- Bekijk ISO 27002:2022 Controle 8.28 voor meer informatie.
ISO 27001 Bijlage A 8.28: Versterking van softwarebeveiliging met veilige codering
Het gebruik van slechte codeerpraktijken, zoals onjuiste invoervalidatie en zwakke sleutelgeneratie, kan leiden tot cyberaanvallen en het compromitteren van gevoelige informatiemiddelen.
Om deze reden misbruikten hackers de beruchte Heartbleed-bug om toegang te krijgen tot meer dan 4 miljoen patiëntendossiers.
Om beveiligingsproblemen te voorkomen, moeten organisaties veilige coderingsprincipes volgen.
Wat is het doel van ISO 27001:2022 bijlage A 8.28?
Per ISO 27001:2022, Bijlage A Controle 8.28 helpt organisaties bij het voorkomen van beveiligingsrisico's en kwetsbaarheden die kunnen ontstaan als gevolg van slechte softwarecoderingspraktijken, door het ontwikkelen, implementeren en beoordelen van geschikte veilige softwarecoderingspraktijken.
Wie is eigenaar van bijlage A 8.28?
Een hoofdinformatiebeveiligingsfunctionaris moet verantwoordelijk zijn voor het nemen van passende stappen om naleving van 8.28 te garanderen, wat vereist dat veilige coderingsprincipes en -procedures in de hele organisatie worden ontwikkeld en geïmplementeerd.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Nalevingsrichtlijnen voor ISO 27001:2022 bijlage A 8.28
Organisaties moeten veilige coderingsprocessen ontwikkelen en implementeren die van toepassing zijn op producten geleverd door externe partijen en open-source softwarecomponenten, zoals uiteengezet in ISO 27001 Annex A Controle 8.28.
Bovendien moeten organisaties op de hoogte blijven van zich ontwikkelende beveiligingsbedreigingen in de echte wereld en van de laatste informatie over bekende of potentiële kwetsbaarheden in de softwarebeveiliging. Door deze aanpak te gebruiken kunnen organisaties robuuste, veilige codeerprincipes ontwikkelen om deze te bestrijden evoluerende cyberdreigingen.
Aanvullend richtsnoer voor planning
Het is essentieel dat zowel nieuwe codeerprojecten als hergebruik van software zich houden aan de principes van veilige softwarecodering.
Deze principes moeten worden nageleefd, zowel bij het intern ontwikkelen van software als bij het overdragen van softwareproducten of -diensten.
Organisaties moeten rekening houden met de volgende factoren bij het ontwikkelen van een plan voor veilige coderingsprincipes en het bepalen van de vereisten voor veilige codering:
- De beveiligingsverwachtingen moeten worden afgestemd op de specifieke behoeften van de organisatie, en er moeten goedgekeurde principes voor veilige softwarecode worden opgesteld die van toepassing zijn op interne software. ontwikkelen en uitbesteden componenten.
- Organisaties moeten de meest voorkomende en historische fouten in het codeerontwerp en slechte codeerpraktijken identificeren en documenteren om inbreuken op de gegevensbeveiliging te voorkomen.
- Organisaties moeten softwareontwikkelingstools implementeren en configureren om de veiligheid van alle gemaakte code te garanderen. Geïntegreerde ontwikkelomgevingen (IDE's) zijn een voorbeeld van dergelijke tools.
- Softwareontwikkelingstools moeten begeleiding en instructies bieden om organisaties te helpen bij het naleven van de richtlijnen en instructies.
- Ontwikkeltools zoals compilers moeten door organisaties worden beoordeeld, onderhouden en veilig worden gebruikt.
Aanvullende richtlijnen voor beveiliging tijdens het coderen
Om veilige codeerpraktijken en -procedures te garanderen, moet tijdens het codeerproces rekening worden gehouden met het volgende:
- Codeerprincipes voor veilige software moeten worden afgestemd op elke programmeertaal en -techniek.
- Testgestuurde ontwikkeling en pair programming zijn voorbeelden van veilige programmeertechnieken en -methoden.
- Implementatie van gestructureerde programmeertechnieken.
- Documentatie van de code en het verwijderen van defecten in de code.
- Het gebruik van onveilige softwarecoderingsmethoden, zoals niet-goedgekeurde codevoorbeelden of hardgecodeerde wachtwoorden, is verboden.
Tijdens en na de ontwikkeling moet een beveiligingstest worden uitgevoerd, zoals gespecificeerd in ISO 27001 Annex A Control 8.29.
Organisaties moeten de volgende zaken in overweging nemen voordat ze de software in een live applicatieomgeving implementeren:
- Is er een aanvalsoppervlak?
- Wordt het least privilege-principe gevolgd?
- Analyseren van de meest voorkomende programmeerfouten en documenteren van de eliminatie ervan.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Aanvullende richtlijnen voor het beoordelingsproces
Na de implementatie van de code in de productieomgeving
- Er moet een veilige methode worden gebruikt om updates toe te passen.
- Per ISO 27001:2022 bijlage A Controle 8.8: beveiligingskwetsbaarheden moeten worden aangepakt.
- Er moeten gegevens worden bijgehouden over vermoedelijke aanvallen en fouten in informatiesystemen, en deze gegevens moeten regelmatig worden herzien, zodat passende wijzigingen kunnen worden aangebracht.
- Het gebruik van tools zoals beheertools moet worden gebruikt om ongeoorloofde toegang, gebruik of wijziging van de broncode te voorkomen.
Organisaties moeten rekening houden met de volgende factoren bij het gebruik van externe tools
- Regelmatige monitoring en updates van externe bibliotheken moeten worden uitgevoerd volgens hun releasecycli.
- Een grondige beoordeling, selectie en autorisatie van softwarecomponenten zijn essentieel, vooral die welke verband houden met cryptografie en authenticatie.
- Het verkrijgen van licenties voor externe componenten en het waarborgen van de veiligheid ervan.
- Er moet een systeem zijn voor het volgen en onderhouden van software. Bovendien moet er zeker van zijn dat de informatie afkomstig is van een betrouwbare bron.
- Het is van essentieel belang dat er ontwikkelingsmiddelen voor de lange termijn beschikbaar zijn.
Bij het aanbrengen van wijzigingen in een softwarepakket moet rekening worden gehouden met de volgende factoren:
- Integriteitsprocessen of ingebouwde controles kunnen een organisatie blootstellen aan risico's.
- Het is essentieel om vast te stellen of de leverancier met de wijzigingen heeft ingestemd.
- Kan toestemming van de leverancier worden verkregen om regelmatig updates van de software uit te voeren?
- De waarschijnlijke impact van het onderhouden van de software terwijl deze verandert.
- Welk effect zullen de veranderingen hebben op andere softwarecomponenten die de organisatie gebruikt?
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Aanvullende richtlijnen voor ISO 27001:2022 bijlage A 8.28
Organisaties moeten ervoor zorgen dat ze waar nodig veiligheidsrelevante code gebruiken en dat deze bestand is tegen manipulatie.
Bijlage A Controle 8.28 van ISO 27001:2022 doet de volgende aanbevelingen voor beveiligingsrelevante code:
- Hoewel programma's die via binaire code worden gedownload, beveiligingsgerelateerde code in de applicatie zelf zullen bevatten, zal deze in omvang beperkt zijn tot gegevens die intern in de applicatie zijn opgeslagen.
- Het bijhouden van beveiligingsrelevante code is alleen nuttig als deze wordt uitgevoerd op een server waartoe de gebruiker geen toegang heeft en gescheiden is van de processen die er gebruik van maken, zodat de gegevens veilig worden bewaard in een andere database en veilig worden gescheiden van de processen. die het gebruiken. Het gebruik van een cloudservice om een geïnterpreteerde code uit te voeren is mogelijk, en u kunt de toegang tot de code beperken tot bevoorrechte beheerders om de toegang tot de code te beperken. De aanbeveling is dat deze toegangsrechten worden beschermd met just-in-time beheerdersrechten en robuuste authenticatiemechanismen die alleen op het juiste moment toegang tot de site verlenen.
- Op webservers moet een geschikte configuratie worden geïmplementeerd om ongeoorloofde toegang tot en bladeren door mappen op de server te voorkomen.
- Om veilige applicatiecode te ontwikkelen, moet u ervan uitgaan dat de code kwetsbaar is voor aanvallen als gevolg van coderingsfouten en acties van kwaadwillende actoren. Een kritische applicatie moet zo worden ontworpen dat deze immuun is voor interne fouten, op een manier die voorkomt dat deze gevoelig is voor fouten. Bij het evalueren van de output van een algoritme is het bijvoorbeeld mogelijk om ervoor te zorgen dat de output voldoet aan de beveiligingsvereisten voordat het algoritme kan worden gebruikt in kritische toepassingen, zoals die gerelateerd aan financiën, voordat het in de applicatie kan worden gebruikt.
- Door een gebrek aan goede codeerpraktijken zijn bepaalde webapplicaties zeer gevoelig voor beveiligingsrisico's, zoals database-injectie en cross-site scripting-aanvallen.
- Het wordt aanbevolen dat organisaties ISO/IEC 15408 raadplegen voor meer informatie over IT-beveiligingsevaluatie en hoe deze uit te voeren.
Wat zijn de veranderingen ten opzichte van ISO 27001:2013?
Bijlage A 8.28 is een nieuwe Annex A-controle die is toegevoegd aan de ISO 27001:2022-norm.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
ISO 27001:2022 Organisatorische controles
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
ISO 27001:2022 Personeelscontroles
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
ISO 27001:2022 Fysieke controles
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
ISO 27001:2022 Technologische controles
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
Of u nu helemaal nieuw bent op het gebied van informatiebeveiliging of beknopt kennis wilt opdoen over ISO 27001 zonder tijd te hoeven besteden aan het lezen van lange en gedetailleerde documenten of helemaal opnieuw wilt leren, ons platform is speciaal voor u ontworpen.
Met ISMS.Online heeft u eenvoudig toegang tot documentsjablonen, checklists en beleid dat kan worden aangepast aan uw behoeften.
Wil je zien hoe het werkt?
Neem vandaag nog contact op met boek een demo.