Schlechte Codierungspraktiken wie unsachgemäße Eingabevalidierung und schwache Schlüsselgenerierung können Informationssysteme Sicherheitslücken aussetzen und zu Cyberangriffen und der Gefährdung sensibler Informationsressourcen führen.
Zum Beispiel im berüchtigten Heartbleed-Bug-Vorfall, Hacker nutzten eine unsachgemäße Eingabevalidierung im Code aus, um Zugriff auf mehr als zu erhalten 4 Millionen Patientendaten.
Daher sollten Organisationen sicherstellen, dass die Grundsätze der sicheren Codierung eingehalten werden, damit schlechte Codierungspraktiken nicht zu Sicherheitslücken führen.
Control 8.28 ermöglicht es Unternehmen, Sicherheitsrisiken und Schwachstellen zu verhindern, die durch schlechte Software-Codierungspraktiken entstehen können, indem geeignete Prinzipien für die sichere Software-Codierung entworfen, implementiert und überprüft werden.
Control 8.28 ist eine präventive Art der Kontrolle, die Unternehmen dabei hilft, die Sicherheit von Netzwerken, Systemen und Anwendungen aufrechtzuerhalten, indem sie Risiken beseitigt, die durch schlecht gestalteten Softwarecode entstehen können.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Anwendungssicherheit #System- und Netzwerksicherheit | #Schutz |
In Anbetracht der Tatsache, dass 8.28 den Entwurf und die Implementierung organisationsweiter sicherer Codierungsprinzipien und -verfahren erfordert, sollte der Chief Information Security Officer dafür verantwortlich sein, geeignete Maßnahmen zur Einhaltung zu ergreifen.
Control 8.28 verlangt von Organisationen, organisationsweite Prozesse für sichere Codierung einzurichten und zu implementieren, die sowohl für von externen Parteien erworbene Softwareprodukte als auch für Open-Source-Softwarekomponenten gelten.
Darüber hinaus sollten Unternehmen über sich entwickelnde reale Sicherheitsbedrohungen und die neuesten Informationen zu bekannten oder potenziellen Sicherheitslücken in der Software auf dem Laufenden bleiben. Dies wird es Unternehmen ermöglichen, robuste, sichere Software-Codierungsprinzipien zu verbessern und zu implementieren, die wirksam gegen sich entwickelnde Cyber-Bedrohungen sind.
Sowohl bei neuen Codierungsprojekten als auch bei der Wiederverwendung von Software sollten die Grundsätze der sicheren Softwarecodierung befolgt werden.
Diese Grundsätze sollten sowohl bei unternehmensinternen Softwareentwicklungsaktivitäten als auch bei der Weitergabe von Softwareprodukten oder -dienstleistungen der Organisation an Dritte eingehalten werden.
Bei der Erstellung eines Plans für sichere Codierungsprinzipien und der Festlegung der Voraussetzungen für sichere Codierung sollten Organisationen Folgendes beachten:
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Sichere Codierungspraktiken und -verfahren sollten Folgendes für den Codierungsprozess berücksichtigen:
In den ergänzenden Leitlinien wird außerdem darauf hingewiesen, dass Sicherheitstests sowohl während als auch nach der Entwicklung gemäß Control 8.29 durchgeführt werden sollten.
Bevor die Software tatsächlich in der Live-Anwendungsumgebung eingesetzt wird, sollten Unternehmen Folgendes berücksichtigen:
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Organisationen sollten sicherstellen, dass sicherheitsrelevanter Code bei Bedarf verwendet wird und manipulationssicher ist.
Control 8.28 listet außerdem folgende Empfehlungen für sicherheitsrelevanten Code auf:
27002:2022/8.28 ist eine neue Art der Steuerung.
Unsere Plattform wurde speziell für diejenigen entwickelt, die neu in der Informationssicherheit sind oder eine einfache Möglichkeit benötigen, sich mit ISO 27002 vertraut zu machen, ohne Zeit damit verbringen zu müssen, von Grund auf neu zu lernen oder lange Dokumente durchzulesen.
ISMS.Online ist mit allen Tools ausgestattet, die zum Erreichen der Compliance erforderlich sind, einschließlich Dokumentvorlagen, Checklisten und Richtlinien, die an Ihre Bedürfnisse angepasst werden können.
Willst du sehen wie es funktioniert?
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neue | Bedrohungsinformationen |
5.23 | Neue | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neue | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neue | Physische Sicherheitsüberwachung |
8.9 | Neue | Konfigurationsmanagement |
8.10 | Neue | Löschung von Informationen |
8.11 | Neue | Datenmaskierung |
8.12 | Neue | Verhinderung von Datenlecks |
8.16 | Neue | Überwachungsaktivitäten |
8.23 | Neue | Web-Filter |
8.28 | Neue | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Schirmungsmaß |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neue | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |