ISO 27001:2022 Bilaga A Kontroll 8.28

Efterlevnadsriktlinjer för ISO 27001:2022 bilaga A 8.28

Organisationer måste utveckla och implementera säkra kodningsprocesser som gäller för produkter som tillhandahålls av externa parter och mjukvarukomponenter med öppen källkod, som beskrivs i ISO 27001 bilaga A Kontroll 8.28.

Dessutom bör organisationer förbli informerade om utvecklingen av verkliga säkerhetshot och den senaste informationen om kända eller potentiella säkerhetsbrister i programvaran. Genom att använda detta tillvägagångssätt kan organisationer utveckla robusta, säkra kodningsprinciper att bekämpa cyberhot under utveckling.

Kompletterande vägledning om planering

Det är viktigt att både nya kodningsprojekt och återanvändning av programvara följer säkra principer för programvarukodning.

Dessa principer bör följas både vid utveckling av programvara internt och vid överföring av mjukvaruprodukter eller tjänster.

Organisationer bör överväga följande faktorer när de utvecklar en plan för säker kodningsprinciper och bestämmer förutsättningarna för säker kodning:

• Säkerhetsförväntningar bör skräddarsys efter organisationens specifika behov och godkända principer för säker programvarukod bör fastställas för att gälla för intern programvara utveckling och outsourcade komponenter.
• Organisationer bör identifiera och dokumentera de vanligaste och historiska kodningsdesignmisstagen och dåliga kodningsmetoder för att förhindra datasäkerhetsbrott.
• Organisationer bör implementera och konfigurera mjukvaruutvecklingsverktyg för att säkerställa säkerheten för all kod som skapas. Integrerade utvecklingsmiljöer (IDE) är ett exempel på sådana verktyg.
• Programvaruutvecklingsverktyg bör ge vägledning och instruktioner för att hjälpa organisationer att följa riktlinjerna och instruktionerna.
• Utvecklingsverktyg som kompilatorer bör granskas, underhållas och användas säkert av organisationer.

Kompletterande vägledning om säkerhet under kodning

För att säkerställa säker kodningsmetoder och -procedurer bör följande beaktas under kodningsprocessen:

• Kodningsprinciper för säker programvara bör skräddarsys för varje programmeringsspråk och teknik.
• Testdriven utveckling och parprogrammering är exempel på säkra programmeringstekniker och metoder.
• Implementering av strukturerade programmeringstekniker.
• Dokumentation av koden och avlägsnande av defekter i koden.
• Det är förbjudet att använda osäkra programvarukodningsmetoder såsom ej godkända kodexempel eller hårdkodade lösenord.

Ett säkerhetstest bör utföras under och efter utveckling, enligt ISO 27001 bilaga A Kontroll 8.29.

Organisationer bör överväga följande saker innan de implementerar programvaran i en live-applikationsmiljö:

• Finns det en attackyta?
• Följs minsta privilegieprincipen?
• Analysera de vanligaste programmeringsfelen och dokumentera deras eliminering.

Kompletterande vägledning för granskningsprocessen

Efter implementeringen av koden i produktionsmiljön

• En säker metod bör användas för att tillämpa uppdateringar.
• Pelle ISO 27001:2022 bilaga A Kontroll 8.8, säkerhetsbrister bör åtgärdas.
• Register bör föras över misstänkta attacker och fel på informationssystem, och dessa register bör ses över regelbundet så att lämpliga ändringar kan göras.
• Användningen av verktyg som hanteringsverktyg bör användas för att förhindra obehörig åtkomst, användning eller modifiering av källkoden.

Organisationer bör överväga följande faktorer när de använder externa verktyg

• Regelbunden övervakning och uppdatering av externa bibliotek bör utföras per deras utgivningscykler.
• En grundlig granskning, urval och auktorisering av programvarukomponenter är avgörande, särskilt de som är relaterade till kryptografi och autentisering.
• Skaffa licenser för externa komponenter och säkerställa deras säkerhet.
• Det bör finnas ett system för att spåra och underhålla programvara. Dessutom måste det säkerställas att det kommer från en ansedd källa.
• Det är viktigt att ha långsiktiga utvecklingsresurser tillgängliga.

Följande faktorer bör beaktas när du gör ändringar i ett programvarupaket:

• Integritetsprocesser eller inbyggda kontroller kan utsätta en organisation för risker.
• Det är viktigt att avgöra om säljaren har samtyckt till ändringarna.
• Kan säljarens samtycke erhållas för att utföra regelbundna uppdateringar av programvaran?
• Den sannolika effekten av att underhålla programvaran när den förändras.
• Vilken effekt kommer förändringarna att ha på andra programvarukomponenter som organisationen använder?

Ytterligare vägledning om ISO 27001:2022 bilaga A 8.28

Organisationer måste se till att de använder säkerhetsrelevant kod när det behövs och att den är resistent mot manipulering.

Bilaga A Kontroll 8.28 i ISO 27001:2022 ger följande rekommendationer för säkerhetsrelevant kod:

• Medan program som laddas ner via binär kod kommer att inkludera säkerhetsrelaterad kod i själva applikationen, kommer den att vara begränsad i omfattning till data som lagras internt i applikationen.
• Att hålla reda på säkerhetsrelevant kod är bara användbart om den körs på en server som inte kan nås av användaren och är separerad från de processer som använder den så att dess data hålls säker i en annan databas och säkert avskild från processerna som använder det. Det är möjligt att använda en molntjänst för att köra en tolkad kod, och du kan begränsa åtkomsten till koden till behöriga administratörer för att begränsa åtkomsten till koden. Rekommendationen är att dessa åtkomsträttigheter skyddas med just-in-time administratörsprivilegier och robusta autentiseringsmekanismer som endast ger åtkomst till webbplatsen vid rätt tidpunkt.
• En lämplig konfiguration bör implementeras på webbservrar för att förhindra obehörig åtkomst till och bläddring av kataloger på servern.
• För att utveckla säker applikationskod måste du anta att koden är sårbar för attacker på grund av kodningsfel och åtgärder som vidtas av illvilliga aktörer. En kritisk applikation bör utformas för att vara immun mot interna fel på ett sätt som förhindrar att den är utsatt för fel. Till exempel, när man utvärderar utdata från en algoritm, är det möjligt att säkerställa att utdata överensstämmer med säkerhetskraven innan algoritmen kan användas i kritiska applikationer, såsom de som är relaterade till ekonomi, innan den kan användas i applikationen.
• På grund av bristen på bra kodningsmetoder är vissa webbapplikationer mycket känsliga för säkerhetshot, såsom databasinjektion och skriptattacker över flera webbplatser.
• Det rekommenderas att organisationer hänvisar till ISO/IEC 15408 för mer information om IT-säkerhetsutvärdering och hur man genomför den.

Vilka är ändringarna från ISO 27001:2013?

Bilaga A 8.28 är en ny bilaga A-kontroll som har lagts till i ISO 27001:2022-standarden.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Hur ISMS.online hjälper

Oavsett om du är helt ny på informationssäkerhet eller vill lära dig om ISO 27001 kortfattat utan att behöva lägga tid på att läsa långa och detaljerade dokument eller lära dig från grunden, är vår plattform utformad specifikt för dig.

Med ISMS.Online kommer du enkelt åt dokumentmallar, checklistor och policyer som kan anpassas för att möta dina behov.

Vill du se hur det fungerar?

Hör av dig idag för att boka en demo.