Slechte coderingspraktijken, zoals onjuiste invoervalidatie en het genereren van zwakke sleutels, kunnen informatiesystemen blootstellen aan beveiligingsproblemen en resulteren in cyberaanvallen en het compromitteren van gevoelige informatie.
Bijvoorbeeld in de beruchte Heartbleed-bugincident, misbruikten hackers onjuiste invoervalidatie in de code om toegang te krijgen tot meer dan 4 miljoen patiëntengegevens.
Daarom moeten organisaties ervoor zorgen dat veilige codeerprincipes worden gevolgd, zodat slechte codeerpraktijken niet leiden tot beveiligingsproblemen.
Controle 8.28 stelt organisaties in staat beveiligingsrisico's en kwetsbaarheden te voorkomen die kunnen ontstaan als gevolg van slechte softwarecoderingspraktijken, door passende veilige softwarecoderingsprincipes te ontwerpen, implementeren en beoordelen.
Controle 8.28 is een preventieve vorm van controle die organisaties helpt de veiligheid van netwerken, systemen en applicaties te handhaven door risico's te elimineren die kunnen voortkomen uit slecht ontworpen softwarecode.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Applicatiebeveiliging #Systeem- en netwerkbeveiliging | #Bescherming |
Gezien het feit dat 8.28 het ontwerp en de implementatie van veilige coderingsprincipes en -procedures voor de hele organisatie vereist, moet de Chief Information Security Officer verantwoordelijk zijn voor het nemen van passende stappen voor naleving.
Controle 8.28 vereist dat organisaties organisatiebrede processen voor veilige codering opzetten en implementeren die van toepassing zijn op zowel softwareproducten verkregen van externe partijen als op open source softwarecomponenten.
Bovendien moeten organisaties op de hoogte blijven van zich ontwikkelende beveiligingsbedreigingen in de echte wereld en van de meest recente informatie over bekende of potentiële kwetsbaarheden in de softwarebeveiliging. Dit zal organisaties in staat stellen robuuste, veilige softwarecoderingsprincipes te verbeteren en te implementeren die effectief zijn tegen zich ontwikkelende cyberdreigingen.
De principes voor veilige softwarecodering moeten worden gevolgd, zowel voor nieuwe codeerprojecten als voor hergebruik van software.
Deze principes moeten worden nageleefd, zowel voor interne softwareontwikkelingsactiviteiten als voor de overdracht van de softwareproducten of -diensten van de organisatie aan derden.
Bij het opstellen van een plan voor veilige coderingsprincipes en het bepalen van de voorwaarden voor veilige codering moeten organisaties aan het volgende voldoen:
Bij veilige codeerpraktijken en -procedures moet bij het codeerproces rekening worden gehouden met het volgende:
In de aanvullende richtlijnen wordt ook opgemerkt dat beveiligingstests zowel tijdens als na de ontwikkeling moeten worden uitgevoerd in overeenstemming met Controle 8.29.
Voordat organisaties de software daadwerkelijk gaan gebruiken in de live applicatieomgeving, moeten ze het volgende overwegen:
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Organisaties moeten ervoor zorgen dat veiligheidsrelevante code wordt gebruikt wanneer dit nodig is en bestand is tegen manipulatie.
Control 8.28 vermeldt ook de volgende aanbevelingen voor beveiligingsrelevante code:
27002:2022/8.28 is een nieuw type besturing.
Ons platform is speciaal ontwikkeld voor degenen die nieuw zijn op het gebied van informatiebeveiliging of een gemakkelijke manier nodig hebben om ISO 27002 te leren kennen zonder tijd te hoeven besteden aan het helemaal opnieuw leren of het doorlezen van lange documenten.
ISMS.Online wordt geleverd met alle tools die nodig zijn om naleving te bereiken, inclusief documentsjablonen, checklists en beleid dat kan worden aangepast aan uw behoeften.
Wilt u zien hoe het werkt?
Neem vandaag nog contact op met boek een demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |