Doel van de controle 8.19
Operationele software kan grofweg worden omschreven als elk stukje software dat het bedrijf actief gebruikt om zijn activiteiten uit te voeren, in tegenstelling tot testsoftware of ontwikkelingsprojecten.
Het is van cruciaal belang om ervoor te zorgen dat software op een bepaald netwerk wordt geïnstalleerd en beheerd in overeenstemming met een strikte reeks regels en vereisten die de risico's minimaliseren, de efficiëntie verbeteren en de veiligheid binnen interne en externe netwerken en diensten handhaven.
Attributen Controletabel 8.19
Controle 8.19 is een preventieve controle uit die houdt het risico in stand door een reeks regels vast te stellen die de installatie van software op operationele systemen regelen.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Veilige configuratie | #Bescherming |
| #Integriteit | #Applicatiebeveiliging | |||
| #Beschikbaarheid |
Eigendom van zeggenschap 8.19
Controle 8.19 behandelt technische concepten met betrekking tot het onderhoud en beheer van operationele computersystemen. Als zodanig moet het eigendom berusten bij het hoofd IT, of het equivalent van de organisatie.
Compliance hoeft niet ingewikkeld te zijn.
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Algemene richtlijnen voor naleving
Om wijzigingen en installaties op hun netwerk veilig te kunnen beheren, moeten organisaties:
- Zorg ervoor dat software-updates alleen worden uitgevoerd door opgeleid en competent personeel (zie Controle 8.5).
- Installeer alleen robuuste uitvoerbare code die vrij is van bugs en die de ontwikkelingsfase veilig heeft verlaten.
- Installeer en/of update software pas nadat de genoemde update of patch succesvol is getest en de organisatie er zeker van is dat er geen conflicten of fouten zullen ontstaan.
- Zorg voor een up-to-date bibliotheeksysteem.
- Maak gebruik van een 'configuratiecontrolesysteem' dat alle exemplaren van operationele software beheert, inclusief programmadocumentatie.
- Spreek vóór eventuele updates of installaties een 'rollback-strategie' af, om de bedrijfscontinuïteit te garanderen in het geval van een onvoorziene fout of conflict.
- Houd een logboek bij van alle uitgevoerde updates van operationele software, inclusief een samenvatting van de update, het betrokken personeel en een tijdstempel.
- Zorg ervoor dat ongebruikte software – inclusief alle documentatie, configuratiebestanden, systeemlogboeken en ondersteunende procedures – veilig wordt opgeslagen voor verder gebruik, mocht dat nodig zijn.
- Dwing een strikte reeks regels af over het type softwarepakketten dat gebruikers kunnen installeren, gebaseerd op de principes van 'minst geprivilegieerde' en in overeenstemming met relevante rollen en verantwoordelijkheden.
Begeleiding – Leverancierssoftware
Als het om door de leverancier geleverde software gaat (bijvoorbeeld software die wordt gebruikt bij de bediening van machines of voor een op maat gemaakte bedrijfsfunctie), moet dergelijke software altijd in goede staat worden gehouden door de richtlijnen van de leverancier voor veilig gebruik te raadplegen.
Het is belangrijk op te merken dat zelfs als software of softwaremodules extern worden geleverd en beheerd (dat wil zeggen dat de organisatie niet verantwoordelijk is voor eventuele updates), er stappen moeten worden genomen om ervoor te zorgen dat updates van derden de integriteit van het netwerk van de organisatie niet in gevaar brengen.
Organisaties moeten het gebruik van niet-ondersteunde software van leveranciers vermijden, tenzij dit absoluut noodzakelijk is, en rekening houden met de bijbehorende beveiligingsrisico's van het gebruik van redundante applicaties in plaats van een upgrade naar nieuwere en veiligere systemen.
Als een leverancier toegang nodig heeft tot het netwerk van een organisatie om een installatie of update uit te voeren, moeten de activiteiten worden gemonitord en gevalideerd in overeenstemming met alle relevante autorisatieprocedures (zie Controle 5.22).
Aanvullend richtsnoer voor controle 8.19
Software moet worden geüpgraded, geïnstalleerd en/of gepatcht in overeenstemming met de gepubliceerde change management-procedures van de organisatie, om uniformiteit met andere bedrijfsonderdelen te garanderen.
Telkens wanneer er een patch wordt geïdentificeerd die een kwetsbaarheid (of een reeks kwetsbaarheden volledig elimineert), of op welke manier dan ook helpt om de informatiebeveiligingsoperatie van de organisatie te verbeteren, moeten dergelijke wijzigingen bijna altijd worden toegepast (hoewel het nog steeds nodig is om dergelijke wijzigingen op elk moment te beoordelen). van geval tot geval).
Wanneer de noodzaak zich voordoet om open source software te gebruiken, moet dit altijd de nieuwste publiekelijk beschikbare versie zijn die actief wordt onderhouden. Dienovereenkomstig moeten organisaties rekening houden met de inherente risico's van het gebruik van niet-onderhouden software binnen alle bedrijfsfuncties.
Ondersteunende controles
- 5.22
- 8.5
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
ISO 27002:2022-8.19 vervangt ISO 27002:2003-12.5.1 (Installatie van software op besturingssystemen) en 12.6.2 (Beperkingen op software-installatie).
27002:2022-8.19 is een samensmelting van de meeste adviezen uit 27002:2003-12.5.1 en 12.6.2, waarbij een aantal kernconcepten kort wordt toegelicht en enkele nieuwe bestuursprincipes worden toegevoegd:
- Onderhouden van een bibliotheeksysteem.
- Regels voor het gebruik van open source software.
- Nauwere logische controles op de installatie en het onderhoud van software van leveranciers.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
ISMS.Online is een complete oplossing voor ISO 27002-implementatie. Het is een webgebaseerd systeem waarmee u met behulp van doordachte processen, procedures en checklists kunt aantonen dat uw Information Security Management System (ISMS) voldoet aan de goedgekeurde normen.
Het is niet alleen een eenvoudig te gebruiken platform voor het beheren van uw ISO 27002-implementatie, maar ook een uitstekend hulpmiddel om uw personeel te trainen in best practices en processen op het gebied van informatiebeveiliging, en om al uw inspanningen te documenteren.
De voordelen van het gebruik van ISMS.Online:
- Eenvoudig te gebruiken online platform dat vanaf elk apparaat toegankelijk is.
- Het is volledig aanpasbaar om aan uw behoeften te voldoen.
- Aanpasbare workflows en processen om aan uw zakelijke behoeften te voldoen.
- Trainingstools waarmee nieuwe medewerkers sneller aan de slag kunnen.
- Een bibliotheek met sjablonen voor documenten zoals beleid, procedures, plannen en checklists.
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
