Cyberkriminelle erfinden ständig neue Wege und verbessern ihre Strategien, um Unternehmensnetzwerke zu infiltrieren und sich Zugang zu sensiblen Informationsbeständen zu verschaffen.
Cyber-Angreifer können beispielsweise eine Schwachstelle im Authentifizierungsmechanismus im Quellcode ausnutzen, um in Netzwerke einzudringen. Darüber hinaus können sie auch versuchen, Endbenutzer auf der Client-Seite dazu zu manipulieren, Aktionen auszuführen, um Netzwerke zu infiltrieren, Zugriff auf Daten zu erhalten oder Ransomware-Angriffe durchzuführen.
Wenn eine Anwendung, Software oder ein IT-System in der realen Welt mit Schwachstellen eingesetzt wird, setzt dies sensible Informationsressourcen dem Risiko einer Kompromittierung aus.
Daher sollten Organisationen ein geeignetes Sicherheitstestverfahren einrichten und implementieren, um alle Schwachstellen in IT-Systemen zu identifizieren und zu beheben, bevor sie in der realen Welt eingesetzt werden.
Control 8.29 ermöglicht es Unternehmen, durch die Einrichtung und Anwendung eines robusten Sicherheitstestverfahrens zu überprüfen, ob alle Anforderungen an die Informationssicherheit erfüllt sind, wenn neue Anwendungen, Datenbanken, Software oder Code in Betrieb genommen werden.
Dies hilft Unternehmen, Schwachstellen im Code, in Netzwerken, Servern, Anwendungen oder anderen IT-Systemen zu erkennen und zu beseitigen, bevor sie in der realen Welt zum Einsatz kommen.
Die Kontrolle 8.29 hat präventiven Charakter. Es verlangt von Unternehmen, neue Informationssysteme und deren neue/aktualisierte Versionen einem Sicherheitstestprozess zu unterziehen, bevor sie in die Produktionsumgebung freigegeben werden.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren | #Anwendungssicherheit #Informationssicherheitsgewährleistung #System- und Netzwerksicherheit | #Schutz |
Da Control 8.29 die Einrichtung, Aufrechterhaltung und Implementierung eines Sicherheitstestverfahrens umfasst, das für alle neuen Informationssysteme gilt, unabhängig davon, ob sie intern oder von externen Parteien entwickelt wurden, sollte der Informationssicherheitsbeauftragte für die Einhaltung verantwortlich sein.
Organisationen sollten Sicherheitstests in den Testprozess für alle Systeme integrieren und sicherstellen, dass alle neuen Informationssysteme und ihre neuen/aktualisierten Versionen die Informationssicherheitsanforderungen erfüllen, wenn sie sich in der Produktionsumgebung befinden.
Control 8.29 listet drei Elemente auf, die in den Sicherheitstestprozess einbezogen werden sollten:
Bei der Gestaltung von Sicherheitstestplänen sollten Unternehmen den Grad der Kritikalität und die Art des jeweiligen Informationssystems berücksichtigen.
Der Sicherheitstestplan sollte Folgendes umfassen:
Wenn IT-Systeme durch das interne Entwicklungsteam entwickelt werden, sollte dieses Team die ersten Sicherheitstests durchführen, um sicherzustellen, dass das IT-System die Sicherheitsanforderungen erfüllt.
Auf diesen ersten Test sollte dann ein unabhängiger Abnahmetest gemäß Kontrolle 5.8 folgen.
Bezogen auf die Eigenentwicklung ist Folgendes zu beachten:
Unternehmen sollten einen strengen Beschaffungsprozess befolgen, wenn sie die Entwicklung auslagern oder IT-Komponenten von externen Parteien kaufen.
Organisationen sollten eine Vereinbarung mit ihren Lieferanten abschließen und diese Vereinbarung sollte die in Kontrolle 5.20 vorgeschriebenen Anforderungen an die Informationssicherheit berücksichtigen.
Darüber hinaus sollten Organisationen sicherstellen, dass die von ihnen erworbenen Produkte und Dienstleistungen den Informationssicherheitsstandards entsprechen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Unternehmen können mehrere Testumgebungen erstellen, um verschiedene Tests durchzuführen, z. B. funktionale, nicht funktionale und Leistungstests.
Darüber hinaus können sie virtuelle Testumgebungen erstellen und diese dann konfigurieren, um die IT-Systeme in verschiedenen Betriebsumgebungen zu testen.
Control 8.29 weist außerdem darauf hin, dass effektive Sicherheitstests von Organisationen verlangen, dass sie die Testumgebungen, Tools und Technologien testen und überwachen.
Schließlich sollten Organisationen den Grad der Sensibilität und Kritikalität der Daten berücksichtigen, wenn sie die Anzahl der Metatestebenen bestimmen.
27002:2022/8.29 ersetzt 27002:2013/(14.2.8 und 14.2.9)
Während die Version 2022 sichere Tests unter einer einzigen Kontrolle behandelt, bezog sich die Version 2013 auf sichere Tests in zwei separaten Kontrollen; Systemsicherheitstests in Control 14.2.8 und Systemabnahmetests in Control 14.2.9
Im Gegensatz zur Version 2013 enthält die Version 2022 detailliertere Anforderungen und Empfehlungen zu Folgendem:
Im Gegensatz zur Version 2022 war die Version 2013 strenger für Systemabnahmetests. Dazu gehörten Anforderungen wie Sicherheitstests der empfangenen Komponenten und der Einsatz automatisierter Tools.
ISMS.online rationalisiert den ISO 27002-Implementierungsprozess, indem es ein ausgefeiltes cloudbasiertes Framework zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems bereitstellt, um die Einhaltung anerkannter Standards sicherzustellen.
Nehmen Sie Kontakt auf und Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
