Beheer 8.26, Toepassingsekuriteitsvereistes

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Verstaan ISO 27002 Beheer 8.26: Toepassingsekuriteitsvereistes

Toepassingsagtewareprogramme soos webtoepassings, grafiese sagteware, databasissagteware en betalingsverwerkingsagteware is noodsaaklik vir baie kritieke sakebedrywighede.

Hierdie toepassings word egter dikwels blootgestel aan sekuriteitskwesbaarhede wat kan lei tot die kompromie van sensitiewe inligting.

Equifax, 'n Amerikaanse kredietburo, het byvoorbeeld versuim om 'n sekuriteitspleister toe te pas op 'n webwerftoepassingsraamwerk wat gebruik word om klanteklagtes te hanteer. Die kuberaanvallers gebruik sekuriteit kwesbaarhede in die webtoepassing om Equifax se korporatiewe netwerke te infiltreer en sensitiewe data van ongeveer 145 miljoen mense gesteel.

Beheer 8.26 spreek hoe organisasies kan inligtingsekuriteitsvereistes daarstel en toepas vir die ontwikkeling, gebruik en verkryging van toepassings.

Doel van beheer 8.26

Beheer 8.26 stel organisasies in staat om inligtingsbates wat op of verwerk word deur toepassings te beskerm deur toepaslike inligtingsekuriteitvereistes te identifiseer en toe te pas.

Eienskappe Tabel van beheer 8.26

Beheer 8.26 is 'n voorkomende tipe beheer wat risiko's vir die integriteit, beskikbaarheid en vertroulikheid van inligtingsbates wat op toepassing gestoor word, voorkom deur die gebruik van geskikte inligtingsekuriteitsmaatreëls.

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Beskerm	#Toepassingsekuriteit	#Beskerming
	#Integriteit		#Stelsel- en netwerksekuriteit	#Verdediging
	#Beskikbaarheid

Kry 'n voorsprong van 81%.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo

Eienaarskap van beheer 8.26

Hoofinligtingsekuriteitsbeampte, met die ondersteuning van inligtingsekuriteitspesialiste, behoort verantwoordelik te wees vir die identifikasie, goedkeuring en implementering van inligtingsvereistes vir die verkryging, gebruik en ontwikkeling van toepassings.

Algemene riglyne oor nakoming

Algemene riglyne wys daarop dat organisasies a risikobepaling om die tipe inligtingsekuriteitvereistes te bepaal geskik is vir 'n spesifieke toepassing.

Terwyl die inhoud en tipes van inligting sekuriteit vereistes kan wissel na gelang van die aard van die aansoek, moet die vereistes die volgende aanspreek:

Die mate van vertroue wat in ooreenstemming met Beheer 5.17, 8.2 en 8.5 aan die identiteit van spesifieke entiteite toegeken word.
Identifikasie van die vlak van klassifikasie aan inligtingsbates toegewys gestoor of verwerk word deur die aansoek.
Of daar 'n behoefte is om die toegang tot funksies en inligting wat op die toepassing gestoor is, te skei.
Of die toepassing veerkragtig is teen kuberaanvalle soos SQL-inspuitings of onbedoelde onderskeppings soos buffer-oorloop.
Wetlike, regulatoriese en statutêre vereistes en standaarde van toepassing op die transaksie wat deur die aansoek verwerk, gegenereer, gestoor of voltooi is.
Privaatheidsoorwegings vir alle betrokke partye.
Vereistes vir die beskerming van vertroulike data.
Beskerming van inligting wanneer dit in gebruik, in vervoer of in rus is.
Of veilige enkripsie van kommunikasie tussen alle relevante partye is nodig.
Implementering van insetkontroles soos insetvalidering of die uitvoer van integriteitskontroles.
Voer outomatiese kontroles uit.
Uitvoerkontroles, met inagneming van wie uitsette kan sien en die magtiging vir toegang.
Moet beperkings op die inhoud van "vryteks" velde oplê om die verspreiding van vertroulike data op 'n onbeheerbare wyse te beskerm.
Vereistes wat voortspruit uit besigheidsbehoeftes soos aanteken van transaksies en nie-repudiasievereistes.
Vereistes gestel deur ander sekuriteitskontroles soos datalek-opsporingstelsels.
Hoe om foutboodskappe te hanteer.

Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo

Aanvullende leiding oor transaksiedienste

Beheer 8.26 vereis van organisasies om die volgende sewe aanbevelings in ag te neem wanneer 'n toepassing transaksionele dienste tussen die organisasie en 'n vennoot bied:

Die mate van vertroue wat elke party in die transaksie in die ander party se identiteit vereis.
Die mate van vertroue wat vereis word in die integriteit van data wat gekommunikeer of verwerk word en die identifisering van 'n behoorlike meganisme om enige gebrek aan integriteit op te spoor, insluitend gereedskap soos hashing en digitale handtekeninge.
Vestiging van 'n magtigingsproses vir wie toegelaat word om die inhoud van noodsaaklike transaksionele dokumente goed te keur, af te teken of af te teken.
Die handhawing van die vertroulikheid en integriteit van die kritieke dokumente en bewys van die stuur en ontvangs van sulke dokumente.
Beskerming en handhawing van die integriteit en vertroulikheid van alle transaksies soos bestellings en kwitansies.
Vereistes vir watter tydperk transaksies vertroulik gehou moet word.
Kontraktuele vereistes en vereistes wat verband hou met versekering.

Aanvullende leiding oor elektroniese bestel- en betalingsaansoeke

Wanneer aansoeke betaling en elektroniese bestelfunksies insluit, moet organisasies die volgende in ag neem:

Vereistes verseker dat vertroulikheid en integriteit van bestellingsinligting nie in die gedrang kom nie.
Die bepaling van 'n toepaslike mate van verifikasie om die betalingsbesonderhede wat deur 'n kliënt verskaf is, te verifieer.
Voorkoming van die verlies of duplisering van transaksie-inligting.
Verseker dat inligting wat verband hou met inligting gestoor word buite 'n publiek toeganklike omgewing soos op 'n bergingsmedia wat op die organisasie se eie intranet gehuisves word.
Waar organisasies staatmaak op 'n betroubare eksterne owerheid soos vir die uitreiking van digitale handtekeninge, moet hulle verseker dat sekuriteit deur die hele proses geïntegreer is.

Aanvullende leiding oor netwerke

Wanneer toepassings deur netwerke verkry word, is hulle kwesbaar vir bedreigings soos kontrakgeskille, bedrieglike aktiwiteite, verkeerde roetes, ongemagtigde veranderinge aan die inhoud van kommunikasie, of verlies aan vertroulikheid van sensitiewe inligting.

Beheer 8.26 beveel aan dat organisasies omvattend presteer risikobepalings om toepaslike beheermaatreëls te identifiseer soos die gebruik van kriptografie om die sekuriteit van inligtingoordragte te verseker.

Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.26 vervang 27002:2013/(14.1.2 en 14.1.3)

Daar is drie groot verskille tussen die twee weergawes.

Alle toepassings vs toepassings wat deur openbare netwerke gaan

Die ISO 27002:2013-weergawe het nie vereistes gelys wat op alle toepassings van toepassing is nie: Dit het 'n lys van inligtingsekuriteitsvereistes verskaf wat oorweeg moet word vir toepassings wat deur openbare netwerke gaan.

Beheer 8.26 in die 2022-weergawe, inteendeel, 'n lys van inligtingsekuriteitsvereistes verskaf wat op alle toepassings van toepassing is.

Verdere leiding oor elektroniese bestel- en betalingsaansoeke

Beheer 8.26 in die 2022-weergawe bevat spesifieke leiding oor Elektroniese bestel- en betalingsaansoeke. Daarteenoor het die 2013 Weergawe nie hieraan aandag gegee nie.

Bykomende vereiste vir transaksiedienste

Terwyl die 2022-weergawe en die 2013-weergawe byna identies is in terme van die vereistes vir transaksionele dienste, stel die 2022-weergawe 'n bykomende vereiste in wat nie in die 2013-weergawe aangespreek is nie:

Organisasies moet kontraktuele vereistes en vereistes wat met versekering verband hou, oorweeg.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	Nuut	Bedreigingsintelligensie
5.23	Nuut	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	Nuut	IKT-gereedheid vir besigheidskontinuïteit
7.4	Nuut	Fisiese sekuriteitsmonitering
8.9	Nuut	Konfigurasiebestuur
8.10	Nuut	Inligting verwydering
8.11	Nuut	Datamaskering
8.12	Nuut	Voorkoming van datalekkasies
8.16	Nuut	Moniteringsaktiwiteite
8.23	Nuut	Webfiltrering
8.28	Nuut	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	Nuut	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	Nuut	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	Nuut	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	Nuut	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	Nuut	Konfigurasiebestuur
8.10	Nuut	Inligting verwydering
8.11	Nuut	Datamaskering
8.12	Nuut	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nuut	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	Nuut	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	Nuut	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISMS.online is 'n wolk-gebaseerde oplossing wat maatskappye help om voldoening aan ISO 27002 te toon. Die ISMS.online oplossing kan gebruik word om die vereistes van ISO 27002 en verseker dat jou organisasie aan die nuwe standaard voldoen.

Ons platform is gebruikersvriendelik en reguit. Dit is nie net vir hoogs tegniese individue nie; dit is vir almal in jou geselskap.

Kontak vandag nog om bespreek 'n demo.

ISO 27002:2022 – Beheer 8.26 – Toepassingsekuriteitsvereistes

Verstaan ISO 27002 Beheer 8.26: Toepassingsekuriteitsvereistes

Doel van beheer 8.26