ISO 27001:2022 Bijlage A Controle 8.28

Veilig coderen

Boek een demo

zakelijk,marketing,team,discussie,zakelijk,concept

Het gebruik van slechte codeerpraktijken, zoals onjuiste invoervalidatie en zwakke sleutelgeneratie, kan leiden tot cyberaanvallen en het compromitteren van gevoelige informatiemiddelen.

Om deze reden misbruikten hackers de beruchte Heartbleed-bug om toegang te krijgen tot meer dan 4 miljoen patiëntendossiers.

Om beveiligingsproblemen te voorkomen, moeten organisaties veilige coderingsprincipes volgen.

Wat is het doel van ISO 27001:2022 bijlage A 8.28?

Per ISO 27001:2022, Bijlage A Controle 8.28 helpt organisaties bij het voorkomen van beveiligingsrisico's en kwetsbaarheden die kunnen ontstaan ​​als gevolg van slechte softwarecoderingspraktijken, door het ontwikkelen, implementeren en beoordelen van geschikte veilige softwarecoderingspraktijken.

Wie is eigenaar van bijlage A 8.28?

Een hoofdinformatiebeveiligingsfunctionaris moet verantwoordelijk zijn voor het nemen van passende stappen om naleving van 8.28 te garanderen, wat vereist dat veilige coderingsprincipes en -procedures in de hele organisatie worden ontwikkeld en geïmplementeerd.

Zeg hallo tegen het succes van ISO 27001

Krijg 81% van het werk voor u gedaan en word sneller gecertificeerd met ISMS.online

Boek uw demo
img

Nalevingsrichtlijnen voor ISO 27001:2022 bijlage A 8.28

Organisaties moeten veilige coderingsprocessen ontwikkelen en implementeren die van toepassing zijn op producten geleverd door externe partijen en open-source softwarecomponenten, zoals uiteengezet in ISO 27001 Annex A Controle 8.28.

Bovendien moeten organisaties op de hoogte blijven van zich ontwikkelende beveiligingsbedreigingen in de echte wereld en van de laatste informatie over bekende of potentiële kwetsbaarheden in de softwarebeveiliging. Door deze aanpak te gebruiken kunnen organisaties robuuste, veilige codeerprincipes ontwikkelen om deze te bestrijden evoluerende cyberdreigingen.

Aanvullend richtsnoer voor planning

Het is essentieel dat zowel nieuwe codeerprojecten als hergebruik van software zich houden aan de principes van veilige softwarecodering.

Deze principes moeten worden nageleefd, zowel bij het intern ontwikkelen van software als bij het overdragen van softwareproducten of -diensten.

Organisaties moeten rekening houden met de volgende factoren bij het ontwikkelen van een plan voor veilige coderingsprincipes en het bepalen van de vereisten voor veilige codering:

  • De beveiligingsverwachtingen moeten worden afgestemd op de specifieke behoeften van de organisatie, en er moeten goedgekeurde principes voor veilige softwarecode worden opgesteld die van toepassing zijn op interne software. ontwikkelen en uitbesteden componenten.
  • Organisaties moeten de meest voorkomende en historische fouten in het codeerontwerp en slechte codeerpraktijken identificeren en documenteren om inbreuken op de gegevensbeveiliging te voorkomen.
  • Organisaties moeten softwareontwikkelingstools implementeren en configureren om de veiligheid van alle gemaakte code te garanderen. Geïntegreerde ontwikkelomgevingen (IDE's) zijn een voorbeeld van dergelijke tools.
  • Softwareontwikkelingstools moeten begeleiding en instructies bieden om organisaties te helpen bij het naleven van de richtlijnen en instructies.
  • Ontwikkeltools zoals compilers moeten door organisaties worden beoordeeld, onderhouden en veilig worden gebruikt.

Aanvullende richtlijnen voor beveiliging tijdens het coderen

Om veilige codeerpraktijken en -procedures te garanderen, moet tijdens het codeerproces rekening worden gehouden met het volgende:

  • Codeerprincipes voor veilige software moeten worden afgestemd op elke programmeertaal en -techniek.
  • Testgestuurde ontwikkeling en pair programming zijn voorbeelden van veilige programmeertechnieken en -methoden.
  • Implementatie van gestructureerde programmeertechnieken.
  • Documentatie van de code en het verwijderen van defecten in de code.
  • Het gebruik van onveilige softwarecoderingsmethoden, zoals niet-goedgekeurde codevoorbeelden of hardgecodeerde wachtwoorden, is verboden.

Tijdens en na de ontwikkeling moet een beveiligingstest worden uitgevoerd, zoals gespecificeerd in ISO 27001 Annex A Control 8.29.

Organisaties moeten de volgende zaken in overweging nemen voordat ze de software in een live applicatieomgeving implementeren:

  • Is er een aanvalsoppervlak?
  • Wordt het least privilege-principe gevolgd?
  • Analyseren van de meest voorkomende programmeerfouten en documenteren van de eliminatie ervan.

Aanvullende richtlijnen voor het beoordelingsproces

Na de implementatie van de code in de productieomgeving

  • Er moet een veilige methode worden gebruikt om updates toe te passen.
  • Per ISO 27001:2022 bijlage A Controle 8.8: beveiligingskwetsbaarheden moeten worden aangepakt.
  • Er moeten gegevens worden bijgehouden over vermoedelijke aanvallen en fouten in informatiesystemen, en deze gegevens moeten regelmatig worden herzien, zodat passende wijzigingen kunnen worden aangebracht.
  • Het gebruik van tools zoals beheertools moet worden gebruikt om ongeoorloofde toegang, gebruik of wijziging van de broncode te voorkomen.

Organisaties moeten rekening houden met de volgende factoren bij het gebruik van externe tools

  • Regelmatige monitoring en updates van externe bibliotheken moeten worden uitgevoerd volgens hun releasecycli.
  • Een grondige beoordeling, selectie en autorisatie van softwarecomponenten zijn essentieel, vooral die welke verband houden met cryptografie en authenticatie.
  • Het verkrijgen van licenties voor externe componenten en het waarborgen van de veiligheid ervan.
  • Er moet een systeem zijn voor het volgen en onderhouden van software. Bovendien moet er zeker van zijn dat de informatie afkomstig is van een betrouwbare bron.
  • Het is van essentieel belang dat er ontwikkelingsmiddelen voor de lange termijn beschikbaar zijn.

Bij het aanbrengen van wijzigingen in een softwarepakket moet rekening worden gehouden met de volgende factoren:

  • Integriteitsprocessen of ingebouwde controles kunnen een organisatie blootstellen aan risico's.
  • Het is essentieel om vast te stellen of de leverancier met de wijzigingen heeft ingestemd.
  • Kan toestemming van de leverancier worden verkregen om regelmatig updates van de software uit te voeren?
  • De waarschijnlijke impact van het onderhouden van de software terwijl deze verandert.
  • Welk effect zullen de veranderingen hebben op andere softwarecomponenten die de organisatie gebruikt?

Aanvullende richtlijnen voor ISO 27001:2022 bijlage A 8.28

Organisaties moeten ervoor zorgen dat ze waar nodig veiligheidsrelevante code gebruiken en dat deze bestand is tegen manipulatie.

Bijlage A Controle 8.28 van ISO 27001:2022 doet de volgende aanbevelingen voor beveiligingsrelevante code:

  • Hoewel programma's die via binaire code worden gedownload, beveiligingsgerelateerde code in de applicatie zelf zullen bevatten, zal deze in omvang beperkt zijn tot gegevens die intern in de applicatie zijn opgeslagen.
  • Het bijhouden van beveiligingsrelevante code is alleen nuttig als deze wordt uitgevoerd op een server waartoe de gebruiker geen toegang heeft en gescheiden is van de processen die er gebruik van maken, zodat de gegevens veilig worden bewaard in een andere database en veilig worden gescheiden van de processen. die het gebruiken. Het gebruik van een cloudservice om een ​​geïnterpreteerde code uit te voeren is mogelijk, en u kunt de toegang tot de code beperken tot bevoorrechte beheerders om de toegang tot de code te beperken. De aanbeveling is dat deze toegangsrechten worden beschermd met just-in-time beheerdersrechten en robuuste authenticatiemechanismen die alleen op het juiste moment toegang tot de site verlenen.
  • Op webservers moet een geschikte configuratie worden geïmplementeerd om ongeoorloofde toegang tot en bladeren door mappen op de server te voorkomen.
  • Om veilige applicatiecode te ontwikkelen, moet u ervan uitgaan dat de code kwetsbaar is voor aanvallen als gevolg van coderingsfouten en acties van kwaadwillende actoren. Een kritische applicatie moet zo worden ontworpen dat deze immuun is voor interne fouten, op een manier die voorkomt dat deze gevoelig is voor fouten. Bij het evalueren van de output van een algoritme is het bijvoorbeeld mogelijk om ervoor te zorgen dat de output voldoet aan de beveiligingsvereisten voordat het algoritme kan worden gebruikt in kritische toepassingen, zoals die gerelateerd aan financiën, voordat het in de applicatie kan worden gebruikt.
  • Door een gebrek aan goede codeerpraktijken zijn bepaalde webapplicaties zeer gevoelig voor beveiligingsrisico's, zoals database-injectie en cross-site scripting-aanvallen.
  • Het wordt aanbevolen dat organisaties ISO/IEC 15408 raadplegen voor meer informatie over IT-beveiligingsevaluatie en hoe deze uit te voeren.

Wat zijn de veranderingen ten opzichte van ISO 27001:2013?

Bijlage A 8.28 is een nieuwe Annex A-controle die is toegevoegd aan de ISO 27001:2022-norm.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Of u nu helemaal nieuw bent op het gebied van informatiebeveiliging of beknopt kennis wilt opdoen over ISO 27001 zonder tijd te hoeven besteden aan het lezen van lange en gedetailleerde documenten of helemaal opnieuw wilt leren, ons platform is speciaal voor u ontworpen.

Met ISMS.Online heeft u eenvoudig toegang tot documentsjablonen, checklists en beleid dat kan worden aangepast aan uw behoeften.

Wil je zien hoe het werkt?

Neem vandaag nog contact op met boek een demo.

Zie ISMS.online
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Methode voor gegarandeerde resultaten
100% ISO 27001-succes

Uw eenvoudige, praktische, tijdbesparende route naar de eerste keer dat u voldoet aan of certificering voor ISO 27001

Boek uw demo

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu