ISO 27001:2022 Bijlage A 8.27 – Veilige systeemarchitectuur en technische principes

• Bekijk ISO 27002:2022 Controle 8.27 voor meer informatie.
• Bekijk ISO 27001:2013 Bijlage A 14.2.5 voor meer informatie.

ISO 27001:2022 Controle 8.27 – Systeembeveiliging vanaf de basis versterken

ISO 27001:2022 Bijlage A 8.27 specificeert dat organisaties veilige systeemarchitectuur en engineeringprincipes moeten implementeren om ervoor te zorgen dat het ontwerp, de implementatie en het beheer van het informatiesysteem geschikt zijn voor de beveiligingsvereisten van de organisatie. Dit omvat het opzetten van veilige systeemarchitecturen, technische principes en veilige ontwerppraktijken.

De ingewikkelde structuren van hedendaagse informatiesystemen, gecombineerd met de voortdurend veranderende cyberveiligheidsrisicoomgeving, maken informatiesystemen gevoeliger voor bestaande en potentiële veiligheidsdreigingen.

Bijlage A 8.27 schetst hoe organisaties kunnen beschermen hun informatiesystemen te beschermen tegen veiligheidsbedreigingen door de implementatie van veilige systeemtechniekprincipes tijdens alle fasen van de levenscyclus van informatiesystemen.

Doel van ISO 27001:2022 Bijlage A 8.27

Bijlage A 8.27 faciliteert organisaties om informatiesystemen te beveiligen tijdens de fasen van ontwerp, implementatie en exploitatie, via het vaststellen en implementeren van veilige systeemtechnische principes waaraan systeemingenieurs zich moeten houden.

Eigendom van bijlage A 8.27

De Chief Information Security Officer moet verantwoordelijk worden gehouden voor het opzetten, onderhouden en in praktijk brengen van de regels die de veilige engineering van informatiesystemen beheersen.

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.27 Naleving

ISO 27001:2022 Annex A 8.27 onderstreept de noodzaak voor organisaties om beveiliging te verankeren in het geheel van hun informatiesystemen, inclusief bedrijfsprocessen, applicaties en data-architectuur.

Voor alle taken die verband houden met informatiesystemen moeten veilige engineeringpraktijken worden geïmplementeerd, die regelmatig moeten worden herzien en bijgewerkt om rekening te houden met opkomende bedreigingen en aanvalspatronen.

Bijlage A 8.27 is ook van toepassing op systemen die door externe aanbieders zijn gemaakt, naast de systemen die intern zijn ontwikkeld en beheerd.

Organisaties moeten garanderen dat de praktijken en normen van dienstverleners in overeenstemming zijn met hun veilige technische protocollen.

ISO 27001:2022 bijlage A 8.27 vereist veilige systeemtechniekprincipes om de volgende acht onderwerpen aan te pakken:

1. Methoden voor gebruikersauthenticatie.
2. Veilige begeleiding bij sessiecontrole.
3. Procedures voor het opschonen en valideren van gegevens.
4. Beveiligingsmaatregelen voor het beschermen van informatiemiddelen en -systemen tegen bekende bedreigingen worden uitgebreid geanalyseerd.
5. Beveiligingsmaatregelen geanalyseerd op hun vermogen om beveiligingsbedreigingen te identificeren, te elimineren en erop te reageren.
6. Het analyseren van de beveiligingsmaatregelen die worden toegepast op specifieke bedrijfsactiviteiten, zoals informatie-encryptie.
7. Waar en hoe beveiligingsmaatregelen zullen worden geïmplementeerd. Als onderdeel van dit proces kan een specifieke Annex A-veiligheidscontrole worden geïntegreerd in de technische infrastructuur.
8. De manier waarop verschillende beveiligingsmaatregelen samenwerken en als een gecombineerd systeem functioneren.

Richtlijnen voor het Zero Trust-principe

Organisaties moeten deze zero-trust-principes in gedachten houden:

• Gebaseerd op de veronderstelling dat de systemen van de organisatie al zijn gecompromitteerd en dat de gedefinieerde perimeterbeveiliging van het netwerk geen adequate bescherming kan bieden.
• Er moet een beleid van ‘verificatie vóór vertrouwen’ worden gevoerd als het gaat om het verlenen van toegang tot informatiesystemen. Dit zorgt ervoor dat toegang pas na controle wordt verleend, zodat de juiste mensen toegang krijgen.
• Ervoor zorgen dat verzoeken aan informatiesystemen worden beveiligd met end-to-end-encryptie.
• Er worden verificatiemechanismen geïmplementeerd waarbij wordt uitgegaan van toegangsverzoeken van externe, open netwerken tot informatiesystemen.
• Implementeer minimale privileges en dynamische toegangscontrole in overeenstemming met ISO 27001:2022 bijlage A 5.15, 5.18 en 8.2. Dit moet de authenticatie en autorisatie van gevoelige informatie en informatiesystemen omvatten, waarbij rekening wordt gehouden met contextuele aspecten zoals gebruikersidentiteiten (ISO 27001:2022 bijlage A 5.16) en informatie classificatie (ISO 27001:2022 bijlage A 5.12).
• Authenticeer de identiteit van de aanvrager en verifieer autorisatieverzoeken om toegang te krijgen tot informatiesystemen volgens de authenticatie-informatie in ISO 27001:2022 bijlage A 5.17, 5.16 en 8.5.

Waar moeten veilige systeemtechniektechnieken aan voldoen?

Uw organisatie moet rekening houden met het volgende:

• Het integreren van veilige architectuurprincipes zoals ‘security by design’, ‘defence in depth’, ‘fail secure’, ‘wantrouwen inbreng van externe applicaties’, ‘aanname van inbreuk’, ‘least privilege’, ‘bruikbaarheid en beheerbaarheid’ en ‘minste functionaliteit’ " is Paramount.
• Het uitvoeren van een beveiligingsgerichte ontwerpbeoordeling om eventuele informatiebeveiligingsproblemen op te sporen en ervoor te zorgen dat beveiligingsmaatregelen worden getroffen en aan de beveiligingsbehoeften voldoen.
• Het documenteren en erkennen van beveiligingsmaatregelen die niet aan de eisen voldoen, is essentieel.
• Systeemverharding is essentieel voor de beveiliging van elk systeem.

Met welke criteria moet rekening worden gehouden bij het ontwerpen van veilige engineeringprincipes?

Organisaties moeten rekening houden met de volgende punten bij het opzetten van veilige systeemtechniekprincipes:

• De vereiste om de controles van bijlage A te coördineren met een specifieke beveiligingsarchitectuur is onontbeerlijk.
• De bestaande technische beveiligingsinfrastructuur van een organisatie, inclusief openbare sleutelinfrastructuur, identiteitsbeheer en preventie van gegevenslekken.
• Kan de organisatie de gekozen technologie construeren en onderhouden.
• Er moet rekening worden gehouden met de kosten en de tijd die nodig zijn om aan de beveiligingsvereisten te voldoen, rekening houdend met de complexiteit ervan.
• Het volgen van de huidige best practices is essentieel.

Leidraad voor de toepassing van principes voor veilige systeemtechniek

ISO 27001:2022 Annex A 8.27 stelt dat organisaties veilige engineeringprincipes kunnen gebruiken bij het opzetten van het volgende:

• Fouttolerantie en andere veerkrachtstrategieën zijn essentieel. Ze helpen ervoor te zorgen dat systemen operationeel blijven ondanks het optreden van onverwachte gebeurtenissen.
• Segregatie door middel van virtualisatie is een techniek die kan worden toegepast.
• Fraudebestendigheid zorgt ervoor dat systemen veilig en ongevoelig blijven voor kwaadwillige inmenging.

Veilige virtualisatietechnologie kan het risico op onderschepping tussen applicaties die op hetzelfde apparaat draaien, verminderen.

Er wordt benadrukt dat sabotagebestendige systemen zowel logische als fysieke manipulatie van informatiesystemen kunnen detecteren, waardoor ongeoorloofde toegang tot gegevens wordt voorkomen.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 Bijlage A 8.27 vervangt ISO 27001:2013 bijlage A 14.2.5 in de herziene norm uit 2022.

De versie 2022 bevat uitgebreidere eisen dan de versie 2013, zoals:

• In vergelijking met 2013 biedt de versie van 2022 richtlijnen over wat veilige engineeringprincipes zouden moeten omvatten.
• In tegenstelling tot de versie uit 2013 houdt de versie uit 2022 rekening met de criteria waarmee organisaties rekening moeten houden bij het construeren van veilige systeemtechniekprincipes.
• De versie uit 2022 geeft richtlijnen over het zero trust-principe, dat niet was opgenomen in de versie uit 2013.
• De editie van 2022 van het document bevat aanbevelingen voor veilige engineeringtechnieken, zoals ‘security by design’, die niet aanwezig waren in de versie van 2013.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

Hoe ISMS.online helpt

Onze stapsgewijze checklist maakt de implementatie van ISO 27001 een fluitje van een cent. Ons complete compliance-oplossing voor ISO/IEC 27001:2022 begeleidt u van begin tot eind door het proces.

Bij het inloggen kunt u tot 81% voortgang verwachten.

Deze oplossing is volledig uitgebreid en eenvoudig.

Neem nu contact op met boek een demonstratie.