Installatie van software op besturingssystemen

ISO 27002:2022 – Controle 8.19 – Installatie van software op besturingssystemen

ISO 27002 Control 8.19 schrijft strikte controles voor op software-installaties op operationele systemen om de beveiliging te waarborgen, ongeautoriseerde wijzigingen te voorkomen en de integriteit van het systeem te handhaven via geautoriseerd personeel, testen, configuratiebeheer en rollbackstrategieën.

Doel van de controle 8.19

Operationele software kan grofweg worden omschreven als elk stukje software dat het bedrijf actief gebruikt om zijn activiteiten uit te voeren, in tegenstelling tot testsoftware of ontwikkelingsprojecten.

Het is van cruciaal belang om ervoor te zorgen dat software op een bepaald netwerk wordt geïnstalleerd en beheerd in overeenstemming met een strikte reeks regels en vereisten die de risico's minimaliseren, de efficiëntie verbeteren en de veiligheid binnen interne en externe netwerken en diensten handhaven.

Attributen Controletabel 8.19

Controle 8.19 is een preventieve controle uit die houdt het risico in stand door een reeks regels vast te stellen die de installatie van software op operationele systemen regelen.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Veilige configuratie	#Bescherming
	#Integriteit		#Applicatiebeveiliging
	#Beschikbaarheid

Eigendom van zeggenschap 8.19

Controle 8.19 behandelt technische concepten met betrekking tot het onderhoud en beheer van operationele computersystemen. Als zodanig moet het eigendom berusten bij het hoofd IT, of het equivalent van de organisatie.

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo

Algemene richtlijnen voor naleving

Om wijzigingen en installaties op hun netwerk veilig te kunnen beheren, moeten organisaties:

Zorg ervoor dat software-updates alleen worden uitgevoerd door opgeleid en competent personeel (zie Controle 8.5).
Installeer alleen robuuste uitvoerbare code die vrij is van bugs en die de ontwikkelingsfase veilig heeft verlaten.
Installeer en/of update software pas nadat de genoemde update of patch succesvol is getest en de organisatie er zeker van is dat er geen conflicten of fouten zullen ontstaan.
Zorg voor een up-to-date bibliotheeksysteem.
Maak gebruik van een 'configuratiecontrolesysteem' dat alle exemplaren van operationele software beheert, inclusief programmadocumentatie.
Spreek vóór eventuele updates of installaties een 'rollback-strategie' af, om de bedrijfscontinuïteit te garanderen in het geval van een onvoorziene fout of conflict.
Houd een logboek bij van alle uitgevoerde updates van operationele software, inclusief een samenvatting van de update, het betrokken personeel en een tijdstempel.
Zorg ervoor dat ongebruikte software – inclusief alle documentatie, configuratiebestanden, systeemlogboeken en ondersteunende procedures – veilig wordt opgeslagen voor verder gebruik, mocht dat nodig zijn.
Dwing een strikte reeks regels af over het type softwarepakketten dat gebruikers kunnen installeren, gebaseerd op de principes van 'minst geprivilegieerde' en in overeenstemming met relevante rollen en verantwoordelijkheden.

Begeleiding – Leverancierssoftware

Als het om door de leverancier geleverde software gaat (bijvoorbeeld software die wordt gebruikt bij de bediening van machines of voor een op maat gemaakte bedrijfsfunctie), moet dergelijke software altijd in goede staat worden gehouden door de richtlijnen van de leverancier voor veilig gebruik te raadplegen.

Het is belangrijk op te merken dat zelfs als software of softwaremodules extern worden geleverd en beheerd (dat wil zeggen dat de organisatie niet verantwoordelijk is voor eventuele updates), er stappen moeten worden genomen om ervoor te zorgen dat updates van derden de integriteit van het netwerk van de organisatie niet in gevaar brengen.

Organisaties moeten het gebruik van niet-ondersteunde software van leveranciers vermijden, tenzij dit absoluut noodzakelijk is, en rekening houden met de bijbehorende beveiligingsrisico's van het gebruik van redundante applicaties in plaats van een upgrade naar nieuwere en veiligere systemen.

Als een leverancier toegang nodig heeft tot het netwerk van een organisatie om een installatie of update uit te voeren, moeten de activiteiten worden gemonitord en gevalideerd in overeenstemming met alle relevante autorisatieprocedures (zie Controle 5.22).

Aanvullend richtsnoer voor controle 8.19

Software moet worden geüpgraded, geïnstalleerd en/of gepatcht in overeenstemming met de gepubliceerde change management-procedures van de organisatie, om uniformiteit met andere bedrijfsonderdelen te garanderen.

Telkens wanneer er een patch wordt geïdentificeerd die een kwetsbaarheid (of een reeks kwetsbaarheden volledig elimineert), of op welke manier dan ook helpt om de informatiebeveiligingsoperatie van de organisatie te verbeteren, moeten dergelijke wijzigingen bijna altijd worden toegepast (hoewel het nog steeds nodig is om dergelijke wijzigingen op elk moment te beoordelen). van geval tot geval).

Wanneer de noodzaak zich voordoet om open source software te gebruiken, moet dit altijd de nieuwste publiekelijk beschikbare versie zijn die actief wordt onderhouden. Dienovereenkomstig moeten organisaties rekening houden met de inherente risico's van het gebruik van niet-onderhouden software binnen alle bedrijfsfuncties.

Ondersteunende controles

5.22
8.5

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

ISO 27002:2022-8.19 vervangt ISO 27002:2003-12.5.1 (Installatie van software op besturingssystemen) en 12.6.2 (Beperkingen op software-installatie).

27002:2022-8.19 is een samensmelting van de meeste adviezen uit 27002:2003-12.5.1 en 12.6.2, waarbij een aantal kernconcepten kort wordt toegelicht en enkele nieuwe bestuursprincipes worden toegevoegd:

Onderhouden van een bibliotheeksysteem.
Regels voor het gebruik van open source software.
Nauwere logische controles op de installatie en het onderhoud van software van leveranciers.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	NIEUW	Bedreigingsintelligentie
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.30	NIEUW	ICT gereed voor bedrijfscontinuïteit
7.4	NIEUW	Fysieke beveiligingsmonitoring
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.16	NIEUW	Monitoring activiteiten
8.23	NIEUW	Web filtering
8.28	NIEUW	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	NIEUW	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	5.30	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	NIEUW	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NIEUW	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	NIEUW	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	NIEUW	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online is een complete oplossing voor ISO 27002-implementatie. Het is een webgebaseerd systeem waarmee u met behulp van doordachte processen, procedures en checklists kunt aantonen dat uw Information Security Management System (ISMS) voldoet aan de goedgekeurde normen.

Het is niet alleen een eenvoudig te gebruiken platform voor het beheren van uw ISO 27002-implementatie, maar ook een uitstekend hulpmiddel om uw personeel te trainen in best practices en processen op het gebied van informatiebeveiliging, en om al uw inspanningen te documenteren.

De voordelen van het gebruik van ISMS.Online:

Eenvoudig te gebruiken online platform dat vanaf elk apparaat toegankelijk is.
Het is volledig aanpasbaar om aan uw behoeften te voldoen.
Aanpasbare workflows en processen om aan uw zakelijke behoeften te voldoen.
Trainingstools waarmee nieuwe medewerkers sneller aan de slag kunnen.
Een bibliotheek met sjablonen voor documenten zoals beleid, procedures, plannen en checklists.

Neem vandaag nog contact op met boek een demo.

Wij zijn een leider in ons vakgebied