Dålig kodningsmetoder som felaktig indatavalidering och svag nyckelgenerering kan utsätta informationssystem för säkerhetsbrister och resultera i cyberattacker och äventyra känslig informationstillgångar.
Till exempel i det ökända Heartbleed bug incident, hackare utnyttjade felaktig indatavalidering i koden för att få tillgång till mer än 4 miljoner patientdata.
Därför bör organisationer se till att principerna för säker kodning följs så att dålig kodning inte leder till säkerhetsbrister.
Kontroll 8.28 gör det möjligt för organisationer att förhindra säkerhetsrisker och sårbarheter som kan uppstå som ett resultat av dålig praxis för programvarukodning genom att designa, implementera och granska lämpliga principer för säker programvarukodning.
Kontroll 8.28 är en förebyggande typ av kontroll som hjälper organisationer att upprätthålla säkerheten för nätverk, system och applikationer genom att eliminera risker som kan uppstå på grund av dåligt utformad programvarukod.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Applikationssäkerhet #System- och nätverkssäkerhet | #Skydd |
Med tanke på att 8.28 kräver utformning och implementering av organisationsövergripande principer och procedurer för säker kodning, bör chefen för informationssäkerhet vara ansvarig för att vidta lämpliga åtgärder för efterlevnad.
Kontroll 8.28 kräver att organisationer upprättar och implementerar organisationsomfattande processer för säker kodning som gäller både programvaruprodukter erhållna från externa parter och programvarukomponenter med öppen källkod.
Dessutom bör organisationer hålla sig uppdaterade med utvecklingen av verkliga säkerhetshot och med den senaste informationen om kända eller potentiella säkerhetsbrister i programvaran. Detta kommer att göra det möjligt för organisationer att förbättra och implementera robusta principer för säker programvarukodning som är effektiva mot föränderliga cyberhot.
Säkra programvarukodningsprinciper bör följas både för nya kodningsprojekt och för återanvändning av programvara.
Dessa principer bör följas både för interna programvaruutvecklingsaktiviteter och för överföring av organisationens mjukvaruprodukter eller tjänster till tredje part.
När organisationer upprättar en plan för principer för säker kodning och bestämmer förutsättningarna för säker kodning, bör organisationer följa följande:
Säkra kodningsmetoder och procedurer bör ta hänsyn till följande för kodningsprocessen:
Kompletterande vägledning noterar också att säkerhetstestning bör utföras både under och efter utvecklingen i enlighet med Kontroll 8.29.
Innan de börjar använda programvaran i liveapplikationsmiljön bör organisationer överväga följande:
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Organisationer bör se till att säkerhetsrelevant kod används när det är nödvändigt och är resistent mot manipulering.
Kontroll 8.28 listar också följande rekommendationer för säkerhetsrelevant kod:
27002:2022/8.28 är en ny typ av kontroll.
Vår plattform har utvecklats specifikt för dig som är ny på informationssäkerhet eller behöver ett enkelt sätt att lära sig om ISO 27002 utan att behöva lägga tid på att lära sig från grunden eller läsa igenom långa dokument.
ISMS.Online är utrustad med alla verktyg som behövs för att uppnå efterlevnad inklusive dokumentmallar, checklistor och policyer som kan anpassas efter dina behov.
Vill du se hur det fungerar?
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |