Installation av programvara på operativa system

Syfte med kontroll 8.19

Operativ programvara kan i stora drag beskrivas som vilken mjukvara som helst som verksamheten aktivt använder för att bedriva sin verksamhet, till skillnad från testprogramvara eller utvecklingsprojekt.

Det är mycket viktigt att säkerställa att programvara installeras och hanteras på ett givet nätverk i enlighet med en strikt uppsättning regler och krav som minimerar risker, förbättrar effektiviteten och upprätthåller säkerheten inom interna och externa nätverk och tjänster.

Attributtabell för kontroll 8.19

Kontroll 8.19 är en förebyggande kontroll den där upprätthåller risken genom att upprätta en uppsättning regler som styr installationen av programvara på operativa system.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Skydda	#Säker konfiguration	#Skydd
	#Integritet		#Applikationssäkerhet
	#Tillgänglighet

Äganderätt till kontroll 8.19

Kontroll 8.19 behandlar tekniska begrepp som rör underhåll och förvaltning av operativa datorsystem. Som sådan bör ägandet ligga hos IT-chefen eller motsvarande i organisationen.

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo

Allmän vägledning om efterlevnad

För att säkert kunna hantera förändringar och installationer i sitt nätverk bör organisationer:

Se till att mjukvaruuppdateringar endast utförs av utbildad och kompetent personal (se Kontroll 8.5).
Installera endast robust körbar kod som är fri från buggar och som säkert har lämnat utvecklingsstadiet.
Installera och/eller uppdatera programvaran först efter att uppdateringen eller patchen har testats framgångsrikt, och organisationen är säker på att inga konflikter eller fel kommer att uppstå.
Upprätthålla ett uppdaterat bibliotekssystem.
Använd ett "konfigurationskontrollsystem" som hanterar alla instanser av operativ programvara, inklusive programdokumentation.
Kom överens om en "återställningsstrategi" före eventuella uppdateringar eller installationer, för att säkerställa affärskontinuitet i händelse av ett oförutsett fel eller konflikt.
För en logg över eventuella uppdateringar som utförts av operativ programvara, inklusive en sammanfattning av uppdateringen, den inblandade personalen och en tidsstämpel.
Se till att oanvänd programvara – inklusive all dokumentation, konfigurationsfiler, systemloggar, stödjande procedurer – lagras säkert för vidare användning om behov skulle uppstå.
Genomför en strikt uppsättning regler för vilken typ av programvarupaket som användare kan installera, baserat på principerna om "minst privilegierade" och i enlighet med relevanta roller och ansvarsområden.

Vägledning – Leverantörsprogramvara

När det gäller leverantörslevererad programvara (t.ex. all programvara som används vid drift av maskiner eller för en skräddarsydd affärsfunktion) bör sådan programvara alltid hållas i gott skick genom att hänvisa till leverantörens riktlinjer för säker och säker drift.

Det är viktigt att notera att även där programvara eller programvarumoduler tillhandahålls och hanteras externt (dvs organisationen är inte ansvarig för några uppdateringar), bör åtgärder vidtas för att säkerställa att uppdateringar från tredje part inte kompromissar med integriteten hos organisationens nätverk.

Organisationer bör undvika att använda programvara från leverantörer som inte stöds om det inte är absolut nödvändigt, och överväga de tillhörande säkerhetsriskerna med att använda redundanta applikationer i motsats till en uppgradering till nyare och säkrare system.

Om en leverantör kräver åtkomst till en organisations nätverk för att utföra en installation eller uppdatering, bör aktiviteten övervakas och valideras i linje med alla relevanta auktoriseringsprocedurer (se Kontroll 5.22).

Kompletterande vägledning om kontroll 8.19

Programvara bör uppgraderas, installeras och/eller korrigeras i enlighet med organisationens publicerade ändringshanteringsprocedurer, för att säkerställa enhetlighet med andra delar av verksamheten.

Närhelst en patch identifieras som antingen helt eliminerar en sårbarhet (eller serie av sårbarheter) eller på något sätt hjälper till att förbättra organisationens informationssäkerhetsverksamhet, bör sådana förändringar nästan alltid tillämpas (även om det fortfarande finns ett behov av att bedöma sådana förändringar på från fall till fall).

Där det uppstår behov av att använda programvara med öppen källkod bör denna alltid vara av den senaste allmänt tillgängliga versionen som underhålls aktivt. Följaktligen bör organisationer överväga de inneboende riskerna med att använda ounderhållen programvara inom alla affärsfunktioner.

Stödkontroller

5.22
8.5

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo

Ändringar och skillnader från ISO 27002:2013

ISO 27002:2022-8.19 ersätter ISO 27002:2003-12.5.1 (Installation av programvara på operativsystem) och 12.6.2 (Restriktioner för installation av programvara).

27002:2022-8.19 är en sammanslagning av de flesta råd som finns i 27002:2003-12.5.1 och 12.6.2, med flera nyckelbegrepp som kortfattat utvidgas och med tillägg av några nya styrande principer:

Underhålla ett bibliotekssystem.
Regler som styr användningen av programvara med öppen källkod.
Närmare logiska kontroller av installation och underhåll av leverantörsprogramvara.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	NYA	Hot intelligens
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.30	NYA	ICT-beredskap för kontinuitet i verksamheten
7.4	NYA	Fysisk säkerhetsövervakning
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.16	NYA	Övervakningsaktiviteter
8.23	NYA	Webbfiltrering
8.28	NYA	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	NYA	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	5.30	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	NYA	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	NYA	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	NYA	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	NYA	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISMS.Online är en komplett lösning för implementering av ISO 27002. Det är ett webbaserat system som låter dig visa att ditt ledningssystem för informationssäkerhet (ISMS) är kompatibelt med de godkända standarderna med hjälp av genomtänkta processer, procedurer och checklistor.

Det är inte bara en lättanvänd plattform för att hantera din ISO 27002-implementering, utan också ett utmärkt verktyg för att utbilda din personal i bästa praxis och processer för informationssäkerhet, samt dokumentera alla dina ansträngningar.

Fördelarna med att använda ISMS.Online:

Enkel att använda onlineplattform som kan nås från vilken enhet som helst.
Det är helt anpassningsbart för att möta dina behov.
Anpassningsbara arbetsflöden och processer för att passa dina affärsbehov.
Utbildningsverktyg som hjälper nyanställda att komma igång snabbare.
Ett bibliotek med mallar för dokument som policyer, procedurer, planer och checklistor.

Hör av dig idag för att boka en demo.

Vi är ledande inom vårt område