ISO 27002:2022, Beheer 8.26 – Toepassingsekuriteitsvereistes

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

veelrassige, jong, kreatiewe, mense, in, moderne, kantoor., suksesvolle, hipster, span

Toepassingsagtewareprogramme soos webtoepassings, grafiese sagteware, databasissagteware en betalingsverwerkingsagteware is noodsaaklik vir baie kritieke sakebedrywighede.

Hierdie toepassings word egter dikwels blootgestel aan sekuriteitskwesbaarhede wat kan lei tot die kompromie van sensitiewe inligting.

Equifax, 'n Amerikaanse kredietburo, het byvoorbeeld versuim om 'n sekuriteitspleister toe te pas op 'n webwerftoepassingsraamwerk wat gebruik word om klanteklagtes te hanteer. Die kuberaanvallers gebruik sekuriteit kwesbaarhede in die webtoepassing om Equifax se korporatiewe netwerke te infiltreer en sensitiewe data van ongeveer 145 miljoen mense gesteel.

Beheer 8.26 spreek hoe organisasies kan inligtingsekuriteitsvereistes daarstel en toepas vir die ontwikkeling, gebruik en verkryging van toepassings.

Doel van beheer 8.26

Beheer 8.26 stel organisasies in staat om inligtingsbates wat op of verwerk word deur toepassings te beskerm deur toepaslike inligtingsekuriteitvereistes te identifiseer en toe te pas.

Eienskappe tabel

Beheer 8.26 is 'n voorkomende tipe beheer wat risiko's vir die integriteit, beskikbaarheid en vertroulikheid van inligtingsbates wat op toepassing gestoor word, voorkom deur die gebruik van geskikte inligtingsekuriteitsmaatreëls.

beheer Tipe Eienskappe vir inligtingsekuriteit KuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende#Vertroulikheid
#Integriteit
#Beskikbaarheid		#Beskerm#Toepassingsekuriteit
#Stelsel- en netwerksekuriteit		#Beskerming
#Verdediging
Spring na Onderwerp
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Eienaarskap van beheer 8.26

Hoofinligtingsekuriteitsbeampte, met die ondersteuning van inligtingsekuriteitspesialiste, behoort verantwoordelik te wees vir die identifikasie, goedkeuring en implementering van inligtingsvereistes vir die verkryging, gebruik en ontwikkeling van toepassings.

Algemene riglyne oor nakoming

Algemene riglyne wys daarop dat organisasies a risikobepaling om die tipe inligtingsekuriteitvereistes te bepaal geskik is vir 'n spesifieke toepassing.

Terwyl die inhoud en tipes van inligting sekuriteit vereistes kan wissel na gelang van die aard van die aansoek, moet die vereistes die volgende aanspreek:

  • Die mate van vertroue wat in ooreenstemming met Beheer 5.17, 8.2 en 8.5 aan die identiteit van spesifieke entiteite toegeken word.

  • Identifikasie van die vlak van klassifikasie aan inligtingsbates toegewys gestoor of verwerk word deur die aansoek.

  • Of daar 'n behoefte is om die toegang tot funksies en inligting wat op die toepassing gestoor is, te skei.

  • Of die toepassing veerkragtig is teen kuberaanvalle soos SQL-inspuitings of onbedoelde onderskeppings soos buffer-oorloop.

  • Wetlike, regulatoriese en statutêre vereistes en standaarde van toepassing op die transaksie wat deur die aansoek verwerk, gegenereer, gestoor of voltooi is.

  • Privaatheidsoorwegings vir alle betrokke partye.

  • Vereistes vir die beskerming van vertroulike data.

  • Beskerming van inligting wanneer dit in gebruik, in vervoer of in rus is.

  • Of veilige enkripsie van kommunikasie tussen alle relevante partye is nodig.

  • Implementering van insetkontroles soos insetvalidering of die uitvoer van integriteitskontroles.

  • Voer outomatiese kontroles uit.

  • Uitvoerkontroles, met inagneming van wie uitsette kan sien en die magtiging vir toegang.

  • Moet beperkings op die inhoud van "vryteks" velde oplê om die verspreiding van vertroulike data op 'n onbeheerbare wyse te beskerm.

  • Vereistes wat voortspruit uit besigheidsbehoeftes soos aanteken van transaksies en nie-repudiasievereistes.

  • Vereistes gestel deur ander sekuriteitskontroles soos datalek-opsporingstelsels.

  • Hoe om foutboodskappe te hanteer.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Aanvullende leiding oor transaksiedienste

Beheer 8.26 vereis van organisasies om die volgende sewe aanbevelings in ag te neem wanneer 'n toepassing transaksionele dienste tussen die organisasie en 'n vennoot bied:

  • Die mate van vertroue wat elke party in die transaksie in die ander party se identiteit vereis.

  • Die mate van vertroue wat vereis word in die integriteit van data wat gekommunikeer of verwerk word en die identifisering van 'n behoorlike meganisme om enige gebrek aan integriteit op te spoor, insluitend gereedskap soos hashing en digitale handtekeninge.

  • Vestiging van 'n magtigingsproses vir wie toegelaat word om die inhoud van noodsaaklike transaksionele dokumente goed te keur, af te teken of af te teken.

  • Die handhawing van die vertroulikheid en integriteit van die kritieke dokumente en bewys van die stuur en ontvangs van sulke dokumente.

  • Beskerming en handhawing van die integriteit en vertroulikheid van alle transaksies soos bestellings en kwitansies.

  • Vereistes vir watter tydperk transaksies vertroulik gehou moet word.

  • Kontraktuele vereistes en vereistes wat verband hou met versekering.

Aanvullende leiding oor elektroniese bestel- en betalingsaansoeke

Wanneer aansoeke betaling en elektroniese bestelfunksies insluit, moet organisasies die volgende in ag neem:

  • Vereistes verseker dat vertroulikheid en integriteit van bestellingsinligting nie in die gedrang kom nie.

  • Die bepaling van 'n toepaslike mate van verifikasie om die betalingsbesonderhede wat deur 'n kliënt verskaf is, te verifieer.

  • Voorkoming van die verlies of duplisering van transaksie-inligting.

  • Verseker dat inligting wat verband hou met inligting gestoor word buite 'n publiek toeganklike omgewing soos op 'n bergingsmedia wat op die organisasie se eie intranet gehuisves word.

  • Waar organisasies staatmaak op 'n betroubare eksterne owerheid soos vir die uitreiking van digitale handtekeninge, moet hulle verseker dat sekuriteit deur die hele proses geïntegreer is.

Aanvullende leiding oor netwerke

Wanneer toepassings deur netwerke verkry word, is hulle kwesbaar vir bedreigings soos kontrakgeskille, bedrieglike aktiwiteite, verkeerde roetes, ongemagtigde veranderinge aan die inhoud van kommunikasie, of verlies aan vertroulikheid van sensitiewe inligting.

Beheer 8.26 beveel aan dat organisasies omvattend presteer risikobepalings om toepaslike beheermaatreëls te identifiseer soos die gebruik van kriptografie om die sekuriteit van inligtingoordragte te verseker.

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.26 vervang 27002:2013/(14.1.2 en 14.1.3)

Daar is drie groot verskille tussen die twee weergawes.

Alle toepassings vs toepassings wat deur openbare netwerke gaan

Die ISO 27002:2013-weergawe het nie vereistes gelys wat op alle toepassings van toepassing is nie: Dit het 'n lys van inligtingsekuriteitsvereistes verskaf wat oorweeg moet word vir toepassings wat deur openbare netwerke gaan.

Beheer 8.26 in die 2022-weergawe, inteendeel, 'n lys van inligtingsekuriteitsvereistes verskaf wat op alle toepassings van toepassing is.

Verdere leiding oor elektroniese bestel- en betalingsaansoeke

Beheer 8.26 in die 2022-weergawe bevat spesifieke leiding oor Elektroniese bestel- en betalingsaansoeke. Daarteenoor het die 2013 Weergawe nie hieraan aandag gegee nie.

Bykomende vereiste vir transaksiedienste

Terwyl die 2022-weergawe en die 2013-weergawe byna identies is in terme van die vereistes vir transaksionele dienste, stel die 2022-weergawe 'n bykomende vereiste in wat nie in die 2013-weergawe aangespreek is nie:

  • Organisasies moet kontraktuele vereistes en vereistes wat met versekering verband hou, oorweeg.

Hoe ISMS.online help

ISMS.online is 'n wolk-gebaseerde oplossing wat maatskappye help om voldoening aan ISO 27002 te toon. Die ISMS.online oplossing kan gebruik word om die vereistes van ISO 27002 en verseker dat jou organisasie aan die nuwe standaard voldoen.

Ons platform is gebruikersvriendelik en reguit. Dit is nie net vir hoogs tegniese individue nie; dit is vir almal in jou geselskap.

Kontak vandag nog om bespreek 'n demo.

Sien ISMS.online
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind