ISO 27002:2022, Controle 8.28, Veilige codering

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Wat is ISO 27002:2022 Control 8.28 voor veilig coderen?

Slechte coderingspraktijken, zoals onjuiste invoervalidatie en het genereren van zwakke sleutels, kunnen informatiesystemen blootstellen aan beveiligingsproblemen en resulteren in cyberaanvallen en het compromitteren van gevoelige informatie.

Bijvoorbeeld in de beruchte Heartbleed-bugincident, misbruikten hackers onjuiste invoervalidatie in de code om toegang te krijgen tot meer dan 4 miljoen patiëntengegevens.

Daarom moeten organisaties ervoor zorgen dat veilige codeerprincipes worden gevolgd, zodat slechte codeerpraktijken niet leiden tot beveiligingsproblemen.

Doel van de controle 8.28

Controle 8.28 stelt organisaties in staat beveiligingsrisico's en kwetsbaarheden te voorkomen die kunnen ontstaan als gevolg van slechte softwarecoderingspraktijken, door passende veilige softwarecoderingsprincipes te ontwerpen, implementeren en beoordelen.

Attributen Controletabel 8.28

Controle 8.28 is een preventieve vorm van controle die organisaties helpt de veiligheid van netwerken, systemen en applicaties te handhaven door risico's te elimineren die kunnen voortkomen uit slecht ontworpen softwarecode.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Applicatiebeveiliging	#Bescherming
	#Integriteit		#Systeem- en netwerkbeveiliging
	#Beschikbaarheid

Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Eigendom van zeggenschap 8.28

Gezien het feit dat 8.28 het ontwerp en de implementatie van veilige coderingsprincipes en -procedures voor de hele organisatie vereist, moet de Chief Information Security Officer verantwoordelijk zijn voor het nemen van passende stappen voor naleving.

Algemene richtlijnen voor naleving

Controle 8.28 vereist dat organisaties organisatiebrede processen voor veilige codering opzetten en implementeren die van toepassing zijn op zowel softwareproducten verkregen van externe partijen als op open source softwarecomponenten.

Bovendien moeten organisaties op de hoogte blijven van zich ontwikkelende beveiligingsbedreigingen in de echte wereld en van de meest recente informatie over bekende of potentiële kwetsbaarheden in de softwarebeveiliging. Dit zal organisaties in staat stellen robuuste, veilige softwarecoderingsprincipes te verbeteren en te implementeren die effectief zijn tegen zich ontwikkelende cyberdreigingen.

Aanvullend richtsnoer voor planning

De principes voor veilige softwarecodering moeten worden gevolgd, zowel voor nieuwe codeerprojecten als voor hergebruik van software.

Deze principes moeten worden nageleefd, zowel voor interne softwareontwikkelingsactiviteiten als voor de overdracht van de softwareproducten of -diensten van de organisatie aan derden.

Bij het opstellen van een plan voor veilige coderingsprincipes en het bepalen van de voorwaarden voor veilige codering moeten organisaties aan het volgende voldoen:

Organisaties moeten beveiligingsverwachtingen bepalen die zijn afgestemd op hun behoeften en goedgekeurde principes vaststellen voor veilige softwarecodering die van toepassing zijn op zowel interne softwareontwikkeling als uitbestede softwarecomponenten.
Organisaties moeten de meest voorkomende en historische slechte codeerontwerppraktijken en fouten die resulteren in een compromittering van de informatiebeveiliging, opsporen en documenteren.
Organisaties moeten softwareontwikkelingstools opzetten en configureren om de veiligheid van alle gecreëerde code te garanderen. Een voorbeeld van dergelijke tools zijn geïntegreerde ontwikkelomgevingen (IDE).
Organisaties moeten ervoor zorgen dat de richtlijnen en instructies van softwareontwikkeltools worden nageleefd.
Organisaties moeten ontwikkelingstools zoals compilers beoordelen, onderhouden en veilig gebruiken.

Aanvullende richtlijnen voor beveiliging tijdens het coderen

Bij veilige codeerpraktijken en -procedures moet bij het codeerproces rekening worden gehouden met het volgende:

De principes van veilige softwarecodering moeten worden afgestemd op elke gebruikte programmeertaal en -techniek.
Inzet van veilige programmeertechnieken en -methoden, zoals testgestuurde ontwikkeling en pair programming.
Gebruik van gestructureerde programmeermethoden.
Goede codedocumentatie en verwijdering van codedefecten.
Verbod op het gebruik van onveilige softwarecoderingsmethoden, zoals niet-goedgekeurde codevoorbeelden of hardgecodeerde wachtwoorden.

In de aanvullende richtlijnen wordt ook opgemerkt dat beveiligingstests zowel tijdens als na de ontwikkeling moeten worden uitgevoerd in overeenstemming met Controle 8.29.

Voordat organisaties de software daadwerkelijk gaan gebruiken in de live applicatieomgeving, moeten ze het volgende overwegen:

Wat is het aanvalsoppervlak?
Wordt het beginsel van de minste privileges gevolgd?
Het uitvoeren van een analyse van de meest voorkomende programmeerfouten en het documenteren dat deze risico's zijn geëlimineerd.

Compliance hoeft niet ingewikkeld te zijn.

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Aanvullend richtsnoer voor het beoordelingsproces

Nadat de code in gebruik is genomen in de productieomgeving

Updates moeten op een veilige manier worden toegepast.
Kwetsbaarheden in de beveiliging die worden gemeld in overeenstemming met Controle 8.8 moeten worden aangepakt.
Vermoedelijke aanvallen op informatiesystemen en fouten moeten worden vastgelegd en deze gegevens moeten met regelmatige tussenpozen worden beoordeeld, zodat passende wijzigingen in de code kunnen worden aangebracht.
Ongeautoriseerde toegang tot, gebruik van of wijzigingen in de broncode moeten worden voorkomen via mechanismen zoals beheertools.

Wanneer organisaties externe tools gebruiken, moeten ze rekening houden met het volgende

Externe bibliotheken moeten regelmatig worden gecontroleerd en bijgewerkt op basis van hun releasecycli.
Softwarecomponenten moeten zorgvuldig worden doorgelicht, geselecteerd en geautoriseerd, met name cryptografie- en authenticatiecomponenten.
Licentieverlening voor externe componenten en waarborgen van de veiligheid ervan.
Software moet worden gevolgd en onderhouden. Bovendien moet ervoor worden gezorgd dat de gegevens afkomstig zijn van een betrouwbare bron.
Ontwikkelingsmiddelen moeten voor de lange termijn beschikbaar zijn.

Wanneer u wijzigingen aanbrengt in een softwarepakket, moet u rekening houden met het volgende

Risico's die kunnen voortvloeien uit ingebouwde controles of het in gevaar brengen van integriteitsprocessen.
Of de leverancier toestemming geeft voor wijzigingen.
Of het mogelijk is om toestemming te krijgen van de softwareleverancier voor regelmatige updates.
De waarschijnlijke impact van het voortzetten van het onderhoud van de software die voortvloeit uit veranderingen.
Of de wijzigingen compatibel zouden zijn met andere softwarecomponenten die door de organisatie worden gebruikt.

Aanvullend richtsnoer voor controle 8.28

Organisaties moeten ervoor zorgen dat veiligheidsrelevante code wordt gebruikt wanneer dit nodig is en bestand is tegen manipulatie.

Control 8.28 vermeldt ook de volgende aanbevelingen voor beveiligingsrelevante code:

Hoewel programma's die via binaire code zijn geïnstalleerd, beveiligingsrelevante code bevatten, is dit beperkt tot de gegevens die in de applicatie zelf zijn opgeslagen.
Het concept van beveiligingsrelevante code is alleen nuttig wanneer de code wordt uitgevoerd op een server die niet toegankelijk is voor de gebruiker, gescheiden is van de processen die er gebruik van maken en de gegevens ervan veilig in een andere database worden bewaard. U kunt bijvoorbeeld een geïnterpreteerde code uitvoeren op een cloudservice en de toegang tot code kan worden beperkt tot bevoorrechte beheerders. Het wordt aanbevolen dat u deze toegangsrechten beschermt via methoden zoals just-in-time beheerdersrechten en robuuste authenticatiemechanismen.
Er moeten geschikte configuraties op webservers worden geïmplementeerd om ongeoorloofde toegang tot en bladeren door de directory te voorkomen.
Bij het ontwerpen van applicatiecode moet u ervan uitgaan dat de code kwetsbaar is voor aanvallen als gevolg van codeerfouten en acties van kwaadwillende actoren. U moet kritische applicaties zo ontwerpen dat ze niet kwetsbaar zijn voor interne fouten. De output die door een algoritme wordt geproduceerd, kan bijvoorbeeld worden beoordeeld om er zeker van te zijn dat het voldoet aan de beveiligingsvereisten voordat het kan worden gebruikt in kritische toepassingen zoals financiële toepassingen.
Bepaalde webapplicaties zijn zeer kwetsbaar voor veiligheidsrisico's als gevolg van slechte codeerpraktijken zoals database-injectie en cross-site scripting-aanvallen.
Organisaties moeten de ISO/IEC 15408-serie raadplegen voor meer informatie over IT-beveiligingsevaluatie.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/8.28 is een nieuw type besturing.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	Nieuw	Bedreigingsintelligentie
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
7.4	Nieuw	Fysieke beveiligingsmonitoring
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.16	Nieuw	Monitoring activiteiten
8.23	Nieuw	Web filtering
8.28	Nieuw	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	Nieuw	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	Nieuw	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nieuw	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	Nieuw	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	Nieuw	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Ons platform is speciaal ontwikkeld voor degenen die nieuw zijn op het gebied van informatiebeveiliging of een gemakkelijke manier nodig hebben om ISO 27002 te leren kennen zonder tijd te hoeven besteden aan het helemaal opnieuw leren of het doorlezen van lange documenten.

ISMS.Online wordt geleverd met alle tools die nodig zijn om naleving te bereiken, inclusief documentsjablonen, checklists en beleid dat kan worden aangepast aan uw behoeften.

Wilt u zien hoe het werkt?

Neem vandaag nog contact op met boek een demo.