Förstå ISO 27002 Control 8.26: Application Security Requirements
Tillämpningsprogram som webbapplikationer, grafikmjukvara, databasprogramvara och programvara för betalningshantering är avgörande för många kritiska affärsverksamheter.
Dessa applikationer utsätts dock ofta för säkerhetssårbarheter som kan leda till att känslig information äventyras.
Till exempel misslyckades Equifax, en USA-baserad kreditbyrå, att tillämpa en säkerhetskorrigering på ett ramverk för webbplatsapplikationer som används för att hantera kundklagomål. Cyberangriparna använde säkerhetsproblem i webbapplikationen för att infiltrera Equifax företagsnätverk och stal känslig data om cirka 145 miljoner människor.
Kontroll 8.26 tar upp hur organisationer kan fastställa och tillämpa krav på informationssäkerhet för utveckling, användning och förvärv av applikationer.
Syfte med kontroll 8.26
Kontroll 8.26 gör det möjligt för organisationer att skydda informationstillgångar som lagras på eller bearbetas genom applikationer genom att identifiera och tillämpa lämpliga informationssäkerhetskrav.
Attributtabell för kontroll 8.26
Kontroll 8.26 är en förebyggande typ av kontroll som förhindrar risker för integriteten, tillgängligheten och sekretessen för informationstillgångar som lagras på applikation genom användning av lämpliga informationssäkerhetsåtgärder.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Applikationssäkerhet | #Skydd |
| #Integritet | #System- och nätverkssäkerhet | #Försvar | ||
| #Tillgänglighet |
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll 8.26
Chief Information Security Officer, med stöd av informationssäkerhetsspecialister, bör ansvara för identifiering, godkännande och implementering av informationskrav för anskaffning, användning och utveckling av applikationer.
Allmän vägledning om efterlevnad
Allmänna riktlinjer noterar att organisationer bör utföra en riskbedömning för att fastställa typen av informationssäkerhetskrav lämplig för en viss applikation.
Medan innehållet och typerna av krav på informationssäkerhet kan variera beroende på vilken typ av ansökan, kraven bör ta upp följande:
- Graden av förtroende som tilldelas identiteten för specifika enheter i enlighet med kontroll 5.17, 8.2 och 8.5.
- Identifiering av klassificeringsnivån tilldelas informationstillgångar ska lagras på eller behandlas av applikationen.
- Om det finns behov av att separera åtkomsten till funktioner och information som lagras i applikationen.
- Oavsett om applikationen är motståndskraftig mot cyberattacker som SQL-injektioner eller oavsiktliga avlyssningar som buffertspill.
- Lagliga, regulatoriska och lagstadgade krav och standarder som är tillämpliga på transaktionen som bearbetas, genereras, lagras eller slutförs av applikationen.
- Sekretessöverväganden för alla inblandade parter.
- Krav på skydd av konfidentiella uppgifter.
- Skydd av information när den används, under transport eller i vila.
- Vare säker kryptering av kommunikation mellan alla berörda parter är nödvändigt.
- Implementering av indatakontroller såsom indatavalidering eller utförande av integritetskontroller.
- Utföra automatiserade kontroller.
- Utföra utdatakontroller, med hänsyn till vem som kan se utdata och behörigheten för Access.
- Behöver införa begränsningar för innehållet i "fritext"-fält för att skydda spridningen av konfidentiella uppgifter på ett okontrollerbart sätt.
- Krav som härrör från affärsbehov såsom loggning av transaktioner och krav på icke-avvisning.
- Krav som ställs av andra säkerhetskontroller såsom system för upptäckt av dataläckage.
- Hur man hanterar felmeddelanden.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Kompletterande vägledning om transaktionstjänster
Kontroll 8.26 kräver att organisationer tar hänsyn till följande sju rekommendationer när en applikation erbjuder transaktionstjänster mellan organisationen och en partner:
- Graden av förtroende varje part i transaktionen kräver för den andra partens identitet.
- Graden av förtroende som krävs för integriteten hos data som kommuniceras eller behandlas och identifiering av en lämplig mekanism för att upptäcka eventuell brist på integritet, inklusive verktyg som hash och digitala signaturer.
- Upprättande av en auktoriseringsprocess för vem som får godkänna innehållet i, signera eller signera väsentliga transaktionsdokument.
- Upprätthålla konfidentialitet och integritet för de kritiska dokumenten och bevisa sändning och mottagande av sådana dokument.
- Skydda och upprätthålla integriteten och sekretessen för alla transaktioner som order och kvitton.
- Krav för vilken tidsperiod transaktioner ska hållas konfidentiella.
- Kontraktskrav och krav relaterade till försäkring.
Kompletterande vägledning om elektronisk beställning och betalningsansökningar
När applikationer inkluderar betalning och elektronisk beställningsfunktion, bör organisationer ta hänsyn till följande:
- Krav säkerställer att konfidentialitet och integritet för orderinformation inte äventyras.
- Bestämma en lämplig grad av verifiering för att verifiera betalningsinformationen som tillhandahålls av en kund.
- Förhindra förlust eller dubblering av transaktionsinformation.
- Säkerställa att information relaterad till information lagras utanför en allmänt tillgänglig miljö såsom på ett lagringsmedium som finns på organisationens eget intranät.
- När organisationer förlitar sig på en betrodd extern myndighet, till exempel för utfärdande av digitala signaturer, måste de säkerställa att säkerheten är integrerad i hela processen.
Kompletterande vägledning om nätverk
När applikationer nås via nätverk är de sårbara för hot som kontraktstvister, bedrägliga aktiviteter, feldirigering, obehöriga ändringar av innehållet i kommunikation eller förlust av konfidentialitet för känslig information.
Kontroll 8.26 rekommenderar att organisationer utför omfattande riskbedömningar för att identifiera lämpliga kontroller såsom användning av kryptografi för att säkerställa säkerheten för informationsöverföringar.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022/8.26 ersätt 27002:2013/(14.1.2 och 14.1.3)
Det finns tre stora skillnader mellan de två versionerna.
Alla applikationer kontra applikationer som passerar genom offentliga nätverk
ISO 27002:2013-versionen listade inte krav som gäller för alla applikationer: Den gav en lista över informationssäkerhetskrav som bör beaktas för applikationer som passerar genom offentliga nätverk.
Kontroll 8.26 i 2022 års version, tvärtom, tillhandahållit en lista över informationssäkerhetskrav som gäller för alla applikationer.
Ytterligare vägledning om elektronisk beställning och betalningsansökningar
Kontroll 8.26 i 2022 års version innehåller specifik vägledning om Elektroniska beställnings- och betalningsapplikationer. Däremot tog 2013 års version inte upp detta.
Ytterligare krav på transaktionstjänster
Medan 2022-versionen och 2013-versionen är nästan identiska när det gäller kraven för transaktionstjänster, inför 2022-versionen ett ytterligare krav som inte tas upp i 2013 års version:
- Organisationer bör överväga avtalskrav och krav relaterade till försäkring.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.online hjälper
ISMS.online är en molnbaserad lösning som hjälper företag att visa efterlevnad av ISO 27002. ISMS.online-lösningen kan användas för att hantera kraven på ISO 27002 och se till att din organisation förblir kompatibel med den nya standarden.
Vår plattform är användarvänlig och enkel. Det är inte bara för mycket tekniska individer; det är för alla i ditt företag.
Hör av dig idag för att boka en demo.
