ISO 27002:2022, Control 8.26 – Anwendungssicherheitsanforderungen

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

gemischtrassig,jung,kreativ,menschen,in,modern,büro.,erfolgreich,hipster,team

Anwendungssoftwareprogramme wie WebanwendungenGrafiksoftware, Datenbanksoftware und Zahlungsverarbeitungssoftware sind für viele wichtige Geschäftsabläufe von entscheidender Bedeutung.

Diese Anwendungen sind jedoch häufig ausgesetzt Sicherheitslücken, die zur Gefährdung vertraulicher Informationen führen können.

Equifax, ein in den USA ansässiges Kreditbüro, hat es beispielsweise versäumt, einen Sicherheitspatch auf ein Website-Anwendungs-Framework zu installieren, das zur Bearbeitung von Kundenbeschwerden verwendet wird. Die Cyber-Angreifer nutzten Sicherheitslücken in der Webanwendung, um die Unternehmensnetzwerke von Equifax zu infiltrieren und sensible Daten von rund 145 Millionen Menschen zu stehlen.

Control 8.26 befasst sich mit dem Wie Organisationen können Informationssicherheitsanforderungen festlegen und anwenden für die Entwicklung, Nutzung und den Erwerb von Anwendungen.

Zweck der Kontrolle 8.26

Mit Control 8.26 können Unternehmen Informationsbestände schützen, die in Anwendungen gespeichert oder durch diese verarbeitet werden, indem sie geeignete Anforderungen an die Informationssicherheit identifizieren und anwenden.

Attributtabelle

Kontrolle 8.26 ist eine präventive Art der Kontrolle, die Risiken für die Integrität, Verfügbarkeit und Vertraulichkeit der auf Antrag gespeicherten Informationsbestände durch den Einsatz geeigneter Informationssicherheitsmaßnahmen verhindert.

Steuerungstyp Eigenschaften der Informationssicherheit CybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Schützen#Anwendungssicherheit
#System- und Netzwerksicherheit		#Schutz
#Verteidigung
Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Eigentum an der Kontrolle 8.26

Der Chief Information Security Officer sollte mit Unterstützung von Informationssicherheitsspezialisten für die Identifizierung, Genehmigung und Umsetzung von Informationsanforderungen für den Erwerb, die Nutzung und die Entwicklung von Anwendungen verantwortlich sein.

Allgemeine Richtlinien zur Compliance

Allgemeine Leitlinien weisen darauf hin, dass Organisationen Folgendes durchführen sollten: Risikobewertung zur Bestimmung der Art der Informationssicherheitsanforderungen für eine bestimmte Anwendung geeignet ist.

Während der Inhalt und die Art von Anforderungen an die Informationssicherheit Da die Anforderungen je nach Art der Anwendung variieren können, sollten sie Folgendes umfassen:

  • Der Grad des Vertrauens, der der Identität bestimmter Entitäten gemäß Kontrolle 5.17, 8.2 und 8.5 zugewiesen wird.

  • Identifizierung der Klassifizierungsebene Informationsressourcen zugeordnet auf der Anwendung gespeichert oder verarbeitet werden.

  • Ob eine Trennung des Zugriffs auf in der Anwendung gespeicherte Funktionen und Informationen erforderlich ist.

  • Ob die Anwendung widerstandsfähig gegen Cyberangriffe wie SQL-Injections oder unbeabsichtigte Abhörvorgänge wie Pufferüberlauf ist.

  • Gesetzliche, behördliche und gesetzliche Anforderungen und Standards, die für die von der Anwendung verarbeitete, generierte, gespeicherte oder abgeschlossene Transaktion gelten.

  • Datenschutzaspekte für alle Beteiligten.

  • Voraussetzungen für die Schutz vertraulicher Daten.

  • Schutz von Informationen während der Verwendung, während der Übertragung oder im Ruhezustand.

  • Ob sichere Verschlüsselung der Kommunikation zwischen allen relevanten Parteien ist notwendig.

  • Implementierung von Eingabekontrollen wie Eingabevalidierung oder Durchführung von Integritätsprüfungen.

  • Durchführung automatisierter Kontrollen.

  • Durchführen von Ausgabekontrollen unter Berücksichtigung der Personen, die Ausgaben sehen können, und der Zugriffsberechtigung.

  • Es müssen Beschränkungen für den Inhalt von „Freitext“-Feldern eingeführt werden, um die Verbreitung vertraulicher Daten auf unkontrollierbare Weise zu verhindern.

  • Anforderungen, die sich aus geschäftlichen Anforderungen ergeben, wie z. B. die Protokollierung von Transaktionen und Anforderungen zur Nichtabstreitbarkeit.

  • Anforderungen, die durch andere Sicherheitskontrollen wie Systeme zur Erkennung von Datenlecks gestellt werden.

  • Umgang mit Fehlermeldungen.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Ergänzende Leitlinien zu Transaktionsdiensten

Control 8.26 verlangt von Organisationen, die folgenden sieben Empfehlungen zu berücksichtigen, wenn eine Anwendung Transaktionsdienste zwischen der Organisation und einem Partner anbietet:

  • Der Grad des Vertrauens, den jede Partei in der Transaktion in die Identität der anderen Partei erfordert.

  • Der erforderliche Grad an Vertrauen in die Integrität der übermittelten oder verarbeiteten Daten und die Identifizierung eines geeigneten Mechanismus zur Erkennung etwaiger Integritätsmängel, einschließlich Tools wie Hashing und digitale Signaturen.

  • Einrichtung eines Autorisierungsprozesses dafür, wer den Inhalt wesentlicher Transaktionsdokumente genehmigen, unterzeichnen oder abzeichnen darf.

  • Wahrung der Vertraulichkeit und Integrität der kritischen Dokumente und Nachweis des Versands und Empfangs dieser Dokumente.

  • Schutz und Wahrung der Integrität und Vertraulichkeit aller Transaktionen wie Bestellungen und Quittungen.

  • Anforderungen, für welchen Zeitraum Transaktionen vertraulich behandelt werden müssen.

  • Vertragliche und versicherungsbezogene Anforderungen.

Ergänzende Anleitung zu elektronischen Bestell- und Zahlungsanwendungen

Wenn Anwendungen Zahlungs- und elektronische Bestellfunktionen umfassen, sollten Organisationen Folgendes berücksichtigen:

  • Die Anforderungen stellen sicher, dass die Vertraulichkeit und Integrität der Bestellinformationen nicht gefährdet wird.

  • Bestimmen eines angemessenen Verifizierungsgrads zur Verifizierung der von einem Kunden bereitgestellten Zahlungsdaten.

  • Verhinderung des Verlusts oder der Vervielfältigung von Transaktionsinformationen.

  • Sicherstellen, dass informationsbezogene Informationen außerhalb einer öffentlich zugänglichen Umgebung gespeichert werden, beispielsweise auf einem Speichermedium im eigenen Intranet der Organisation.

  • Wenn Organisationen auf eine vertrauenswürdige externe Autorität angewiesen sind, beispielsweise bei der Ausstellung digitaler Signaturen, müssen sie sicherstellen, dass die Sicherheit in den gesamten Prozess integriert ist.

Ergänzende Anleitung zu Netzwerken

Wenn auf Anwendungen über Netzwerke zugegriffen wird, sind sie anfällig für Bedrohungen wie Vertragsstreitigkeiten, betrügerische Aktivitäten, Fehlleitungen, unbefugte Änderungen am Kommunikationsinhalt oder den Verlust der Vertraulichkeit sensibler Informationen.

Control 8.26 empfiehlt Organisationen eine umfassende Durchführung Risikobewertungen zur Identifizierung geeigneter Kontrollen wie der Einsatz von Kryptographie zur Gewährleistung der Sicherheit von Informationsübertragungen.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/8.26 ersetzt 27002:2013/(14.1.2 und 14.1.3)

Es gibt drei große Unterschiede zwischen den beiden Versionen.

Alle Anwendungen im Vergleich zu Anwendungen, die über öffentliche Netzwerke laufen

Die Version ISO 27002:2013 listete keine Anforderungen auf, die für alle Anwendungen gelten: Sie enthielt eine Liste von Informationssicherheitsanforderungen, die für Anwendungen, die über öffentliche Netzwerke laufen, berücksichtigt werden sollten.

Control 8.26 in der Version 2022, im Gegenteil, stellte eine Liste von Informationssicherheitsanforderungen bereit, die für alle Anwendungen gelten.

Weitere Hinweise zu elektronischen Bestell- und Zahlungsanwendungen

Control 8.26 in der Version 2022 enthält spezifische Anleitungen dazu Elektronische Bestell- und Zahlungsanwendungen. Im Gegensatz dazu wurde in der Version von 2013 darauf nicht eingegangen.

Zusätzliche Anforderung an Transaktionsdienste

Während die Version 2022 und die Version 2013 hinsichtlich der Anforderungen an Transaktionsdienste nahezu identisch sind, führt die Version 2022 eine zusätzliche Anforderung ein, die in der Version 2013 nicht berücksichtigt wurde:

  • Organisationen sollten vertragliche Anforderungen und Anforderungen im Zusammenhang mit Versicherungen berücksichtigen.

Wie ISMS.online hilft

ISMS.online ist eine cloudbasierte Lösung, die Unternehmen dabei hilft, die Einhaltung von ISO 27002 nachzuweisen. Mit der ISMS.online-Lösung können die Anforderungen von verwaltet werden ISO 27002 und stellen Sie sicher, dass Ihre Organisation weiterhin dem neuen Standard entspricht.

Unsere Plattform ist benutzerfreundlich und unkompliziert. Es ist nicht nur für hochtechnische Personen geeignet; Es gilt für jeden in Ihrem Unternehmen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren