Swak koderingspraktyke soos onbehoorlike insetvalidering en swak sleutelgenerering kan inligtingstelsels blootstel aan sekuriteitskwesbaarhede en tot kuberaanvalle en die kompromie van sensitiewe inligtingbates lei.
Byvoorbeeld, in die berugte Heartbleed gogga voorval, het kuberkrakers onbehoorlike invoervalidering in die kode uitgebuit om toegang tot meer as te kry 4 miljoen pasiënte se data.
Daarom moet organisasies verseker dat veilige koderingbeginsels gevolg word sodat swak koderingspraktyke nie tot sekuriteitskwesbaarhede lei nie.
Beheer 8.28 stel organisasies in staat om sekuriteitsrisiko's en kwesbaarhede wat kan ontstaan as gevolg van swak sagteware-koderingspraktyke te voorkom deur toepaslike veilige sagteware-koderingbeginsels te ontwerp, te implementeer en te hersien.
Beheer 8.28 is 'n voorkomende tipe beheer wat organisasies help om die sekuriteit van netwerke, stelsels en toepassings te handhaaf deur risiko's uit te skakel wat mag ontstaan uit swak ontwerpte sagtewarekode.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Toepassingsekuriteit #Stelsel- en netwerksekuriteit | #Beskerming |
Aangesien 8.28 die ontwerp en implementering van organisasiewye veilige koderingbeginsels en -prosedures vereis, behoort die hoofinligtingsekuriteitsbeampte verantwoordelik te wees om toepaslike stappe vir voldoening te neem.
Beheer 8.28 vereis van organisasies om organisasiewye prosesse vir veilige kodering daar te stel en te implementeer wat van toepassing is op beide sagtewareprodukte verkry van eksterne partye en op oopbronsagtewarekomponente.
Verder moet organisasies op hoogte bly van ontwikkelende werklike sekuriteitsbedreigings en met die mees onlangse inligting oor bekende of potensiële sagteware-sekuriteitskwesbaarhede. Dit sal organisasies in staat stel om robuuste veilige sagteware-koderingbeginsels te verbeter en te implementeer wat effektief is teen ontwikkelende kuberbedreigings.
Veilige sagteware kodering beginsels moet gevolg word beide vir nuwe kodering projekte en vir sagteware hergebruik bedrywighede.
Hierdie beginsels moet nagekom word vir beide in-huis sagteware-ontwikkeling aktiwiteite en vir die oordrag van die organisasie se sagteware produkte of dienste aan derde partye.
By die opstel van 'n plan vir veilige koderingbeginsels en die bepaling van die voorvereistes vir veilige kodering, moet organisasies aan die volgende voldoen:
Veilige koderingspraktyke en -prosedures moet die volgende in ag neem vir die koderingsproses:
Aanvullende leiding merk ook op dat sekuriteitstoetsing beide tydens en na die ontwikkeling uitgevoer moet word in ooreenstemming met Beheer 8.29.
Voordat die sagteware in die lewendige toepassingsomgewing gebruik word, moet organisasies die volgende oorweeg:
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
Organisasies moet verseker dat sekuriteitsrelevante kode gebruik word wanneer dit nodig is en bestand is teen gepeuter.
Beheer 8.28 lys ook die volgende aanbevelings vir sekuriteitsrelevante kode:
27002:2022/8.28 is 'n nuwe tipe beheer.
Ons platform is spesifiek ontwikkel vir diegene wat nuut is in inligtingsekuriteit of 'n maklike manier nodig het om oor ISO 27002 te leer sonder om tyd te spandeer om van nuuts af te leer of deur lang dokumente te lees.
ISMS.Online is toegerus met al die gereedskap wat nodig is om voldoening te bereik, insluitend dokumentsjablone, kontrolelyste en beleide wat volgens jou behoeftes aangepas kan word.
Wil u sien hoe dit werk?
Kontak vandag nog om bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |