datalek.
• Kan die organisasie die gekose tegnologie bou en onderhou.
• Die koste en die tyd wat nodig is om aan sekuriteitsvereistes te voldoen, met inagneming van hul kompleksiteit, moet in ag geneem word.
• Die nakoming van huidige beste praktyke is noodsaaklik.

Leiding oor toepassing van veilige stelselingenieurswese-beginsels

ISO 27001:2022 Bylae A 8.27 bepaal dat organisasies veilige ingenieursbeginsels kan gebruik wanneer hulle die volgende opstel:

• Foutverdraagsaamheid en ander veerkragtigheidstrategieë is noodsaaklik. Hulle help verseker dat stelsels operasioneel bly ten spyte van die voorkoms van onverwagte gebeure.
• Segregasie deur virtualisasie is een tegniek wat gebruik kan word.
• Peuterbestand, verseker dat stelsels veilig en ondeurdringbaar bly vir kwaadwillige inmenging.

Veilige virtualisasietegnologie kan die risiko van onderskepping tussen toepassings wat op dieselfde toestel loop, verminder.

Dit word beklemtoon dat peuterweerstandstelsels beide logiese en fisiese manipulasie van inligtingstelsels kan opspoor, wat ongemagtigde toegang tot data voorkom.

Veranderinge en verskille vanaf ISO 27001:2013

ISO 27001:2022 Bylae A 8.27 vervang ISO 27001:2013 Bylae A 14.2.5 in die hersiene 2022-standaard.

Die 2022-weergawe bevat meer uitgebreide eise as die 2013-weergawe, soos:

• In vergelyking met 2013, verskaf die 2022-weergawe leiding oor wat veilige ingenieursbeginsels behoort te behels.
• In teenstelling met die 2013-iterasie, oorweeg die 2022-weergawe die kriteria wat organisasies in ag moet neem wanneer hulle veilige stelselingenieursbeginsels saamstel.
• Die 2022-weergawe verskaf leiding oor die nultrustbeginsel, wat nie by die 2013-weergawe ingesluit is nie.
• Die 2022-uitgawe van die dokument bevat aanbevelings vir veilige ingenieurstegnieke, soos "sekuriteit deur ontwerp", wat nie in die 2013-weergawe teenwoordig was nie.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.

Hoe ISMS.online Help

Ons stap-vir-stap kontrolelys maak ISO 27001 implementering 'n briesie. Ons volledige voldoeningsoplossing vir ISO/IEC 27001:2022 sal jou van begin tot einde deur die proses lei.

As u aanmeld, kan u tot 81% vordering verwag.

Hierdie oplossing is heeltemal omvattend en eenvoudig.

Reik nou uit na bespreek 'n demonstrasie.