- Se ISO 27002:2022 Kontroll 8.28 för mer information.
ISO 27001 Annex A 8.28: Stärka mjukvarusäkerhet med säker kodning
Användningen av dålig kodningsmetoder, såsom felaktig indatavalidering och svag nyckelgenerering, kan leda till cyberattacker och äventyra känslig informationstillgångar.
Av denna anledning utnyttjade hackare det ökända Heartbleed-felet för att komma åt mer än 4 miljoner patientjournaler.
För att förhindra säkerhetssårbarheter måste organisationer följa säkra kodningsprinciper.
Vad är syftet med ISO 27001:2022 bilaga A 8.28?
Pelle ISO 27001: 2022, Bilaga A Kontroll 8.28 hjälper organisationer att förebygga säkerhetsrisker och sårbarheter som kan uppstå på grund av dålig programvarukodning genom att utveckla, implementera och granska lämpliga metoder för säker programvarukodning.
Vem har äganderätten till bilaga A 8.28?
En informationssäkerhetschef bör vara ansvarig för att vidta lämpliga åtgärder för att säkerställa efterlevnad av 8.28, som kräver utveckling och implementering av säkra kodningsprinciper och -procedurer i hela organisationen.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Efterlevnadsriktlinjer för ISO 27001:2022 bilaga A 8.28
Organisationer måste utveckla och implementera säkra kodningsprocesser som gäller för produkter som tillhandahålls av externa parter och mjukvarukomponenter med öppen källkod, som beskrivs i ISO 27001 bilaga A Kontroll 8.28.
Dessutom bör organisationer förbli informerade om utvecklingen av verkliga säkerhetshot och den senaste informationen om kända eller potentiella säkerhetsbrister i programvaran. Genom att använda detta tillvägagångssätt kan organisationer utveckla robusta, säkra kodningsprinciper att bekämpa cyberhot under utveckling.
Kompletterande vägledning om planering
Det är viktigt att både nya kodningsprojekt och återanvändning av programvara följer säkra principer för programvarukodning.
Dessa principer bör följas både vid utveckling av programvara internt och vid överföring av mjukvaruprodukter eller tjänster.
Organisationer bör överväga följande faktorer när de utvecklar en plan för säker kodningsprinciper och bestämmer förutsättningarna för säker kodning:
- Säkerhetsförväntningar bör skräddarsys efter organisationens specifika behov och godkända principer för säker programvarukod bör fastställas för att gälla för intern programvara utveckling och outsourcade komponenter.
- Organisationer bör identifiera och dokumentera de vanligaste och historiska kodningsdesignmisstagen och dåliga kodningsmetoder för att förhindra datasäkerhetsbrott.
- Organisationer bör implementera och konfigurera mjukvaruutvecklingsverktyg för att säkerställa säkerheten för all kod som skapas. Integrerade utvecklingsmiljöer (IDE) är ett exempel på sådana verktyg.
- Programvaruutvecklingsverktyg bör ge vägledning och instruktioner för att hjälpa organisationer att följa riktlinjerna och instruktionerna.
- Utvecklingsverktyg som kompilatorer bör granskas, underhållas och användas säkert av organisationer.
Kompletterande vägledning om säkerhet under kodning
För att säkerställa säker kodningsmetoder och -procedurer bör följande beaktas under kodningsprocessen:
- Kodningsprinciper för säker programvara bör skräddarsys för varje programmeringsspråk och teknik.
- Testdriven utveckling och parprogrammering är exempel på säkra programmeringstekniker och metoder.
- Implementering av strukturerade programmeringstekniker.
- Dokumentation av koden och avlägsnande av defekter i koden.
- Det är förbjudet att använda osäkra programvarukodningsmetoder såsom ej godkända kodexempel eller hårdkodade lösenord.
Ett säkerhetstest bör utföras under och efter utveckling, enligt ISO 27001 bilaga A Kontroll 8.29.
Organisationer bör överväga följande saker innan de implementerar programvaran i en live-applikationsmiljö:
- Finns det en attackyta?
- Följs minsta privilegieprincipen?
- Analysera de vanligaste programmeringsfelen och dokumentera deras eliminering.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Kompletterande vägledning för granskningsprocessen
Efter implementeringen av koden i produktionsmiljön
- En säker metod bör användas för att tillämpa uppdateringar.
- Pelle ISO 27001:2022 bilaga A Kontroll 8.8, säkerhetsbrister bör åtgärdas.
- Register bör föras över misstänkta attacker och fel på informationssystem, och dessa register bör ses över regelbundet så att lämpliga ändringar kan göras.
- Användningen av verktyg som hanteringsverktyg bör användas för att förhindra obehörig åtkomst, användning eller modifiering av källkoden.
Organisationer bör överväga följande faktorer när de använder externa verktyg
- Regelbunden övervakning och uppdatering av externa bibliotek bör utföras per deras utgivningscykler.
- En grundlig granskning, urval och auktorisering av programvarukomponenter är avgörande, särskilt de som är relaterade till kryptografi och autentisering.
- Skaffa licenser för externa komponenter och säkerställa deras säkerhet.
- Det bör finnas ett system för att spåra och underhålla programvara. Dessutom måste det säkerställas att det kommer från en ansedd källa.
- Det är viktigt att ha långsiktiga utvecklingsresurser tillgängliga.
Följande faktorer bör beaktas när du gör ändringar i ett programvarupaket:
- Integritetsprocesser eller inbyggda kontroller kan utsätta en organisation för risker.
- Det är viktigt att avgöra om säljaren har samtyckt till ändringarna.
- Kan säljarens samtycke erhållas för att utföra regelbundna uppdateringar av programvaran?
- Den sannolika effekten av att underhålla programvaran när den förändras.
- Vilken effekt kommer förändringarna att ha på andra programvarukomponenter som organisationen använder?
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Ytterligare vägledning om ISO 27001:2022 bilaga A 8.28
Organisationer måste se till att de använder säkerhetsrelevant kod när det behövs och att den är resistent mot manipulering.
Bilaga A Kontroll 8.28 i ISO 27001:2022 ger följande rekommendationer för säkerhetsrelevant kod:
- Medan program som laddas ner via binär kod kommer att inkludera säkerhetsrelaterad kod i själva applikationen, kommer den att vara begränsad i omfattning till data som lagras internt i applikationen.
- Att hålla reda på säkerhetsrelevant kod är bara användbart om den körs på en server som inte kan nås av användaren och är separerad från de processer som använder den så att dess data hålls säker i en annan databas och säkert avskild från processerna som använder det. Det är möjligt att använda en molntjänst för att köra en tolkad kod, och du kan begränsa åtkomsten till koden till behöriga administratörer för att begränsa åtkomsten till koden. Rekommendationen är att dessa åtkomsträttigheter skyddas med just-in-time administratörsprivilegier och robusta autentiseringsmekanismer som endast ger åtkomst till webbplatsen vid rätt tidpunkt.
- En lämplig konfiguration bör implementeras på webbservrar för att förhindra obehörig åtkomst till och bläddring av kataloger på servern.
- För att utveckla säker applikationskod måste du anta att koden är sårbar för attacker på grund av kodningsfel och åtgärder som vidtas av illvilliga aktörer. En kritisk applikation bör utformas för att vara immun mot interna fel på ett sätt som förhindrar att den är utsatt för fel. Till exempel, när man utvärderar utdata från en algoritm, är det möjligt att säkerställa att utdata överensstämmer med säkerhetskraven innan algoritmen kan användas i kritiska applikationer, såsom de som är relaterade till ekonomi, innan den kan användas i applikationen.
- På grund av bristen på bra kodningsmetoder är vissa webbapplikationer mycket känsliga för säkerhetshot, såsom databasinjektion och skriptattacker över flera webbplatser.
- Det rekommenderas att organisationer hänvisar till ISO/IEC 15408 för mer information om IT-säkerhetsutvärdering och hur man genomför den.
Vilka är ändringarna från ISO 27001:2013?
Bilaga A 8.28 är en ny bilaga A-kontroll som har lagts till i ISO 27001:2022-standarden.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
ISO 27001:2022 Organisationskontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
ISO 27001:2022 Personkontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
ISO 27001:2022 Fysiska kontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
ISO 27001:2022 Tekniska kontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online hjälper
Oavsett om du är helt ny på informationssäkerhet eller vill lära dig om ISO 27001 kortfattat utan att behöva lägga tid på att läsa långa och detaljerade dokument eller lära dig från grunden, är vår plattform utformad specifikt för dig.
Med ISMS.Online kommer du enkelt åt dokumentmallar, checklistor och policyer som kan anpassas för att möta dina behov.
Vill du se hur det fungerar?
Hör av dig idag för att boka en demo.