Gewährleistung der Sicherheit von der Entwicklung bis zur Bereitstellung: Erläuterung der ISO 27002-Kontrolle 8.29
Cyberkriminelle erfinden ständig neue Wege und verbessern ihre Strategien, um Unternehmensnetzwerke zu infiltrieren und sich Zugang zu sensiblen Informationsbeständen zu verschaffen.
Cyber-Angreifer können beispielsweise eine Schwachstelle im Authentifizierungsmechanismus im Quellcode ausnutzen, um in Netzwerke einzudringen. Darüber hinaus können sie auch versuchen, Endbenutzer auf der Client-Seite dazu zu manipulieren, Aktionen auszuführen, um Netzwerke zu infiltrieren, Zugriff auf Daten zu erhalten oder Ransomware-Angriffe durchzuführen.
Wenn eine Anwendung, Software oder ein IT-System in der realen Welt mit Schwachstellen eingesetzt wird, setzt dies sensible Informationsressourcen dem Risiko einer Kompromittierung aus.
Daher sollten Organisationen ein geeignetes Sicherheitstestverfahren einrichten und implementieren, um alle Schwachstellen in IT-Systemen zu identifizieren und zu beheben, bevor sie in der realen Welt eingesetzt werden.
Zweck der Kontrolle 8.29
Control 8.29 ermöglicht es Unternehmen, durch die Einrichtung und Anwendung eines robusten Sicherheitstestverfahrens zu überprüfen, ob alle Anforderungen an die Informationssicherheit erfüllt sind, wenn neue Anwendungen, Datenbanken, Software oder Code in Betrieb genommen werden.
Dies hilft Unternehmen, Schwachstellen im Code, in Netzwerken, Servern, Anwendungen oder anderen IT-Systemen zu erkennen und zu beseitigen, bevor sie in der realen Welt zum Einsatz kommen.
Kontrollattribute 8.29
Die Kontrolle 8.29 hat präventiven Charakter. Es verlangt von Unternehmen, neue Informationssysteme und deren neue/aktualisierte Versionen einem Sicherheitstestprozess zu unterziehen, bevor sie in die Produktionsumgebung freigegeben werden.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Identifizieren | #Anwendungssicherheit | #Schutz |
| #Integrität | #Informationssicherheitsgewährleistung | |||
| #Verfügbarkeit | #System- und Netzwerksicherheit |
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Eigentum an der Kontrolle 8.29
Da Control 8.29 die Einrichtung, Aufrechterhaltung und Implementierung eines Sicherheitstestverfahrens umfasst, das für alle neuen Informationssysteme gilt, unabhängig davon, ob sie intern oder von externen Parteien entwickelt wurden, sollte der Informationssicherheitsbeauftragte für die Einhaltung verantwortlich sein.
Allgemeine Richtlinien zur Compliance
Organisationen sollten Sicherheitstests in den Testprozess für alle Systeme integrieren und sicherstellen, dass alle neuen Informationssysteme und ihre neuen/aktualisierten Versionen die Informationssicherheitsanforderungen erfüllen, wenn sie sich in der Produktionsumgebung befinden.
Control 8.29 listet drei Elemente auf, die in den Sicherheitstestprozess einbezogen werden sollten:
- Sicherheitsfunktionen wie Benutzerauthentifizierung gemäß Definition in Control 8..5, Zugriffsbeschränkung gemäß Definition in Control 8.3 und Kryptografie gemäß Definition in Control 8.24.
- Sichere Codierung wie in Control 8.28 beschrieben.
- Sichere Konfigurationen wie in den Steuerelementen 8.9, 8.20, 8.22 vorgeschrieben. Dies kann Firewalls und Betriebssysteme betreffen.
Was sollte ein Testplan beinhalten?
Bei der Gestaltung von Sicherheitstestplänen sollten Unternehmen den Grad der Kritikalität und die Art des jeweiligen Informationssystems berücksichtigen.
Der Sicherheitstestplan sollte Folgendes umfassen:
- Erstellung eines detaillierten Zeitplans für die durchzuführenden Aktivitäten und Tests.
- Inputs und Outputs, die unter bestimmten Bedingungen erwartet werden.
- Kriterien zur Bewertung der Ergebnisse.
- Gegebenenfalls Entscheidungen über Maßnahmen basierend auf den Ergebnissen.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Eigene Entwicklung
Wenn IT-Systeme durch das interne Entwicklungsteam entwickelt werden, sollte dieses Team die ersten Sicherheitstests durchführen, um sicherzustellen, dass das IT-System die Sicherheitsanforderungen erfüllt.
Auf diesen ersten Test sollte dann ein unabhängiger Abnahmetest gemäß Kontrolle 5.8 folgen.
Bezogen auf die Eigenentwicklung ist Folgendes zu beachten:
- Durchführung von Codeüberprüfungsaktivitäten zur Erkennung und Beseitigung von Sicherheitslücken, einschließlich erwarteter Eingaben und Bedingungen.
- Durchführung von Schwachstellenscans zur Erkennung unsicherer Konfigurationen und anderer Schwachstellen.
- Durchführung von Penetrationstests zur Erkennung unsicheren Codes und Designs.
Spezialisten
Unternehmen sollten einen strengen Beschaffungsprozess befolgen, wenn sie die Entwicklung auslagern oder IT-Komponenten von externen Parteien kaufen.
Organisationen sollten eine Vereinbarung mit ihren Lieferanten abschließen und diese Vereinbarung sollte die in Kontrolle 5.20 vorgeschriebenen Anforderungen an die Informationssicherheit berücksichtigen.
Darüber hinaus sollten Organisationen sicherstellen, dass die von ihnen erworbenen Produkte und Dienstleistungen den Informationssicherheitsstandards entsprechen.
Ergänzende Leitlinien zur Kontrolle 8.29
Unternehmen können mehrere Testumgebungen erstellen, um verschiedene Tests durchzuführen, z. B. funktionale, nicht funktionale und Leistungstests.
Darüber hinaus können sie virtuelle Testumgebungen erstellen und diese dann konfigurieren, um die IT-Systeme in verschiedenen Betriebsumgebungen zu testen.
Control 8.29 weist außerdem darauf hin, dass effektive Sicherheitstests von Organisationen verlangen, dass sie die Testumgebungen, Tools und Technologien testen und überwachen.
Schließlich sollten Organisationen den Grad der Sensibilität und Kritikalität der Daten berücksichtigen, wenn sie die Anzahl der Metatestebenen bestimmen.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022/8.29 ersetzt 27002:2013/(14.2.8 und 14.2.9)
Strukturelle Veränderungen
Während die Version 2022 sichere Tests unter einer einzigen Kontrolle behandelt, bezog sich die Version 2013 auf sichere Tests in zwei separaten Kontrollen; Systemsicherheitstests in Control 14.2.8 und Systemabnahmetests in Control 14.2.9
Control 8.29 bringt umfassendere Anforderungen
Im Gegensatz zur Version 2013 enthält die Version 2022 detailliertere Anforderungen und Empfehlungen zu Folgendem:
- Sicherheitstestplan und was er beinhalten sollte.
- Kriterien für Sicherheitsprüfungen bei der Eigenentwicklung von IT-Systemen.
- Sicherheitstestprozess und was er beinhalten sollte.
- Nutzung mehrerer Testumgebungen.
Die Version 2013 war in Bezug auf Abnahmetests detaillierter
Im Gegensatz zur Version 2022 war die Version 2013 strenger für Systemabnahmetests. Dazu gehörten Anforderungen wie Sicherheitstests der empfangenen Komponenten und der Einsatz automatisierter Tools.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
ISMS.online rationalisiert den ISO 27002-Implementierungsprozess, indem es ein ausgefeiltes cloudbasiertes Framework zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems bereitstellt, um die Einhaltung anerkannter Standards sicherzustellen.
Nehmen Sie Kontakt auf und Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
