ISO 27001:2022 Bijlage A 8.28 – Veilige codering

• Bekijk ISO 27002:2022 Controle 8.28 voor meer informatie.

ISO 27001 Bijlage A 8.28: Versterking van softwarebeveiliging met veilige codering

Het gebruik van slechte codeerpraktijken, zoals onjuiste invoervalidatie en zwakke sleutelgeneratie, kan leiden tot cyberaanvallen en het compromitteren van gevoelige informatiemiddelen.

Om deze reden misbruikten hackers de beruchte Heartbleed-bug om toegang te krijgen tot meer dan 4 miljoen patiëntendossiers.

Om beveiligingsproblemen te voorkomen, moeten organisaties veilige coderingsprincipes volgen.

Wat is het doel van ISO 27001:2022 bijlage A 8.28?

Per ISO 27001:2022, Bijlage A Controle 8.28 helpt organisaties bij het voorkomen van beveiligingsrisico's en kwetsbaarheden die kunnen ontstaan ​​als gevolg van slechte softwarecoderingspraktijken, door het ontwikkelen, implementeren en beoordelen van geschikte veilige softwarecoderingspraktijken.

Wie is eigenaar van bijlage A 8.28?

Een hoofdinformatiebeveiligingsfunctionaris moet verantwoordelijk zijn voor het nemen van passende stappen om naleving van 8.28 te garanderen, wat vereist dat veilige coderingsprincipes en -procedures in de hele organisatie worden ontwikkeld en geïmplementeerd.

Nalevingsrichtlijnen voor ISO 27001:2022 bijlage A 8.28

Organisaties moeten veilige coderingsprocessen ontwikkelen en implementeren die van toepassing zijn op producten geleverd door externe partijen en open-source softwarecomponenten, zoals uiteengezet in ISO 27001 Annex A Controle 8.28.

Bovendien moeten organisaties op de hoogte blijven van zich ontwikkelende beveiligingsbedreigingen in de echte wereld en van de laatste informatie over bekende of potentiële kwetsbaarheden in de softwarebeveiliging. Door deze aanpak te gebruiken kunnen organisaties robuuste, veilige codeerprincipes ontwikkelen om deze te bestrijden evoluerende cyberdreigingen.

Aanvullend richtsnoer voor planning

Het is essentieel dat zowel nieuwe codeerprojecten als hergebruik van software zich houden aan de principes van veilige softwarecodering.

Deze principes moeten worden nageleefd, zowel bij het intern ontwikkelen van software als bij het overdragen van softwareproducten of -diensten.

Organisaties moeten rekening houden met de volgende factoren bij het ontwikkelen van een plan voor veilige coderingsprincipes en het bepalen van de vereisten voor veilige codering:

• De beveiligingsverwachtingen moeten worden afgestemd op de specifieke behoeften van de organisatie, en er moeten goedgekeurde principes voor veilige softwarecode worden opgesteld die van toepassing zijn op interne software. ontwikkelen en uitbesteden componenten.
• Organisaties moeten de meest voorkomende en historische fouten in het codeerontwerp en slechte codeerpraktijken identificeren en documenteren om inbreuken op de gegevensbeveiliging te voorkomen.
• Organisaties moeten softwareontwikkelingstools implementeren en configureren om de veiligheid van alle gemaakte code te garanderen. Geïntegreerde ontwikkelomgevingen (IDE's) zijn een voorbeeld van dergelijke tools.
• Softwareontwikkelingstools moeten begeleiding en instructies bieden om organisaties te helpen bij het naleven van de richtlijnen en instructies.
• Ontwikkeltools zoals compilers moeten door organisaties worden beoordeeld, onderhouden en veilig worden gebruikt.

Aanvullende richtlijnen voor beveiliging tijdens het coderen

Om veilige codeerpraktijken en -procedures te garanderen, moet tijdens het codeerproces rekening worden gehouden met het volgende:

• Codeerprincipes voor veilige software moeten worden afgestemd op elke programmeertaal en -techniek.
• Testgestuurde ontwikkeling en pair programming zijn voorbeelden van veilige programmeertechnieken en -methoden.
• Implementatie van gestructureerde programmeertechnieken.
• Documentatie van de code en het verwijderen van defecten in de code.
• Het gebruik van onveilige softwarecoderingsmethoden, zoals niet-goedgekeurde codevoorbeelden of hardgecodeerde wachtwoorden, is verboden.

Tijdens en na de ontwikkeling moet een beveiligingstest worden uitgevoerd, zoals gespecificeerd in ISO 27001 Annex A Control 8.29.

Organisaties moeten de volgende zaken in overweging nemen voordat ze de software in een live applicatieomgeving implementeren:

• Is er een aanvalsoppervlak?
• Wordt het least privilege-principe gevolgd?
• Analyseren van de meest voorkomende programmeerfouten en documenteren van de eliminatie ervan.

Aanvullende richtlijnen voor het beoordelingsproces

Na de implementatie van de code in de productieomgeving

• Er moet een veilige methode worden gebruikt om updates toe te passen.
• Per ISO 27001:2022 bijlage A Controle 8.8: beveiligingskwetsbaarheden moeten worden aangepakt.
• Er moeten gegevens worden bijgehouden over vermoedelijke aanvallen en fouten in informatiesystemen, en deze gegevens moeten regelmatig worden herzien, zodat passende wijzigingen kunnen worden aangebracht.
• Het gebruik van tools zoals beheertools moet worden gebruikt om ongeoorloofde toegang, gebruik of wijziging van de broncode te voorkomen.

Organisaties moeten rekening houden met de volgende factoren bij het gebruik van externe tools

• Regelmatige monitoring en updates van externe bibliotheken moeten worden uitgevoerd volgens hun releasecycli.
• Een grondige beoordeling, selectie en autorisatie van softwarecomponenten zijn essentieel, vooral die welke verband houden met cryptografie en authenticatie.
• Het verkrijgen van licenties voor externe componenten en het waarborgen van de veiligheid ervan.
• Er moet een systeem zijn voor het volgen en onderhouden van software. Bovendien moet er zeker van zijn dat de informatie afkomstig is van een betrouwbare bron.
• Het is van essentieel belang dat er ontwikkelingsmiddelen voor de lange termijn beschikbaar zijn.

Bij het aanbrengen van wijzigingen in een softwarepakket moet rekening worden gehouden met de volgende factoren:

• Integriteitsprocessen of ingebouwde controles kunnen een organisatie blootstellen aan risico's.
• Het is essentieel om vast te stellen of de leverancier met de wijzigingen heeft ingestemd.
• Kan toestemming van de leverancier worden verkregen om regelmatig updates van de software uit te voeren?
• De waarschijnlijke impact van het onderhouden van de software terwijl deze verandert.
• Welk effect zullen de veranderingen hebben op andere softwarecomponenten die de organisatie gebruikt?

Aanvullende richtlijnen voor ISO 27001:2022 bijlage A 8.28

Organisaties moeten ervoor zorgen dat ze waar nodig veiligheidsrelevante code gebruiken en dat deze bestand is tegen manipulatie.

Bijlage A Controle 8.28 van ISO 27001:2022 doet de volgende aanbevelingen voor beveiligingsrelevante code:

• Hoewel programma's die via binaire code worden gedownload, beveiligingsgerelateerde code in de applicatie zelf zullen bevatten, zal deze in omvang beperkt zijn tot gegevens die intern in de applicatie zijn opgeslagen.
• Het bijhouden van beveiligingsrelevante code is alleen nuttig als deze wordt uitgevoerd op een server waartoe de gebruiker geen toegang heeft en gescheiden is van de processen die er gebruik van maken, zodat de gegevens veilig worden bewaard in een andere database en veilig worden gescheiden van de processen. die het gebruiken. Het gebruik van een cloudservice om een ​​geïnterpreteerde code uit te voeren is mogelijk, en u kunt de toegang tot de code beperken tot bevoorrechte beheerders om de toegang tot de code te beperken. De aanbeveling is dat deze toegangsrechten worden beschermd met just-in-time beheerdersrechten en robuuste authenticatiemechanismen die alleen op het juiste moment toegang tot de site verlenen.
• Op webservers moet een geschikte configuratie worden geïmplementeerd om ongeoorloofde toegang tot en bladeren door mappen op de server te voorkomen.
• Om veilige applicatiecode te ontwikkelen, moet u ervan uitgaan dat de code kwetsbaar is voor aanvallen als gevolg van coderingsfouten en acties van kwaadwillende actoren. Een kritische applicatie moet zo worden ontworpen dat deze immuun is voor interne fouten, op een manier die voorkomt dat deze gevoelig is voor fouten. Bij het evalueren van de output van een algoritme is het bijvoorbeeld mogelijk om ervoor te zorgen dat de output voldoet aan de beveiligingsvereisten voordat het algoritme kan worden gebruikt in kritische toepassingen, zoals die gerelateerd aan financiën, voordat het in de applicatie kan worden gebruikt.
• Door een gebrek aan goede codeerpraktijken zijn bepaalde webapplicaties zeer gevoelig voor beveiligingsrisico's, zoals database-injectie en cross-site scripting-aanvallen.
• Het wordt aanbevolen dat organisaties ISO/IEC 15408 raadplegen voor meer informatie over IT-beveiligingsevaluatie en hoe deze uit te voeren.

Wat zijn de veranderingen ten opzichte van ISO 27001:2013?

Bijlage A 8.28 is een nieuwe Annex A-controle die is toegevoegd aan de ISO 27001:2022-norm.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

Hoe ISMS.online helpt

Of u nu helemaal nieuw bent op het gebied van informatiebeveiliging of beknopt kennis wilt opdoen over ISO 27001 zonder tijd te hoeven besteden aan het lezen van lange en gedetailleerde documenten of helemaal opnieuw wilt leren, ons platform is speciaal voor u ontworpen.

Met ISMS.Online heeft u eenvoudig toegang tot documentsjablonen, checklists en beleid dat kan worden aangepast aan uw behoeften.

Wil je zien hoe het werkt?

Neem vandaag nog contact op met boek een demo.