Säkerställa säkerhet från utveckling till implementering: ISO 27002 Control 8.29 Explained
Cyberbrottslingar uppfinner ständigt nya sätt och förbättrar sina strategier för att infiltrera företagsnätverk och få tillgång till känslig informationstillgångar.
Till exempel kan cyberangripare utnyttja en sårbarhet relaterad till autentiseringsmekanismen i källkoden för att göra intrång i nätverk. Dessutom kan de också försöka manipulera slutanvändare på klientsidan att utföra åtgärder för att infiltrera nätverk, få tillgång till data eller utföra ransomware-attacker.
Om en applikation, programvara eller IT-system distribueras i den verkliga världen med sårbarheter, skulle detta utsätta känslig informationstillgångar för risken för kompromiss.
Därför bör organisationer upprätta och implementera ett lämpligt säkerhetstestförfarande för att identifiera och åtgärda alla sårbarheter i IT-system innan de distribueras till den verkliga världen.
Syfte med kontroll 8.29
Kontroll 8.29 gör det möjligt för organisationer att verifiera att alla informationssäkerhetskrav är uppfyllda när nya applikationer, databaser, programvara eller kod tas i drift genom att etablera och tillämpa en robust säkerhetstestning.
Detta hjälper organisationer att upptäcka och eliminera sårbarheter i koden, nätverk, servrar, applikationer eller andra IT-system innan de används i den verkliga världen.
Kontrollattribut 8.29
Kontroll 8.29 är förebyggande till sin natur. Det kräver att organisationer utsätter nya informationssystem och deras nya/uppdaterade versioner för en säkerhetstestprocess innan de släpps in i produktionsmiljön.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Identifiera | #Applikationssäkerhet | #Skydd |
| #Integritet | #Informationssäkerhetssäkring | |||
| #Tillgänglighet | #System- och nätverkssäkerhet |
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll 8.29
Med tanke på att Kontroll 8.29 innefattar upprättande, underhåll och implementering av en säkerhetstestningsprocedur som kommer att gälla för alla nya informationssystem, oavsett om de utvecklas internt eller av externa parter, bör informationssäkerhetsansvarig ansvara för efterlevnaden.
Allmän vägledning om efterlevnad
Organisationer bör införliva säkerhetstester i testprocessen för alla system och de måste säkerställa att alla nya informationssystem och deras nya/uppdaterade versioner uppfyller kraven på informationssäkerhet när de är i produktionsmiljön.
Kontroll 8.29 listar tre element som bör inkluderas i säkerhetstestningsprocessen:
- Säkerhetsfunktioner såsom användarautentisering enligt definition i Kontroll 8..5, åtkomstbegränsning som föreskrivs i Kontroll 8.3, och kryptografi som adresseras i Kontroll 8.24.
- Säker kodning enligt beskrivning i Kontroll 8.28.
- Säkra konfigurationer som föreskrivs i kontroller 8.9, 8.20, 8.22. Detta kan täcka brandväggar och operativsystem.
Vad bör en testplan innehålla?
När man utformar säkerhetstestplaner bör organisationer ta hänsyn till graden av kritik och karaktären hos det aktuella informationssystemet.
Säkerhetstestplanen bör omfatta följande:
- Upprättande av ett detaljerat schema för de aktiviteter och de tester som ska genomföras.
- Ingångar och utgångar som förväntas ske under en given uppsättning förhållanden.
- Kriterier för att bedöma resultaten.
- Om så är lämpligt, beslut att vidta åtgärder baserat på resultaten.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Intern utveckling
När IT-system utvecklas av det interna utvecklingsteamet bör detta team utföra den första säkerhetstestningen för att säkerställa att IT-systemet uppfyller säkerhetskraven.
Denna inledande testning bör sedan följas av en oberoende acceptanstestning i enlighet med kontroll 5.8.
I samband med den interna utvecklingen bör följande beaktas:
- Genomföra kodgranskningsaktiviteter för att upptäcka och eliminera säkerhetsbrister, inklusive förväntade indata och villkor.
- Genomför sårbarhetsskanning för att upptäcka osäkra konfigurationer och andra sårbarheter.
- Genomföra penetrationstester för att upptäcka osäker kod och design.
Outsourcing
Organisationer bör följa en strikt förvärvsprocess när de lägger ut utveckling på entreprenad eller när de köper IT-komponenter från externa parter.
Organisationer bör ingå ett avtal med sina leverantörer och detta avtal bör behandla informationssäkerhetskraven som föreskrivs i Kontroll 5.20.
Dessutom bör organisationer se till att de produkter och tjänster de köper överensstämmer med informationssäkerhetsstandarderna.
Kompletterande vägledning om kontroll 8.29
Organisationer kan skapa flera testmiljöer för att utföra olika tester såsom funktionella, icke-funktionella och prestandatester.
Dessutom kan de skapa virtuella testmiljöer och sedan konfigurera dessa miljöer för att testa IT-systemen i olika operativa inställningar.
Kontroll 8.29 noterar också att effektiv säkerhetstestning kräver att organisationer testar och övervakar testmiljöer, verktyg och teknologier.
Slutligen bör organisationer ta hänsyn till nivån av känslighet och kritik av data när de bestämmer antalet lager av meta-testning.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022/8.29 ersätter 27002:2013/(14.2.8 och 14.2.9)
Strukturella förändringar
2022-versionen behandlar säker testning under en enda kontroll, 2013-versionen hänvisade till säker testning i två separata kontroller. Systemsäkerhetstestning i kontroll 14.2.8 och systemacceptanstestning i kontroll 14.2.9
Kontroll 8.29 ger mer omfattande krav
Till skillnad från 2013-versionen innehåller 2022-versionen mer detaljerade krav och rekommendationer om följande:
- Säkerhetstestplan och vad den ska innehålla.
- Kriterier för säkerhetstestning för egen utveckling av IT-system.
- Säkerhetstestprocessen och vad den ska innebära.
- Användning av flera testmiljöer.
2013 års version var mer detaljerad i relation till acceptanstestning
I motsats till 2022-versionen var 2013-versionen mer föreskrivande för systemacceptanstestning. Det inkluderade krav som säkerhetstestning av mottagna komponenter och användning av automatiserade verktyg.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
ISMS.online effektiviserar implementeringsprocessen för ISO 27002 genom att tillhandahålla ett sofistikerat molnbaserat ramverk för att dokumentera procedurer och checklistor för informationssäkerhetshanteringssystem för att säkerställa efterlevnad av erkända standarder.
Hör av dig och boka en demo.
Hoppa till ämnet
