ISO 27002:2022, Control 8.28 – Sichere Codierung

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

Mann, Hände, arbeiten, auf, Laptop

Schlechte Codierungspraktiken wie unsachgemäße Eingabevalidierung und schwache Schlüsselgenerierung können Informationssysteme Sicherheitslücken aussetzen und zu Cyberangriffen und der Gefährdung sensibler Informationsressourcen führen.

Zum Beispiel im berüchtigten Heartbleed-Bug-Vorfall, Hacker nutzten eine unsachgemäße Eingabevalidierung im Code aus, um Zugriff auf mehr als zu erhalten 4 Millionen Patientendaten.

Daher sollten Organisationen sicherstellen, dass die Grundsätze der sicheren Codierung eingehalten werden, damit schlechte Codierungspraktiken nicht zu Sicherheitslücken führen.

Zweck der Kontrolle 8.28

Control 8.28 ermöglicht es Unternehmen, Sicherheitsrisiken und Schwachstellen zu verhindern, die durch schlechte Software-Codierungspraktiken entstehen können, indem geeignete Prinzipien für die sichere Software-Codierung entworfen, implementiert und überprüft werden.

Attributtabelle

Control 8.28 ist eine präventive Art der Kontrolle, die Unternehmen dabei hilft, die Sicherheit von Netzwerken, Systemen und Anwendungen aufrechtzuerhalten, indem sie Risiken beseitigt, die durch schlecht gestalteten Softwarecode entstehen können.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv #Vertraulichkeit
#Integrität
#Verfügbarkeit		#Schützen #Anwendungssicherheit
#System- und Netzwerksicherheit		#Schutz
Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Eigentum an der Kontrolle 8.28

In Anbetracht der Tatsache, dass 8.28 den Entwurf und die Implementierung organisationsweiter sicherer Codierungsprinzipien und -verfahren erfordert, sollte der Chief Information Security Officer dafür verantwortlich sein, geeignete Maßnahmen zur Einhaltung zu ergreifen.

Allgemeine Richtlinien zur Compliance

Control 8.28 verlangt von Organisationen, organisationsweite Prozesse für sichere Codierung einzurichten und zu implementieren, die sowohl für von externen Parteien erworbene Softwareprodukte als auch für Open-Source-Softwarekomponenten gelten.

Darüber hinaus sollten Unternehmen über sich entwickelnde reale Sicherheitsbedrohungen und die neuesten Informationen zu bekannten oder potenziellen Sicherheitslücken in der Software auf dem Laufenden bleiben. Dies wird es Unternehmen ermöglichen, robuste, sichere Software-Codierungsprinzipien zu verbessern und zu implementieren, die wirksam gegen sich entwickelnde Cyber-Bedrohungen sind.

Ergänzende Hinweise zur Planung

Sowohl bei neuen Codierungsprojekten als auch bei der Wiederverwendung von Software sollten die Grundsätze der sicheren Softwarecodierung befolgt werden.

Diese Grundsätze sollten sowohl bei unternehmensinternen Softwareentwicklungsaktivitäten als auch bei der Weitergabe von Softwareprodukten oder -dienstleistungen der Organisation an Dritte eingehalten werden.

Bei der Erstellung eines Plans für sichere Codierungsprinzipien und der Festlegung der Voraussetzungen für sichere Codierung sollten Organisationen Folgendes beachten:

  • Unternehmen sollten Sicherheitserwartungen festlegen, die auf ihre Bedürfnisse zugeschnitten sind, und anerkannte Grundsätze für sichere Softwarecodierung festlegen, die sowohl für die interne Softwareentwicklung als auch für ausgelagerte Softwarekomponenten gelten.

  • Unternehmen sollten die am weitesten verbreiteten und in der Vergangenheit schlechten Codierungsdesignpraktiken und Fehler, die zu einer Beeinträchtigung der Informationssicherheit führen, erkennen und dokumentieren.

  • Unternehmen sollten Softwareentwicklungstools einrichten und konfigurieren, um die Sicherheit des gesamten erstellten Codes zu gewährleisten. Ein Beispiel für solche Tools sind integrierte Entwicklungsumgebungen (IDE).

  • Organisationen sollten die von Softwareentwicklungstools bereitgestellten Leitlinien und Anweisungen einhalten.

  • Organisationen sollten Entwicklungstools wie Compiler überprüfen, warten und sicher verwenden.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Ergänzende Anleitung zur Sicherheit beim Codieren

Sichere Codierungspraktiken und -verfahren sollten Folgendes für den Codierungsprozess berücksichtigen:

  • Sichere Software-Codierungsprinzipien sollten auf jede verwendete Programmiersprache und -technik zugeschnitten sein.

  • Einsatz sicherer Programmiertechniken und -methoden wie testgetriebene Entwicklung und Paarprogrammierung.

  • Einsatz strukturierter Programmiermethoden.

  • Ordnungsgemäße Codedokumentation und Beseitigung von Codefehlern.

  • Verbot der Verwendung unsicherer Software-Codierungsmethoden wie nicht genehmigter Codebeispiele oder hartcodierter Passwörter.

In den ergänzenden Leitlinien wird außerdem darauf hingewiesen, dass Sicherheitstests sowohl während als auch nach der Entwicklung gemäß Control 8.29 durchgeführt werden sollten.

Bevor die Software tatsächlich in der Live-Anwendungsumgebung eingesetzt wird, sollten Unternehmen Folgendes berücksichtigen:

  • Was ist die Angriffsfläche?

  • Wird das Prinzip der geringsten Privilegien befolgt?

  • Durchführung einer Analyse der häufigsten Programmierfehler und Dokumentation der Beseitigung dieser Risiken.

Ergänzende Anleitung zum Überprüfungsprozess

Nachdem der Code in der Produktionsumgebung verwendet wurde

  • Updates sollten auf sichere Weise angewendet werden.

  • Gemäß Control 8.8 gemeldete Sicherheitslücken sollten behoben werden.

  • Vermutete Angriffe auf Informationssysteme und Fehler sollten aufgezeichnet und diese Aufzeichnungen in regelmäßigen Abständen überprüft werden, damit entsprechende Änderungen am Code vorgenommen werden können.

  • Unbefugter Zugriff auf, Nutzung oder Änderung des Quellcodes sollten durch Mechanismen wie Verwaltungstools verhindert werden.

Wenn Organisationen externe Tools verwenden, sollten sie Folgendes berücksichtigen

  • Externe Bibliotheken sollten basierend auf ihren Release-Zyklen in regelmäßigen Abständen überwacht und aktualisiert werden.

  • Softwarekomponenten sollten sorgfältig überprüft, ausgewählt und autorisiert werden, insbesondere Kryptografie- und Authentifizierungskomponenten.

  • Lizenzierung externer Komponenten und Gewährleistung ihrer Sicherheit.

  • Software sollte verfolgt und gewartet werden. Darüber hinaus muss sichergestellt sein, dass es aus einer vertrauenswürdigen Quelle stammt.

  • Entwicklungsressourcen sollten langfristig verfügbar sein.

Wenn Sie Änderungen an einem Softwarepaket vornehmen, sollten Sie Folgendes berücksichtigen

  • Risiken, die sich aus integrierten Kontrollen oder der Beeinträchtigung von Integritätsprozessen ergeben können.

  • Ob der Anbieter Änderungen zustimmt.

  • Ob es möglich ist, die Zustimmung des Softwareherstellers für regelmäßige Updates einzuholen.

  • Die wahrscheinlichen Auswirkungen der Fortführung der Wartung der Software, die sich aus Änderungen ergeben.

  • Ob die Änderungen mit anderen von der Organisation verwendeten Softwarekomponenten kompatibel wären.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

Zusätzliche Leitlinien zur Kontrolle 8.28

Organisationen sollten sicherstellen, dass sicherheitsrelevanter Code bei Bedarf verwendet wird und manipulationssicher ist.

Control 8.28 listet außerdem folgende Empfehlungen für sicherheitsrelevanten Code auf:

  • Während über Binärcode installierte Programme sicherheitsrelevanten Code enthalten, beschränkt sich dieser auf die in der Anwendung selbst gespeicherten Daten.

  • Das Konzept des sicherheitsrelevanten Codes ist nur dann sinnvoll, wenn der Code auf einem Server ausgeführt wird, auf den der Benutzer nicht zugreifen kann, und er von den Prozessen, die ihn verwenden, getrennt ist und seine Daten sicher in einer anderen Datenbank gespeichert werden. Sie können beispielsweise einen interpretierten Code auf einem Cloud-Dienst ausführen und den Zugriff auf den Code auf privilegierte Administratoren beschränken. Es wird empfohlen, diese Zugriffsrechte durch Methoden wie Just-in-Time-Administratorrechte und robuste Authentifizierungsmechanismen zu schützen.

  • Um unbefugten Zugriff auf das Verzeichnis und das Durchsuchen des Verzeichnisses zu verhindern, sollten entsprechende Konfigurationen auf Webservern implementiert werden.

  • Beim Entwerfen von Anwendungscode sollten Sie davon ausgehen, dass der Code aufgrund von Codierungsfehlern und Aktionen böswilliger Akteure anfällig für Angriffe ist. Sie sollten kritische Anwendungen so gestalten, dass sie nicht anfällig für interne Fehler sind. Beispielsweise kann die von einem Algorithmus erzeugte Ausgabe überprüft werden, um sicherzustellen, dass sie den Sicherheitsanforderungen entspricht, bevor sie in kritischen Anwendungen wie finanzbezogenen Anwendungen verwendet werden kann.

  • Bestimmte Webanwendungen sind aufgrund schlechter Codierungspraktiken wie Datenbankeinschleusung und Cross-Site-Scripting-Angriffe sehr anfällig für Sicherheitsbedrohungen.

  • Weitere Informationen zur IT-Sicherheitsbewertung finden Organisationen in der ISO/IEC 15408-Reihe.

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/8.28 ist eine neue Art der Steuerung.

Wie ISMS.online hilft

Unsere Plattform wurde speziell für diejenigen entwickelt, die neu in der Informationssicherheit sind oder eine einfache Möglichkeit benötigen, sich mit ISO 27002 vertraut zu machen, ohne Zeit damit verbringen zu müssen, von Grund auf neu zu lernen oder lange Dokumente durchzulesen.

ISMS.Online ist mit allen Tools ausgestattet, die zum Erreichen der Compliance erforderlich sind, einschließlich Dokumentvorlagen, Checklisten und Richtlinien, die an Ihre Bedürfnisse angepasst werden können.

Willst du sehen wie es funktioniert?

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Entdecken Sie unsere Plattform

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren