Implementering av ISO 27002 Control 8.27 för starkare säkerhet
Komplexa sammansättningar av moderna informationssystem och det ständigt föränderliga landskapet för cybersäkerhetshot gör informationssystem mer sårbara för kända och potentiella säkerhetshot.
Kontroll 8.27, tar upp hur organisationer kan eliminera säkerhetshot mot informationssystem genom att skapa säkra systemtekniska principer som tillämpas på alla faser av informationssystemets livscykel.
Syfte med kontroll 8.27
Kontroll 8.27 gör det möjligt för organisationer att upprätthålla säkerhet för informationssystem under design-, driftsättnings- och driftstadierna genom att etablera och implementera säkra systemteknikprinciper som systemingenjörer följer.
Attributtabell för kontroll 8.27
Kontroll 8.27 är en förebyggande typ av kontroll som kräver att organisationer eliminerar kända och potentiella hot mot sekretess, integritet och tillgänglighet av informationstillgångar lagras på eller bearbetas genom informationssystem som lagringsmedia, databaser och applikationer genom att etablera principer för säker systemutveckling.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Applikationssäkerhet | #Skydd |
| #Integritet | #System- och nätverkssäkerhet | |||
| #Tillgänglighet |
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll 8.27
Chef Informationssäkerhetsansvarig bör hållas ansvarig för upprättande, underhåll och implementering av principer som styr säker konstruktion av informationssystem.
Allmän vägledning om efterlevnad
Kontroll 8.27 belyser det organisationer bör integrera säkerhet i alla lager av informationssystem, inklusive affärsprocesser, applikationer och dataarkitektur.
Dessutom, säkra tekniska principer bör gälla för all verksamhet som rör informationssystem och bör vara föremål för regelbunden granskning och uppdateringar med hänsyn till nya hot och attackmönster.
Utöver informationssystem som utvecklas och drivs internt, gäller Kontroll 8.27 även informationssystem skapade av externa tjänsteleverantörer.
Därför bör organisationer se till att tjänsteleverantörers praxis och standarder följer deras egna säkra tekniska principer.
Kontroll 8.27 kräver säkra systemtekniska principer för att täcka de åtta följande frågorna:
- Vägledning om metoder för användarautentisering.
- Vägledning om säker sessionskontroll.
- Vägledning om datasanering och valideringsprocedurer.
- Omfattande analys av alla säkerhetsåtgärder behövs för att skydda informationstillgångar och system mot kända hot.
- Omfattande analys av säkerhetsåtgärdernas förmåga att identifiera, eliminera och reagera på säkerhetshot.
- Analyserar säkerhetsåtgärder som tillämpas på specifik affärsverksamhet såsom kryptering av information.
- Hur säkerhetsåtgärder kommer att genomföras och var. Detta kan innefatta integration av en specifik säkerhetskontroll inom teknisk infrastruktur.
- Hur olika säkerhetsåtgärder fungerar tillsammans och fungerar som en kombinerad uppsättning kontroller.
Vägledning om nollförtroendeprincipen
Organisationer bör överväga följande nollförtroendeprinciper:
- Börja med antagandet att organisationens system redan är komprometterade och att den definierade nätverksperimetersäkerheten inte längre är effektiv.
- Att anta ett tillvägagångssätt "aldrig lita på och alltid verifiera" för att ge tillgång till informationssystem.
- Att tillhandahålla försäkran om att förfrågningar som görs till informationssystem är skyddade med end-to-end-kryptering.
- Implementering av verifieringsmekanism som förutsätter förfrågningar om tillgång till information system är gjorda av externa, öppna nätverk.
- Att införa "minst privilegium" och dynamisk åtkomstkontrolltekniker i enlighet med kontroll 5.15, 5,18, 8.2 och 5.16. Detta omfattar autentisering och auktorisering av åtkomstförfrågningar för känslig information och informationssystem som tar hänsyn till kontextuell information såsom användaridentiteter enligt definition i kontroll 5.12 och informationsklassificering som föreskrivs i kontroll XNUMX.
- Alltid autentisera identiteten för begäranden och verifiera auktoriseringsbegäranden för att få tillgång till informationssystem. Dessa autentiserings- och verifieringsprocedurer bör utföras i enlighet med autentiseringsinformationen i Kontroll 5.17, Användaridentiteter i Kontroll 5.16 och Multi-Factor in Control 8.5.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vad bör säkra systemtekniska tekniker omfatta?
- Anta och implementera principer för säker arkitektur, inklusive "säkerhet genom design", "försvar i djupet", "säkert misslyckas", "misstro input från externa applikationer", "anta intrång", "minsta privilegium", "användbarhet och hanterbarhet" och " minsta funktionalitet”.
- Att anta och tillämpa en säkerhetsfokuserad designgranskningsprocess för upptäcka informationssäkerhet sårbarheter och garantera att säkerhetsåtgärder identifieras och uppfyller säkerhetskraven.
- Dokumentera och erkänna de säkerhetsåtgärder som inte uppfyller kraven.
- Systemhärdning.
Vilka kriterier ska man tänka på när man utformar säkra tekniska principer?
Organisationer bör överväga följande när de upprättar principer för säkra systemteknik:
- Behovet av att integrera kontroller med specifik säkerhetsarkitektur.
- Befintlig teknisk säkerhetsinfrastruktur, inklusive offentlig nyckelinfrastruktur, identitetshantering och förebyggande av dataläckage.
- Huruvida organisationen är kapabel att bygga och underhålla den valda tekniken.
- Kostnad och tid som krävs för att uppfylla säkerhetskraven och komplexiteten i sådana krav.
- Befintliga bästa praxis.
Praktisk vägledning om tillämpning av säkra systemtekniska principer
Kontroll 8.27 noterar att organisationer kan omsätta säkra tekniska principer i praktiken när de konfigurerar följande:
- Feltolerans och liknande spänstmetoder.
- Segregationstekniker som virtualisering.
- Sabotagemotstånd.
Dessutom användningen av säker virtualiseringsteknik kan hjälpa till att eliminera risken av avlyssning mellan två applikationer som körs på samma enhet.
Slutligen påpekas att användningen av manipulationssystem kan hjälpa till att identifiera både den logiska och fysiska manipuleringen av informationssystem och förhindra otillåten utvinning av information.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022/8.27 replaces 27002:2013/(14.2.5)
2022-versionen introducerar mer omfattande krav jämfört med 2013-versionen:
- Till skillnad från 2013 års version ger 2022 versionen vägledning om vad säkra tekniska principer bör omfatta.
- Till skillnad från 2013-versionen tar 2022-versionen upp vilka kriterier organisationer bör överväga när de utformar säkra systemtekniska principer.
- 2022-versionen innehåller vägledning om nollförtroendeprincipen. 2013-versionen täckte å andra sidan inte detta.
- 2022-versionen innehåller rekommendationer om vilka säkra ingenjörstekniker som bör tillämpas såsom "säkerhet genom design". Till skillnad från 2022-versionen hänvisade inte 2013-versionen till sådana tekniker.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
Implementeringen av ISO 27002 är enklare med vår steg-för-steg checklista som guidar dig genom hela processen. Din kompletta efterlevnadslösning för ISO / IEC 27002: 2022.
- Upp till 81 % framsteg från det att du loggar in.
- Enkel och total efterlevnadslösning.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
