ISO 27002:2022, Controle 8.19 – Installatie van software op besturingssystemen

ISO 27002:2022 herziene controles

Boek een demo

brede,hoek,weergave,van,druk,kantoor,met,werknemers,bij

Doel van de controle 8.19

Operationele software kan grofweg worden omschreven als elk stukje software dat het bedrijf actief gebruikt om zijn activiteiten uit te voeren, in tegenstelling tot testsoftware of ontwikkelingsprojecten.

Het is van cruciaal belang om ervoor te zorgen dat software op een bepaald netwerk wordt geïnstalleerd en beheerd in overeenstemming met een strikte reeks regels en vereisten die de risico's minimaliseren, de efficiëntie verbeteren en de veiligheid binnen interne en externe netwerken en diensten handhaven.

Attributentabel

Controle 8.19 is een preventieve controle dat houdt het risico in stand door een reeks regels vast te stellen die de installatie van software op operationele systemen regelen.

controle TypeEigenschappen voor informatiebeveiligingCyberbeveiligingsconceptenOperationele mogelijkhedenBeveiligingsdomeinen
#Preventief#Vertrouwelijkheid
#Integriteit
#Beschikbaarheid		#Beschermen#Veilige configuratie
#Applicatiebeveiliging		#Bescherming

Eigendom van zeggenschap 8.19

Controle 8.19 behandelt technische concepten met betrekking tot het onderhoud en beheer van operationele computersystemen. Als zodanig moet het eigendom berusten bij het hoofd IT, of het equivalent van de organisatie.

Ga naar onderwerp
Krijg een voorsprong op ISO 27001
  • Allemaal bijgewerkt met de 2022-besturingsset
  • Boek 81% vooruitgang vanaf het moment dat u inlogt
  • Eenvoudig en makkelijk te gebruiken
Boek uw demo
img

Algemene richtlijnen voor naleving

Om wijzigingen en installaties op hun netwerk veilig te kunnen beheren, moeten organisaties:

  1. Zorg ervoor dat software-updates alleen worden uitgevoerd door opgeleid en competent personeel (zie Controle 8.5).

  2. Installeer alleen robuuste uitvoerbare code die vrij is van bugs en die de ontwikkelingsfase veilig heeft verlaten.

  3. Installeer en/of update software pas nadat de genoemde update of patch succesvol is getest en de organisatie er zeker van is dat er geen conflicten of fouten zullen ontstaan.

  4. Zorg voor een up-to-date bibliotheeksysteem.

  5. Maak gebruik van een 'configuratiecontrolesysteem' dat alle exemplaren van operationele software beheert, inclusief programmadocumentatie.

  6. Spreek vóór eventuele updates of installaties een 'rollback-strategie' af, om de bedrijfscontinuïteit te garanderen in het geval van een onvoorziene fout of conflict.

  7. Houd een logboek bij van alle uitgevoerde updates van operationele software, inclusief een samenvatting van de update, het betrokken personeel en een tijdstempel.

  8. Zorg ervoor dat ongebruikte software – inclusief alle documentatie, configuratiebestanden, systeemlogboeken en ondersteunende procedures – veilig wordt opgeslagen voor verder gebruik, mocht dat nodig zijn.

  9. Dwing een strikte reeks regels af over het type softwarepakketten dat gebruikers kunnen installeren, gebaseerd op de principes van 'minst geprivilegieerde' en in overeenstemming met relevante rollen en verantwoordelijkheden.

Begeleiding – Leverancierssoftware

Als het om door de leverancier geleverde software gaat (bijvoorbeeld software die wordt gebruikt bij de bediening van machines of voor een op maat gemaakte bedrijfsfunctie), moet dergelijke software altijd in goede staat worden gehouden door de richtlijnen van de leverancier voor veilig gebruik te raadplegen.

Het is belangrijk op te merken dat zelfs als software of softwaremodules extern worden geleverd en beheerd (dat wil zeggen dat de organisatie niet verantwoordelijk is voor eventuele updates), er stappen moeten worden genomen om ervoor te zorgen dat updates van derden de integriteit van het netwerk van de organisatie niet in gevaar brengen.

Organisaties moeten het gebruik van niet-ondersteunde software van leveranciers vermijden, tenzij dit absoluut noodzakelijk is, en rekening houden met de bijbehorende beveiligingsrisico's van het gebruik van redundante applicaties in plaats van een upgrade naar nieuwere en veiligere systemen.

Als een leverancier toegang nodig heeft tot het netwerk van een organisatie om een ​​installatie of update uit te voeren, moeten de activiteiten worden gemonitord en gevalideerd in overeenstemming met alle relevante autorisatieprocedures (zie Controle 5.22).

Krijg een voorsprong
op ISO 27002

De enige naleving
oplossing die u nodig heeft
Boek uw demo

Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Aanvullend richtsnoer voor controle 8.19

Software moet worden geüpgraded, geïnstalleerd en/of gepatcht in overeenstemming met de gepubliceerde change management-procedures van de organisatie, om uniformiteit met andere bedrijfsonderdelen te garanderen.

Telkens wanneer er een patch wordt geïdentificeerd die een kwetsbaarheid (of een reeks kwetsbaarheden volledig elimineert), of op welke manier dan ook helpt om de informatiebeveiligingsoperatie van de organisatie te verbeteren, moeten dergelijke wijzigingen bijna altijd worden toegepast (hoewel het nog steeds nodig is om dergelijke wijzigingen op elk moment te beoordelen). van geval tot geval).

Wanneer de noodzaak zich voordoet om open source software te gebruiken, moet dit altijd de nieuwste publiekelijk beschikbare versie zijn die actief wordt onderhouden. Dienovereenkomstig moeten organisaties rekening houden met de inherente risico's van het gebruik van niet-onderhouden software binnen alle bedrijfsfuncties.

Ondersteunende controles

  • 5.22
  • 8.5

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

ISO 27002:2022-8.19 vervangt ISO 27002:2003-12.5.1 (Installatie van software op besturingssystemen) en 12.6.2 (Beperkingen op software-installatie).

27002:2022-8.19 is een samensmelting van de meeste adviezen uit 27002:2003-12.5.1 en 12.6.2, waarbij een aantal kernconcepten kort wordt toegelicht en enkele nieuwe bestuursprincipes worden toegevoegd:

  • Onderhouden van een bibliotheeksysteem.

  • Regels voor het gebruik van open source software.

  • Nauwere logische controles op de installatie en het onderhoud van software van leveranciers.

Hoe ISMS.online helpt

ISMS.Online is een complete oplossing voor ISO 27002-implementatie. Het is een webgebaseerd systeem waarmee u met behulp van doordachte processen, procedures en checklists kunt aantonen dat uw Information Security Management System (ISMS) voldoet aan de goedgekeurde normen.

Het is niet alleen een eenvoudig te gebruiken platform voor het beheren van uw ISO 27002-implementatie, maar ook een uitstekend hulpmiddel om uw personeel te trainen in best practices en processen op het gebied van informatiebeveiliging, en om al uw inspanningen te documenteren.

De voordelen van het gebruik van ISMS.Online:

  • Eenvoudig te gebruiken online platform dat vanaf elk apparaat toegankelijk is.

  • Het is volledig aanpasbaar om aan uw behoeften te voldoen.

  • Aanpasbare workflows en processen om aan uw zakelijke behoeften te voldoen.

  • Trainingstools waarmee nieuwe medewerkers sneller aan de slag kunnen.

  • Een bibliotheek met sjablonen voor documenten zoals beleid, procedures, plannen en checklists.

Neem vandaag nog contact op met boek een demo.

Ben je klaar voor
de nieuwe ISO 27002

Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NewBedreigingsintelligentie
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.30NewICT gereed voor bedrijfscontinuïteit
7.4NewFysieke beveiligingsmonitoring
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.16NewMonitoring activiteiten
8.23NewWeb filtering
8.28NewVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NewBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.12 08.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NewICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NewFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NewMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NewWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NewVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests
Eenvoudig. Zeker. Duurzaam.

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie