Installering van sagteware op bedryfstelsels

Doel van beheer 8.19

Operasionele sagteware kan breedweg beskryf word as enige stuk sagteware wat die onderneming aktief gebruik om sy bedrywighede uit te voer, in teenstelling met toetsprogrammatuur of ontwikkelingsprojekte.

Dit is uiters belangrik om te verseker dat sagteware op 'n gegewe netwerk geïnstalleer en bestuur word in ooreenstemming met 'n streng stel reëls en vereistes wat risiko minimaliseer, doeltreffendheid verbeter en sekuriteit binne interne en eksterne netwerke en dienste handhaaf.

Eienskappe Tabel van beheer 8.19

Beheer 8.19 is a voorkomende beheer Wat risiko handhaaf deur 'n stel reëls daar te stel wat die installering van sagteware op bedryfstelsels beheer.

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Beskerm	# Veilige konfigurasie	#Beskerming
	#Integriteit		#Toepassingsekuriteit
	#Beskikbaarheid

Eienaarskap van beheer 8.19

Beheer 8.19 handel oor tegniese konsepte wat verband hou met die instandhouding en bestuur van operasionele rekenaarstelsels. As sodanig behoort eienaarskap by die IT-hoof, of organisatoriese ekwivalent, te berus.

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo

Algemene riglyne oor nakoming

Om verandering en installasies op hul netwerk veilig te bestuur, moet organisasies:

Verseker dat sagteware-opdaterings slegs deur opgeleide en bekwame personeel uitgevoer word (sien Kontrole 8.5).
Installeer slegs robuuste uitvoerbare kode wat vry is van enige foute en veilig die ontwikkelingstadium verlaat het.
Installeer en/of werk sagteware eers op nadat genoemde opdatering of pleister suksesvol getoets is, en die organisasie is vol vertroue dat geen konflikte of foute sal ontstaan nie.
Handhaaf 'n bygewerkte biblioteekstelsel.
Gebruik 'n 'konfigurasiebeheerstelsel' wat alle gevalle van operasionele sagteware bestuur, insluitend programdokumentasie.
Kom ooreen oor 'n 'terugrolstrategie' voor enige opdaterings of installasies, om besigheidskontinuïteit te verseker in die geval van 'n onvoorsiene fout of konflik.
Hou 'n logboek van enige opdaterings wat aan operasionele sagteware uitgevoer is, insluitend 'n opsomming van die opdatering, die betrokke personeel en 'n tydstempel.
Verseker dat ongebruikte sagteware – insluitend alle dokumentasie, konfigurasielêers, stelselloglêers, ondersteunende prosedures – veilig gestoor word vir verdere gebruik, sou die behoefte ontstaan.
Dwing 'n streng stel reëls af oor die tipe sagtewarepakkette wat gebruikers kan installeer, gebaseer op die beginsels van 'mins bevoorregte' en in ooreenstemming met relevante rolle en verantwoordelikhede.

Leiding – Verkoper sagteware

Waar sagteware verskaf word deur verskaffers (bv. enige sagteware wat gebruik word in die bedryf van masjinerie of vir 'n pasgemaakte besigheidsfunksie) moet sodanige sagteware altyd in 'n goeie werkende toestand gehou word deur te verwys na die verskaffer se riglyne vir veilige en veilige werking.

Dit is belangrik om daarop te let dat selfs waar sagteware of sagtewaremodules ekstern verskaf en bestuur word (dws die organisasie is nie verantwoordelik vir enige opdaterings nie), stappe geneem moet word om te verseker dat derdeparty-opdaterings nie die integriteit van die organisasie se netwerk in gevaar stel nie.

Organisasies moet die gebruik van ongesteunde verskaffersagteware vermy, tensy dit absoluut noodsaaklik is, en die gepaardgaande sekuriteitsrisiko's van die gebruik van oortollige toepassings in ag neem, in teenstelling met 'n opgradering na nuwer en veiliger stelsels.

Indien 'n ondernemer toegang tot 'n organisasie se netwerk benodig om 'n installasie of opdatering uit te voer, moet aktiwiteit gemonitor en bekragtig word in ooreenstemming met alle relevante magtigingsprosedures (sien Beheer 5.22).

Aanvullende leiding oor beheer 8.19

Sagteware moet opgegradeer, geïnstalleer en/of gelap word in ooreenstemming met die organisasie se gepubliseerde veranderingsbestuurprosedures, om eenvormigheid met ander areas van die besigheid te verseker.

Wanneer 'n pleister geïdentifiseer word wat óf 'n kwesbaarheid (of reeks kwesbaarhede) heeltemal uitskakel, óf op enige manier help om die organisasie se inligtingsekuriteitswerking te verbeter, moet sulke veranderinge byna altyd toegepas word (hoewel daar steeds die behoefte is om sulke veranderinge te assesseer op 'n geval-tot-geval basis).

Waar die behoefte ontstaan om oopbronsagteware te gebruik, moet dit altyd van die nuutste publiek beskikbare weergawe wees wat aktief onderhou word. Gevolglik moet organisasies die inherente risiko's van die gebruik van ononderhoudende sagteware binne alle besigheidsfunksies oorweeg.

Ondersteunende kontroles

5.22
8.5

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo

Veranderinge en verskille vanaf ISO 27002:2013

ISO 27002:2022-8.19 vervang ISO 27002:2003-12.5.1 (Installasie van sagteware op bedryfstelsels) en 12.6.2 (Beperkings op sagteware-installasie).

27002:2022-8.19 is 'n samevoeging van die meeste van die advies vervat in 27002:2003-12.5.1 en 12.6.2, met verskeie sleutelbegrippe wat kortliks uitgebrei word en met die toevoeging van 'n paar nuwe beheerbeginsels:

Die instandhouding van 'n biblioteekstelsel.
Reëls wat die gebruik van oopbronsagteware reguleer.
Nader logiese kontroles oor die installering en instandhouding van verskaffersagteware.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	NUWE	Bedreigingsintelligensie
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	NUWE	IKT-gereedheid vir besigheidskontinuïteit
7.4	NUWE	Fisiese sekuriteitsmonitering
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.16	NUWE	Moniteringsaktiwiteite
8.23	NUWE	Webfiltrering
8.28	NUWE	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	NUWE	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	5.30	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	NUWE	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NUWE	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	NUWE	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	NUWE	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISMS.Online is 'n volledige oplossing vir ISO 27002 implementering. Dit is 'n webgebaseerde stelsel wat jou toelaat om te wys dat jou inligtingsekuriteitbestuurstelsel (ISMS) aan die goedgekeurde standaarde voldoen deur weldeurdagte prosesse, prosedures en kontrolelyste te gebruik.

Dit is nie net 'n maklik-om-te gebruik platform vir die bestuur van jou ISO 27002 implementering nie, maar ook 'n uitstekende hulpmiddel om jou personeel op te lei oor inligtingsekuriteit beste praktyke en prosesse, sowel as om al jou pogings te dokumenteer.

Die voordele van die gebruik van ISMS.Online:

Maklik om te gebruik aanlyn platform wat vanaf enige toestel verkry kan word.
Dit is heeltemal aanpasbaar om aan u behoeftes te voldoen.
Aanpasbare werkvloeie en prosesse om by jou besigheidsbehoeftes te pas.
Opleidingsinstrumente om nuwe werknemers te help om vinniger aan die gang te kom.
'n Biblioteek van sjablone vir dokumente soos beleide, prosedures, planne en kontrolelyste.

Kontak vandag nog om bespreek 'n demo.

Ons is 'n leier in ons veld