Control 8.25, Sicherer Entwicklungslebenszyklus

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Was ist ISO 27002 Control 8.25 und warum ist es wichtig?

In den 90er Jahren führten Unternehmen Sicherheitstests für Softwareprodukte und -systeme nur während der Testphase, in der letzten Phase des Softwareentwicklungslebenszyklus, durch.

Infolgedessen gelang es ihnen oft nicht, kritische Schwachstellen, Bugs und Fehler zu erkennen und zu beseitigen.

Um Sicherheitslücken frühzeitig zu erkennen und zu beheben, sollten Unternehmen Sicherheitsüberlegungen in alle Phasen des Entwicklungslebenszyklus einbeziehen, von der Planung bis zur Bereitstellungsphase.

Control 8.25 befasst sich damit, wie Organisationen Regeln zum Aufbau sicherer Softwareprodukte und -systeme festlegen und implementieren können.

Zweck der Kontrolle 8.25

Control 8.25 ermöglicht es Unternehmen, Informationssicherheitsstandards zu entwerfen und diese Standards über den gesamten sicheren Entwicklungslebenszyklus für Softwareprodukte und -systeme anzuwenden.

Attributtabelle der Steuerung 8.25

Control 8.25 ist präventiver Natur, da es von Organisationen verlangt, proaktiv Regeln und Kontrollen zu entwerfen und umzusetzen, die den gesamten Entwicklungslebenszyklus für jedes neue Softwareprodukt und -system regeln.

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Schützen	#Anwendungssicherheit	#Schutz
	#Integrität		#System- und Netzwerksicherheit
	#Verfügbarkeit

Verschaffen Sie sich einen Vorsprung von 81 %

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo anfordern

Eigentum an der Kontrolle 8.25

Der Chief Information Security Officer sollte für die Erstellung, Implementierung und Aufrechterhaltung von Regeln und Maßnahmen zur Gewährleistung der Sicherheit des Entwicklungslebenszyklus verantwortlich sein.

Allgemeine Richtlinien zur Compliance

Control 8.25 enthält 10 Anforderungen, die Unternehmen einhalten sollten, um sichere Softwareprodukte, Systeme und Architekturen zu entwickeln:

Entwicklungs-, Test- und Produktionsumgebungen sollten gemäß Control 8.31 getrennt werden.
Organisationen sollten Leitlinien zu Folgendem bereitstellen:

Sicherheitsüberlegungen in der Softwareentwicklungsmethodik gemäß Control 8.27 und 8.28.
Sichere Codierung für jede Programmiersprache gemäß 8.28.

Organisationen sollten Sicherheitsanforderungen festlegen und umsetzen, die für die Spezifikations- und Entwurfsphase gemäß Control 5.8 gelten.
Organisationen sollten Sicherheitschecklisten für die Projekte gemäß Control 5.8 definieren.
Organisationen sollten Sicherheits- und Systemtests wie Penetrationstests und Code-Scans gemäß Control 8.29 durchführen.
Organisationen sollten sichere Repositorys erstellen, in denen Quellcodes und Konfigurationen gemäß den Kontrollen 8.4 und 8.9 gespeichert werden.
Organisationen sollten die Sicherheit in der Versionskontrolle wie in Control 8.32 vorgeschrieben aufrechterhalten.
Organisationen sollten sicherstellen, dass alle an der Entwicklung beteiligten Mitarbeiter über ausreichende Kenntnisse im Bereich Anwendungssicherheit verfügen und die erforderliche Schulung gemäß Steuerung 8.28 erhalten.
Entwickler sollten in der Lage sein, Sicherheitslücken gemäß Control 8.28 zu erkennen und zu verhindern.
Organisationen sollten die Lizenzanforderungen einhalten und die Machbarkeit alternativer kostengünstiger Methoden bewerten, wie in Kontrolle 8.30 vorgeschrieben.

Wenn eine Organisation außerdem bestimmte Entwicklungsaufgaben an externe Parteien auslagert, muss sie sicherstellen, dass die externe Partei die Regeln und Verfahren der Organisation für die sichere Entwicklung von Software und Systemen einhält.

Ergänzende Leitlinien zur Kontrolle 8.25

Control 8.25 weist darauf hin, dass Softwareprodukte, Architekturen und Systeme auch innerhalb von Anwendungen, Datenbanken oder Browsern entwickelt werden können.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.

Live-Demo anfordern

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/8.25 replace 27002:2013/(14.2.1)

Insgesamt gibt es zwei wesentliche Unterschiede.

Die Version ISO 27002:2022 stellt zwei neue Anforderungen

Während die Version 2022 der Version 2013 weitgehend ähnelt, stellt Control 8.25 zwei neue Anforderungen an Organisationen:

Organisationen sollten die Lizenzanforderungen einhalten und die Machbarkeit alternativer kostengünstiger Methoden bewerten, wie in Kontrolle 8.30 vorgeschrieben.
Organisationen sollten Sicherheits- und Systemtests wie Penetrationstests und Code-Scans gemäß Control 8.29 durchführen.

Die Version ISO 27002:2013 bezog sich ausdrücklich auf die Wiederverwendung von Code

In der Version 2013 wurde ausdrücklich darauf hingewiesen, dass die Regelung 14.2.1 sowohl für Neuentwicklungen als auch für die Wiederverwendung von Code gilt. Im Gegensatz dazu bezog sich Control 8.25 nicht auf Code-Wiederverwendungsszenarien.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Schirmungsmaß
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, wird die Implementierung von ISO 27002 einfacher. Ihre komplette Compliance-Lösung für ISO/IEC 27002:2022.