ISO 27002:2022, Beheer 8.28 – Veilige kodering

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

man, hande, werk, op, skootrekenaar

Swak koderingspraktyke soos onbehoorlike insetvalidering en swak sleutelgenerering kan inligtingstelsels blootstel aan sekuriteitskwesbaarhede en tot kuberaanvalle en die kompromie van sensitiewe inligtingbates lei.

Byvoorbeeld, in die berugte Heartbleed gogga voorval, het kuberkrakers onbehoorlike invoervalidering in die kode uitgebuit om toegang tot meer as te kry 4 miljoen pasiënte se data.

Daarom moet organisasies verseker dat veilige koderingbeginsels gevolg word sodat swak koderingspraktyke nie tot sekuriteitskwesbaarhede lei nie.

Doel van beheer 8.28

Beheer 8.28 stel organisasies in staat om sekuriteitsrisiko's en kwesbaarhede wat kan ontstaan ​​as gevolg van swak sagteware-koderingspraktyke te voorkom deur toepaslike veilige sagteware-koderingbeginsels te ontwerp, te implementeer en te hersien.

Eienskappe tabel

Beheer 8.28 is 'n voorkomende tipe beheer wat organisasies help om die sekuriteit van netwerke, stelsels en toepassings te handhaaf deur risiko's uit te skakel wat mag ontstaan ​​uit swak ontwerpte sagtewarekode.

beheer TipeEienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende #Vertroulikheid
#Integriteit
#Beskikbaarheid		#Beskerm #Toepassingsekuriteit
#Stelsel- en netwerksekuriteit		#Beskerming
Spring na Onderwerp
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Eienaarskap van beheer 8.28

Aangesien 8.28 die ontwerp en implementering van organisasiewye veilige koderingbeginsels en -prosedures vereis, behoort die hoofinligtingsekuriteitsbeampte verantwoordelik te wees om toepaslike stappe vir voldoening te neem.

Algemene riglyne oor nakoming

Beheer 8.28 vereis van organisasies om organisasiewye prosesse vir veilige kodering daar te stel en te implementeer wat van toepassing is op beide sagtewareprodukte verkry van eksterne partye en op oopbronsagtewarekomponente.

Verder moet organisasies op hoogte bly van ontwikkelende werklike sekuriteitsbedreigings en met die mees onlangse inligting oor bekende of potensiële sagteware-sekuriteitskwesbaarhede. Dit sal organisasies in staat stel om robuuste veilige sagteware-koderingbeginsels te verbeter en te implementeer wat effektief is teen ontwikkelende kuberbedreigings.

Aanvullende leiding oor beplanning

Veilige sagteware kodering beginsels moet gevolg word beide vir nuwe kodering projekte en vir sagteware hergebruik bedrywighede.

Hierdie beginsels moet nagekom word vir beide in-huis sagteware-ontwikkeling aktiwiteite en vir die oordrag van die organisasie se sagteware produkte of dienste aan derde partye.

By die opstel van 'n plan vir veilige koderingbeginsels en die bepaling van die voorvereistes vir veilige kodering, moet organisasies aan die volgende voldoen:

  • Organisasies moet sekuriteitsverwagtinge bepaal wat aangepas is vir hul behoeftes en goedgekeurde beginsels vir veilige sagtewarekodering daarstel wat van toepassing sal wees op beide interne sagteware-ontwikkeling en uitgekontrakteerde sagtewarekomponente.

  • Organisasies moet die mees algemene en historiese swak kodering-ontwerppraktyke en -foute opspoor en dokumenteer wat lei tot die kompromie van inligtingsekuriteit.

  • Organisasies moet sagteware-ontwikkelingsnutsmiddels in plek stel en konfigureer om die sekuriteit van alle kode wat geskep word, te verseker. Een voorbeeld van sulke instrumente is geïntegreerde ontwikkelingsomgewings (IDE).

  • Organisasies moet voldoen aan die leiding en instruksies wat deur sagteware-ontwikkelingsinstrumente verskaf word.

  • Organisasies moet ontwikkelingsinstrumente soos samestellers hersien, onderhou en veilig gebruik.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Aanvullende leiding oor sekuriteit tydens kodering

Veilige koderingspraktyke en -prosedures moet die volgende in ag neem vir die koderingsproses:

  • Veilige sagteware kodering beginsels moet aangepas word vir elke programmeertaal en tegnieke wat gebruik word.

  • Ontplooiing van veilige programmeringstegnieke en -metodes soos toetsgedrewe ontwikkeling en paarprogrammering.

  • Gebruik van gestruktureerde programmeringsmetodes.

  • Behoorlike kode dokumentasie en verwydering van kode defekte.

  • Verbod op die gebruik van onveilige sagteware-koderingsmetodes soos nie-goedgekeurde kodemonsters of hardgekodeerde wagwoorde.

Aanvullende leiding merk ook op dat sekuriteitstoetsing beide tydens en na die ontwikkeling uitgevoer moet word in ooreenstemming met Beheer 8.29.

Voordat die sagteware in die lewendige toepassingsomgewing gebruik word, moet organisasies die volgende oorweeg:

  • Wat is die aanvaloppervlak?

  • Word die beginsel van minste bevoorregting gevolg?

  • Ontleding van die mees algemene programmeringsfoute en dokumentasie dat hierdie risiko's uitgeskakel is.

Aanvullende leiding oor hersieningsproses

Nadat die kode in die produksie-omgewing in gebruik geneem is

  • Opdaterings moet op 'n veilige manier toegepas word.

  • Sekuriteitskwesbaarhede wat in ooreenstemming met Beheer 8.8 aangemeld is, moet aangespreek word.

  • Vermeende aanvalle op inligtingstelsels en foute moet aangeteken word en hierdie rekords moet met gereelde tussenposes hersien word sodat toepaslike veranderinge aan kode gemaak kan word.

  • Ongemagtigde toegang tot, gebruik van of veranderinge aan bronkode moet deur meganismes soos bestuursnutsmiddels voorkom word.

Wanneer organisasies eksterne gereedskap gebruik, moet hulle die volgende in ag neem

  • Eksterne biblioteke moet met gereelde tussenposes gemonitor en bygewerk word op grond van hul vrystellingsiklusse.

  • Sagtewarekomponente moet noukeurig nagegaan, geselekteer en gemagtig word, veral kriptografie- en verifikasiekomponente.

  • Lisensiëring van eksterne komponente en die versekering van hul sekuriteit.

  • Sagteware moet opgespoor en onderhou word. Verder moet verseker word dat dit van 'n betroubare bron kom.

  • Ontwikkelingshulpbronne behoort vir die langtermyn beskikbaar te wees.

Wanneer veranderinge aan 'n sagtewarepakket gemaak word, moet die volgende oorweeg word

  • Risiko's wat kan ontstaan ​​uit ingeboude kontroles of kompromie van integriteitsprosesse.

  • Of die verkoper toestemming gee tot veranderinge.

  • Of dit moontlik is om toestemming van die sagtewareverkoper te kry vir gereelde opdaterings.

  • Die waarskynlike impak van die instandhouding van die sagteware wat voortspruit uit veranderinge.

  • Of die veranderinge versoenbaar is met ander sagtewarekomponente wat deur die organisasie gebruik word.

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

Bykomende leiding oor beheer 8.28

Organisasies moet verseker dat sekuriteitsrelevante kode gebruik word wanneer dit nodig is en bestand is teen gepeuter.

Beheer 8.28 lys ook die volgende aanbevelings vir sekuriteitsrelevante kode:

  • Terwyl programme wat via binêre kode geïnstalleer is, sekuriteitsrelevante kode insluit, is dit beperk tot die data wat in die toepassing self gestoor word.

  • Konsep van sekuriteitsrelevante kode is slegs nuttig wanneer kode op 'n bediener uitgevoer word wat nie vir die gebruiker toeganklik is nie en dit geskei is van die prosesse wat dit gebruik en die data daarvan veilig in 'n ander databasis gehou word. U kan byvoorbeeld 'n geïnterpreteerde kode op 'n wolkdiens laat loop en toegang tot kode kan beperk word tot bevoorregte administrateurs. Dit word aanbeveel dat jy hierdie toegangsregte beskerm deur middel van metodes soos net-betyds administrateur voorregte en robuuste stawingmeganismes.

  • Toepaslike konfigurasies op webbedieners moet geïmplementeer word om ongemagtigde toegang tot en blaai deur die gids te voorkom.

  • Wanneer u toepassingskode ontwerp, moet u begin met die aanname dat die kode kwesbaar is vir aanvalle as gevolg van koderingsfoute en optrede deur kwaadwillige akteurs. Jy moet kritieke toepassings ontwerp op 'n manier dat hulle nie kwesbaar is vir interne foute nie. Die uitset wat deur 'n algoritme geproduseer word, kan byvoorbeeld hersien word om te verseker dat dit aan sekuriteitsvereistes voldoen voordat dit in kritieke toepassings soos finansiesverwante toepassings gebruik kan word.

  • Sekere webtoepassings is hoogs kwesbaar vir sekuriteitsbedreigings as gevolg van swak koderingspraktyke soos databasisinspuiting en kruis-werf script-aanvalle.

  • Organisasies moet na ISO/IEC 15408-reeks verwys vir meer inligting oor IT-sekuriteitsevaluering.

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.28 is 'n nuwe tipe beheer.

Hoe ISMS.online help

Ons platform is spesifiek ontwikkel vir diegene wat nuut is in inligtingsekuriteit of 'n maklike manier nodig het om oor ISO 27002 te leer sonder om tyd te spandeer om van nuuts af te leer of deur lang dokumente te lees.

ISMS.Online is toegerus met al die gereedskap wat nodig is om voldoening te bereik, insluitend dokumentsjablone, kontrolelyste en beleide wat volgens jou behoeftes aangepas kan word.

Wil u sien hoe dit werk?

Kontak vandag nog om bespreek 'n demo.

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind