ISO 27002:2022, Kontroll 8.28 – Säker kodning

ISO 27002:2022 Reviderade kontroller

Boka en demo

man, händer, arbetar, på, bärbar dator

Dålig kodningsmetoder som felaktig indatavalidering och svag nyckelgenerering kan utsätta informationssystem för säkerhetsbrister och resultera i cyberattacker och äventyra känslig informationstillgångar.

Till exempel i det ökända Heartbleed bug incident, hackare utnyttjade felaktig indatavalidering i koden för att få tillgång till mer än 4 miljoner patientdata.

Därför bör organisationer se till att principerna för säker kodning följs så att dålig kodning inte leder till säkerhetsbrister.

Syfte med kontroll 8.28

Kontroll 8.28 gör det möjligt för organisationer att förhindra säkerhetsrisker och sårbarheter som kan uppstå som ett resultat av dålig praxis för programvarukodning genom att designa, implementera och granska lämpliga principer för säker programvarukodning.

Attributtabell

Kontroll 8.28 är en förebyggande typ av kontroll som hjälper organisationer att upprätthålla säkerheten för nätverk, system och applikationer genom att eliminera risker som kan uppstå på grund av dåligt utformad programvarukod.

Kontroll typInformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande #Sekretess
#Integritet
#Tillgänglighet		#Skydda #Applikationssäkerhet
#System- och nätverkssäkerhet		#Skydd
Hoppa till ämne
Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

Äganderätt till kontroll 8.28

Med tanke på att 8.28 kräver utformning och implementering av organisationsövergripande principer och procedurer för säker kodning, bör chefen för informationssäkerhet vara ansvarig för att vidta lämpliga åtgärder för efterlevnad.

Allmän vägledning om efterlevnad

Kontroll 8.28 kräver att organisationer upprättar och implementerar organisationsomfattande processer för säker kodning som gäller både programvaruprodukter erhållna från externa parter och programvarukomponenter med öppen källkod.

Dessutom bör organisationer hålla sig uppdaterade med utvecklingen av verkliga säkerhetshot och med den senaste informationen om kända eller potentiella säkerhetsbrister i programvaran. Detta kommer att göra det möjligt för organisationer att förbättra och implementera robusta principer för säker programvarukodning som är effektiva mot föränderliga cyberhot.

Kompletterande vägledning om planering

Säkra programvarukodningsprinciper bör följas både för nya kodningsprojekt och för återanvändning av programvara.

Dessa principer bör följas både för interna programvaruutvecklingsaktiviteter och för överföring av organisationens mjukvaruprodukter eller tjänster till tredje part.

När organisationer upprättar en plan för principer för säker kodning och bestämmer förutsättningarna för säker kodning, bör organisationer följa följande:

  • Organisationer bör fastställa säkerhetsförväntningar skräddarsydda för deras behov och fastställa godkända principer för säker programvarukodning som kommer att gälla både intern programvaruutveckling och outsourcade programvarukomponenter.

  • Organisationer bör upptäcka och dokumentera de vanligaste och historiskt dåliga kodningsdesignmetoderna och misstagen som leder till att informationssäkerheten äventyras.

  • Organisationer bör införa och konfigurera mjukvaruutvecklingsverktyg för att säkerställa säkerheten för all kod som skapas. Ett exempel på sådana verktyg är integrerade utvecklingsmiljöer (IDE).

  • Organisationer bör uppnå överensstämmelse med de riktlinjer och instruktioner som tillhandahålls av verktyg för programvaruutveckling.

  • Organisationer bör granska, underhålla och säkert använda utvecklingsverktyg som kompilatorer.

Få en försprång
på ISO 27002

Den enda efterlevnaden
lösning du behöver
Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Kompletterande vägledning om säkerhet under kodning

Säkra kodningsmetoder och procedurer bör ta hänsyn till följande för kodningsprocessen:

  • Säkra programvarukodningsprinciper bör skräddarsys för varje programmeringsspråk och teknik som används.

  • Utplacering av säkra programmeringstekniker och metoder såsom testdriven utveckling och parprogrammering.

  • Användning av strukturerade programmeringsmetoder.

  • Korrekt koddokumentation och borttagning av koddefekter.

  • Förbud mot användning av osäkra programvarukodningsmetoder såsom ej godkända kodexempel eller hårdkodade lösenord.

Kompletterande vägledning noterar också att säkerhetstestning bör utföras både under och efter utvecklingen i enlighet med Kontroll 8.29.

Innan de börjar använda programvaran i liveapplikationsmiljön bör organisationer överväga följande:

  • Vad är attackytan?

  • Följs principen om minsta privilegium?

  • Genomföra en analys av de vanligaste programmeringsmisstagen och dokumentera att dessa risker har eliminerats.

Kompletterande vägledning om granskningsprocessen

Efter att koden har tagits i bruk i produktionsmiljön

  • Uppdateringar bör tillämpas på ett säkert sätt.

  • Säkerhetssårbarheter som rapporterats i enlighet med Control 8.8 bör åtgärdas.

  • Misstänkta angrepp på informationssystem och fel bör registreras och dessa register bör granskas med jämna mellanrum så att lämpliga ändringar av koden kan göras.

  • Obehörig åtkomst till, användning av eller ändringar av källkod bör förhindras via mekanismer som hanteringsverktyg.

När organisationer använder externa verktyg bör de ta hänsyn till följande

  • Externa bibliotek bör övervakas och uppdateras med jämna mellanrum baserat på deras utgivningscykler.

  • Programvarukomponenter bör noggrant granskas, utvalda och auktoriserade, särskilt kryptografi- och autentiseringskomponenter.

  • Licensiering av externa komponenter och säkerställande av deras säkerhet.

  • Programvara bör spåras och underhållas. Dessutom måste det säkerställas att det kommer från en pålitlig källa.

  • Utvecklingsresurser bör finnas tillgängliga på lång sikt.

När du gör ändringar i ett programvarupaket bör följande beaktas

  • Risker som kan uppstå på grund av inbyggda kontroller eller kompromisser med integritetsprocesser.

  • Om säljaren ger samtycke till ändringar.

  • Om det är möjligt att få medgivande från programvaruleverantören för regelbundna uppdateringar.

  • Den sannolika effekten av att fortsätta underhållet av programvaran som uppstår till följd av ändringar.

  • Om ändringarna skulle vara kompatibla med andra programvarukomponenter som används av organisationen.

Är du redo för
den nya ISO 27002

Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo

Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

Ytterligare vägledning om kontroll 8.28

Organisationer bör se till att säkerhetsrelevant kod används när det är nödvändigt och är resistent mot manipulering.

Kontroll 8.28 listar också följande rekommendationer för säkerhetsrelevant kod:

  • Medan program som installeras via binär kod inkluderar säkerhetsrelevant kod, är detta begränsat till data som lagras i själva applikationen.

  • Begreppet säkerhetsrelevant kod är endast användbart när koden körs på en server som inte är tillgänglig för användaren och den är separerad från de processer som använder den och dess data förvaras säkert i en annan databas. Du kan till exempel köra en tolkad kod på en molntjänst och åtkomst till kod kan begränsas till privilegierade administratörer. Det rekommenderas att du skyddar dessa åtkomsträttigheter via metoder som just-in-time administratörsbehörigheter och robusta autentiseringsmekanismer.

  • Lämpliga konfigurationer på webbservrar bör implementeras för att förhindra obehörig åtkomst till och bläddring i katalogen.

  • När du designar applikationskod bör du börja med antagandet att koden är sårbar för attacker på grund av kodningsfel och åtgärder från illvilliga aktörer. Du bör designa kritiska applikationer på ett sätt så att de inte är sårbara för interna fel. Till exempel kan utdata som produceras av en algoritm granskas för att säkerställa att den överensstämmer med säkerhetskraven innan den kan användas i kritiska applikationer som finansrelaterade applikationer.

  • Vissa webbapplikationer är mycket sårbara för säkerhetshot på grund av dålig kodningsmetoder som databasinjektion och cross-site scripting-attacker.

  • Organisationer bör hänvisa till ISO/IEC 15408-serien för mer information om IT-säkerhetsutvärdering.

Ändringar och skillnader från ISO 27002:2013

27002:2022/8.28 är en ny typ av kontroll.

Hur ISMS.online hjälper

Vår plattform har utvecklats specifikt för dig som är ny på informationssäkerhet eller behöver ett enkelt sätt att lära sig om ISO 27002 utan att behöva lägga tid på att lära sig från grunden eller läsa igenom långa dokument.

ISMS.Online är utrustad med alla verktyg som behövs för att uppnå efterlevnad inklusive dokumentmallar, checklistor och policyer som kan anpassas efter dina behov.

Vill du se hur det fungerar?

Hör av dig idag för att boka en demo.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyaHot intelligens
5.23NyaInformationssäkerhet för användning av molntjänster
5.30NyaICT-beredskap för kontinuitet i verksamheten
7.4NyaFysisk säkerhetsövervakning
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.16NyaÖvervakningsaktiviteter
8.23NyaWebbfiltrering
8.28NyaSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyaHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.12 08.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyaInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyaICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyaFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyaÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyaWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyaSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning
Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer