Zorgen voor veiligheid van ontwikkeling tot implementatie: ISO 27002 Control 8.29 uitgelegd
Cybercriminelen bedenken voortdurend nieuwe manieren en verbeteren hun strategieën om bedrijfsnetwerken te infiltreren en toegang te krijgen tot gevoelige informatie.
Cyberaanvallers kunnen bijvoorbeeld misbruik maken van een kwetsbaarheid die verband houdt met het authenticatiemechanisme in de broncode om in netwerken binnen te dringen. Bovendien kunnen ze ook proberen eindgebruikers aan de clientzijde te manipuleren om acties uit te voeren om netwerken te infiltreren, toegang te krijgen tot gegevens of ransomware-aanvallen uit te voeren.
Als een applicatie, software of IT-systeem in de echte wereld met kwetsbaarheden wordt ingezet, zou dit gevoelige informatiemiddelen blootstellen aan het risico van compromittering.
Daarom moeten organisaties een passende beveiligingstestprocedure opzetten en implementeren om alle kwetsbaarheden in IT-systemen te identificeren en te verhelpen voordat deze in de echte wereld worden ingezet.
Doel van de controle 8.29
Controle 8.29 stelt organisaties in staat te verifiëren dat aan alle informatiebeveiligingsvereisten wordt voldaan wanneer nieuwe applicaties, databases, software of code in gebruik worden genomen door het opzetten en toepassen van een robuuste beveiligingstestprocedure.
Dit helpt organisaties kwetsbaarheden in de code, netwerken, servers, applicaties of andere IT-systemen te detecteren en te elimineren voordat ze in de echte wereld worden gebruikt.
Kenmerken van controle 8.29
Controle 8.29 heeft een preventief karakter. Het vereist dat organisaties nieuwe informatiesystemen en hun nieuwe/bijgewerkte versies onderwerpen aan een beveiligingstestproces voordat ze in de productieomgeving worden vrijgegeven.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Identificeren | #Applicatiebeveiliging | #Bescherming |
| #Integriteit | #Informatiebeveiligingsgarantie | |||
| #Beschikbaarheid | #Systeem- en netwerkbeveiliging |
Krijg een voorsprong van 81%
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Eigendom van zeggenschap 8.29
Gezien het feit dat Controle 8.29 het opzetten, onderhouden en implementeren van een beveiligingstestprocedure omvat die van toepassing zal zijn op alle nieuwe informatiesystemen, ongeacht of deze intern of door externe partijen zijn ontwikkeld, moet de Information Security Officer verantwoordelijk zijn voor de naleving ervan.
Algemene richtlijnen voor naleving
Organisaties moeten beveiligingstests opnemen in het testproces voor alle systemen en ze moeten ervoor zorgen dat alle nieuwe informatiesystemen en hun nieuwe/bijgewerkte versies voldoen aan de informatiebeveiligingseisen wanneer ze zich in de productieomgeving bevinden.
Controle 8.29 somt drie elementen op die moeten worden opgenomen in het beveiligingstestproces:
- Beveiligingsfuncties zoals gebruikersauthenticatie zoals gedefinieerd in Controle 8..5, toegangsbeperking zoals voorgeschreven in Controle 8.3, en cryptografie zoals behandeld in Controle 8.24.
- Veilige codering zoals beschreven in Controle 8.28.
- Veilige configuraties zoals voorgeschreven in Controls 8.9, 8.20, 8.22. Dit kan betrekking hebben op firewalls en besturingssystemen.
Wat moet een testplan bevatten?
Bij het ontwerpen van beveiligingstestplannen moeten organisaties rekening houden met het kritieke niveau en de aard van het informatiesysteem in kwestie.
Het beveiligingstestplan moet het volgende omvatten:
- Opstellen van een gedetailleerd tijdschema voor de werkzaamheden en de uit te voeren testen.
- Inputs en outputs die naar verwachting zullen optreden onder een gegeven reeks omstandigheden.
- Criteria om de resultaten te beoordelen.
- Indien nodig, beslissingen om acties te ondernemen op basis van de resultaten.
Compliance hoeft niet ingewikkeld te zijn.
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Ontwikkeling in eigen beheer
Wanneer IT-systemen door het interne ontwikkelingsteam worden ontwikkeld, moet dit team de initiële beveiligingstests uitvoeren om er zeker van te zijn dat het IT-systeem aan de beveiligingsvereisten voldoet.
Deze initiële tests moeten vervolgens worden gevolgd door een onafhankelijkheidsacceptatietest in overeenstemming met Controle 5.8.
Met betrekking tot de interne ontwikkeling moet met het volgende rekening worden gehouden:
- Het uitvoeren van codebeoordelingsactiviteiten om beveiligingsfouten op te sporen en te elimineren, inclusief verwachte inputs en voorwaarden.
- Het uitvoeren van kwetsbaarheidsscans om onveilige configuraties en andere kwetsbaarheden te detecteren.
- Het uitvoeren van penetratietesten om onveilige code en ontwerp te detecteren.
outsourcing
Organisaties moeten een strikt acquisitieproces volgen wanneer ze de ontwikkeling uitbesteden of wanneer ze IT-componenten van externe partijen kopen.
Organisaties moeten een overeenkomst sluiten met hun leveranciers en deze overeenkomst moet de informatiebeveiligingseisen behandelen zoals voorgeschreven in Controle 5.20.
Bovendien moeten organisaties ervoor zorgen dat de producten en diensten die zij kopen in overeenstemming zijn met de informatiebeveiligingsnormen.
Aanvullend richtsnoer voor controle 8.29
Organisaties kunnen meerdere testomgevingen creëren om verschillende tests uit te voeren, zoals functionele, niet-functionele en prestatietests.
Bovendien kunnen ze virtuele testomgevingen creëren en deze omgevingen vervolgens configureren om de IT-systemen in verschillende operationele omgevingen te testen.
Control 8.29 merkt ook op dat effectieve beveiligingstests vereisen dat organisaties de testomgevingen, tools en technologieën testen en monitoren.
Ten slotte moeten organisaties rekening houden met het niveau van gevoeligheid en kriticiteit van gegevens bij het bepalen van het aantal lagen van metatesten.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
27002:2022/8.29 vervangt 27002:2013/(14.2.8 en 14.2.9)
Structurele veranderingen
Terwijl de versie van 2022 betrekking heeft op veilig testen onder één enkele controle, verwees de versie van 2013 naar veilig testen in twee afzonderlijke controles; Systeembeveiligingstesten in Control 14.2.8 en Systeemacceptatietesten in Control 14.2.9
Controle 8.29 brengt uitgebreidere vereisten met zich mee
In tegenstelling tot de versie van 2013 bevat de versie van 2022 meer gedetailleerde vereisten en aanbevelingen over het volgende:
- Beveiligingstestplan en wat het moet bevatten.
- Criteria voor beveiligingstests voor de interne ontwikkeling van IT-systemen.
- Beveiligingstestproces en wat het zou moeten inhouden.
- Gebruik van meerdere testomgevingen.
De versie van 2013 was gedetailleerder met betrekking tot acceptatietests
In tegenstelling tot de 2022-versie was de 2013-versie meer prescriptief voor systeemacceptatietests. Het omvatte vereisten zoals beveiligingstests op ontvangen componenten en het gebruik van geautomatiseerde tools.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
ISMS.online stroomlijnt het ISO 27002-implementatieproces door een geavanceerd cloudgebaseerd raamwerk te bieden voor het documenteren van informatiebeveiligingsbeheersysteemprocedures en checklists om naleving van erkende normen te garanderen.
Neem contact op en boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
