ISO 27002:2022, Kontroll 8.4 – Tillgång till källkod

ISO 27002:2022 Reviderade kontroller

Boka en demo

affärsman,arbetar,på,bärbar dator,med,några,dokument,på,bord.,stäng

Syfte med kontroll 8.4

I syftena med ISO 27002 , Control 8.4 definierar "källkod" som den underliggande koden, specifikationer och planer som används för att skapa applikationer, program och processer som är organisationens egendom.

När man diskuterar tillgång till källkod lägger Control 8.4 lika stor vikt vid utvecklingsverktyg (kompilatorer, testmiljöer etc).

Att hantera källkod utgör en unik risk till alla organisationer som har behov av att lagra det. Delar av affärskritisk källkod inkluderar produktionsdata, skyddade konfigurationsdetaljer och aspekter av en organisations IP.

Kontroll 8.4 är en förebyggande kontroll den där ändrar risken genom att upprätta en uppsättning underliggande dataåtkomstprinciper (i enlighet med en organisations bredare uppsättning åtkomstkontroller) som styr läs/skrivåtkomst till:

  • Källkod
  • Utvecklingsverktyg
  • Programvarubibliotek

Attributtabell

Kontroll typ InformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande #Sekretess
#Integritet
#Tillgänglighet		#Skydda#Identitets- och åtkomsthantering
#Applikationssäkerhet
#Säker konfiguration		#Skydd

Äganderätt till kontroll 8.4

Kontroll 8.4 handlar om en organisations förmåga att kontrollera åtkomsten till affärskritisk data relaterad till källkod, utvecklingsverktyg och kommersiellt känslig information såsom programvarubibliotek.

Som sådan bör ägandet ligga hos Chief Information Security Officer (eller organisatorisk motsvarande), som innehar ansvar för organisationens övergripande informations- och datasäkerhet praxis.

Hoppa till ämne
Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

Allmän vägledning om kontroll 8.4

Control 8.4 förespråkar ett källkodshanteringssystem som gör det möjligt för organisationer att centralt administrera åtkomst till och deras ändring av källkod över dess ICT-område.

Kontroll 8.4 ber organisationer att överväga åtkomst till källkod tillsammans med en uppsättning strikta läs- och/eller skrivbehörigheter, baserat på källkodens natur, varifrån den nås och vem som får åtkomst till den.

När organisationer försöker kontrollera åtkomsten till källkoden bör de:

  • Kontrollera tillgången till källkoden i enlighet med publicerade procedurer.

  • Ge läs- och/eller skrivåtkomst till källkoden i kombination med en uppsättning tydligt definierade affärskrav från fall till fall eller användare för användare.

  • Följ en tydlig uppsättning av förändringshanteringsförfaranden (se Kontroll 8.32) vid administrering av åtkomst till källkod, inklusive korrekt auktorisering baserat på en rad åtkomstvariabler (användartyp, affärsfall etc).

  • Förhindra direkt tillgång källkod av utvecklare, och istället tillhandahålla åtkomst genom en serie utvecklingsverktyg som ger en uppifrån-ned-vy av åtkomsträttigheter och läs-/skrivbehörigheter.

  • Tillhandahåll ett säkert utrymme för att lagra programlistor och läs-/skrivbehörigheter.

  • Upprätthålla en samtidig revisionsspår av alla källkodsrelaterade aktiviteter, inklusive användaråtkomsttidsstämplar och förändringsrelaterade aktiviteter.

  • Se till att digitala signaturer används för varje kod som ska publiceras utanför organisationen.

Stödkontroller

  • 8.32

Få en försprång
på ISO 27002

Den enda efterlevnaden
lösning du behöver
Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Ändringar och skillnader från ISO 27002:2013

27002:2022-8.4 replaces 27002:2014-9.4.5 (Tillgång till källkod), och innehåller tre huvudsakliga skillnader i sitt tillvägagångssätt för att etablera ett källkodshanteringssystem (ett koncept som saknas från 27002:2014-9.4.5)

  1. Tillhandahållande av läs-/skrivåtkomst enligt en strikt uppsättning affärskrav.

  2. Behovet av att ge utvecklare indirekt tillgång till källkod via en uppsättning utvecklingsverktyg och/eller testmiljöer.

  3. Behovet av att utföra ändringar av källkodsåtkomstaktiviteter i linje med nyligen publicerade ändringshanteringsprocedurer i kontroll 8.32.

Hur hjälper ISMS.online

ISMS.Online förenklar genomförandeprocessen ISO 27002 genom att tillhandahålla alla nödvändiga resurser, information och verktyg på ett ställe. Det låter dig skapa ett ISMS med bara några få musklick, vilket annars skulle ta lång tid om det gjordes manuellt.

Vill du se den i aktion?

Hör av dig idag för att boka en demo.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyaHot intelligens
5.23NyaInformationssäkerhet för användning av molntjänster
5.30NyaICT-beredskap för kontinuitet i verksamheten
7.4NyaFysisk säkerhetsövervakning
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.16NyaÖvervakningsaktiviteter
8.23NyaWebbfiltrering
8.28NyaSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyaHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.12 08.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyaInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyaICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyaFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyaÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyaWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyaSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning
Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer