- לִרְאוֹת ISO 27002:2022 בקרה 8.28 לקבלת מידע נוסף.
ISO 27001 נספח A 8.28: חיזוק אבטחת תוכנה עם קידוד מאובטח
השימוש בפרקטיקות קידוד לקויות, כגון אימות קלט שגוי ויצירת מפתח חלש, עלול להוביל להתקפות סייבר ולפגיעה בנכסי מידע רגיש.
מסיבה זו, האקרים ניצלו את באג Heartbleed הידוע לשמצה כדי לגשת ליותר מ-4 מיליון רשומות חולים.
כדי למנוע פרצות אבטחה, ארגונים צריכים לפעול לפי עקרונות קידוד מאובטח.
מהי המטרה של ISO 27001:2022 נספח A 8.28?
עבור ISO 27001: 2022, נספח א' בקרה 8.28 מסייע לארגונים במניעת סיכוני אבטחה ופגיעויות שעלולות להיווצר עקב נוהלי קידוד לקויים של תוכנה באמצעות פיתוח, הטמעה ובדיקה של נוהלי קידוד תוכנה מאובטחים מתאימות.
למי יש בעלות על נספח A 8.28?
קצין אבטחת מידע ראשי צריך להיות אחראי לנקוט בצעדים מתאימים כדי להבטיח עמידה בתקן 8.28, הדורש פיתוח ויישום עקרונות ונהלים של קידוד מאובטח בכל הארגון.
ISO 27001 בקלות
יתרון של 81% מהיום הראשון
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.
הנחיות תאימות על ISO 27001:2022 נספח A 8.28
ארגונים חייבים לפתח וליישם תהליכי קידוד מאובטחים החלים על מוצרים המסופקים על ידי גורמים חיצוניים ורכיבי תוכנה בקוד פתוח, כמתואר ב-ISO 27001 נספח A Control 8.28.
בנוסף, ארגונים צריכים להישאר מעודכנים לגבי איומי אבטחה מתפתחים בעולם האמיתי והמידע העדכני ביותר על פרצות אבטחת תוכנה ידועות או פוטנציאליות. על ידי שימוש בגישה זו, ארגונים יכולים לפתח עקרונות קידוד חזקים ומאובטחים ללחימה איומי סייבר מתפתחים.
הנחיות משלימות לתכנון
חיוני שגם פרויקטי קידוד חדשים וגם פעולות שימוש חוזר בתוכנה יעמדו בעקרונות קידוד תוכנה מאובטחים.
יש להקפיד על עקרונות אלו הן בעת פיתוח תוכנה פנימי והן בעת העברת מוצרי תוכנה או שירותים.
ארגונים צריכים לשקול את הגורמים הבאים בעת פיתוח תוכנית לעקרונות קידוד מאובטח וקביעת תנאים מוקדמים לקידוד מאובטח:
- יש להתאים את ציפיות האבטחה לצרכים הספציפיים של הארגון, ויש לקבוע עקרונות מאושרים לקוד תוכנה מאובטח שיחול על תוכנה פנימית פיתוח ומיקור חוץ רכיבים.
- ארגונים צריכים לזהות ולתעד את טעויות עיצוב הקידוד הנפוצות וההיסטוריות ביותר ושיטות קידוד לקויות כדי למנוע פרצות אבטחת מידע.
- ארגונים צריכים ליישם ולהגדיר כלי פיתוח תוכנה כדי להבטיח את האבטחה של כל הקוד שנוצר. סביבות פיתוח משולבות (IDEs) הן דוגמה לכלים כאלה.
- כלי פיתוח תוכנה צריכים לספק הנחיות והנחיות כדי לסייע לארגונים בציות להנחיות ולהנחיות.
- פיתוח כלים כגון מהדרים צריכים להיבדק, לתחזק ולהשתמש בצורה מאובטחת על ידי ארגונים.
הנחיות משלימות בנושא אבטחה במהלך קידוד
כדי להבטיח שיטות ונהלי קידוד מאובטחים, יש לקחת בחשבון את הדברים הבאים במהלך תהליך הקידוד:
- עקרונות קידוד עבור תוכנה מאובטחת צריכים להיות מותאמים לכל שפת תכנות וטכניקה.
- פיתוח מונחה מבחן ותכנות זוגי הם דוגמאות לטכניקות ושיטות תכנות מאובטחות.
- יישום טכניקות תכנות מובנות.
- תיעוד הקוד והסרת פגמים בקוד.
- אסור להשתמש בשיטות קידוד תוכנה לא מאובטחות, כגון דוגמאות קוד לא מאושרות או סיסמאות מקודדות קשיחות.
יש לערוך בדיקת אבטחה במהלך ואחרי הפיתוח, כמפורט ב-ISO 27001 נספח A בקרה 8.29.
ארגונים צריכים לשקול את הפריטים הבאים לפני הטמעת התוכנה בסביבת אפליקציה חיה:
- האם יש משטח התקפה?
- האם מקיימים את העיקרון הפחות-פריבילגי?
- ניתוח שגיאות התכנות הנפוצות ביותר ותיעוד סילוקן.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
הנחיות משלימות לתהליך הסקירה
בעקבות יישום הקוד בסביבת הייצור
- יש להשתמש בשיטה מאובטחת להחלת עדכונים.
- עבור ISO 27001:2022 נספח א' בקרה 8.8, יש לטפל בפרצות אבטחה.
- יש לשמור רישומים של חשד להתקפות ושגיאות במערכות מידע, ולבחון רישומים אלה באופן קבוע כדי שניתן יהיה לבצע שינויים מתאימים.
- יש להשתמש בכלים כגון כלי ניהול כדי למנוע גישה לא מורשית, שימוש או שינוי בקוד המקור.
ארגונים צריכים לשקול את הגורמים הבאים בעת שימוש בכלים חיצוניים
- יש לבצע ניטור ועדכון שוטפים של ספריות חיצוניות לפי מחזורי השחרור שלהן.
- סקירה, בחירה והרשאה יסודית של רכיבי תוכנה חיוניים, במיוחד אלה הקשורים להצפנה ולאימות.
- קבלת רישיונות לרכיבים חיצוניים והבטחת אבטחתם.
- צריכה להיות מערכת למעקב ותחזוקה של תוכנות. יתרה מכך, יש לוודא שהוא הגיע ממקור מכובד.
- חיוני שיהיו זמינים משאבי פיתוח לטווח ארוך.
יש לקחת בחשבון את הגורמים הבאים בעת ביצוע שינויים בחבילת תוכנה:
- תהליכי יושרה או בקרות מובנות עלולים לחשוף ארגון לסיכונים.
- חיוני לקבוע אם הספק הסכים לשינויים.
- האם ניתן לקבל את הסכמת הספק לבצע עדכונים שוטפים בתוכנה?
- ההשפעה הסבירה של תחזוקת התוכנה כשהיא משתנה.
- איזו השפעה תהיה לשינויים על רכיבי תוכנה אחרים שבהם הארגון משתמש?
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
הנחיות נוספות לגבי ISO 27001:2022 נספח A 8.28
ארגונים חייבים לוודא שהם משתמשים בקוד הרלוונטי לאבטחה בכל עת שצריך ושהוא עמיד בפני שיבוש.
נספח A Control 8.28 של ISO 27001:2022 מספק את ההמלצות הבאות עבור קוד רלוונטי לאבטחה:
- בעוד שתוכניות שהורדו באמצעות קוד בינארי יכללו קוד הקשור לאבטחה באפליקציה עצמה, היא תהיה מוגבלת בהיקפו לנתונים המאוחסנים פנימית בתוך האפליקציה.
- מעקב אחר קוד רלוונטי לאבטחה מועיל רק אם הוא מופעל על שרת שלא ניתן לגשת אליו על ידי המשתמש והוא מופרד מהתהליכים המשתמשים בו כך שהנתונים שלו נשמרים מאובטחים במסד נתונים אחר ומופרדים בבטחה מהתהליכים שמשתמשים בו. השימוש בשירות ענן להפעלת קוד מפורש אפשרי, וניתן להגביל את הגישה לקוד למנהלי מערכת מורשים כדי להגביל את הגישה לקוד. ההמלצה היא שזכויות גישה אלו יהיו מוגנות עם הרשאות מנהל בדיוק בזמן ומנגנוני אימות חזקים המעניקים רק גישה לאתר בזמן הנכון.
- יש ליישם תצורה מתאימה בשרתי אינטרנט כדי למנוע גישה בלתי מורשית וגלישה בספריות בשרת.
- כדי לפתח קוד אפליקציה מאובטח, עליך להניח שהקוד חשוף להתקפות עקב שגיאות קידוד ופעולות שננקטו על ידי שחקנים זדוניים. יישום קריטי צריך להיות מתוכנן להיות חסין בפני תקלות פנימיות באופן שמונע ממנו להיות מועד לטעויות. לדוגמה, בעת הערכת הפלט של אלגוריתם, ניתן לוודא שהפלט תואם את דרישות האבטחה לפני שניתן יהיה להשתמש באלגוריתם ביישומים קריטיים, כגון אלו הקשורים למימון, לפני שניתן יהיה להשתמש בו באפליקציה.
- בשל היעדר שיטות קידוד טובות, יישומי אינטרנט מסוימים רגישים מאוד לאיומי אבטחה, כגון הזרקת מסד נתונים והתקפות סקריפטים בין-אתרים.
- מומלץ לארגונים לעיין ב-ISO/IEC 15408 לקבלת מידע נוסף על הערכת אבטחת IT וכיצד לבצע אותה.
מהם השינויים מ-ISO 27001:2013?
נספח A 8.28 הוא א בקרת נספח A חדשה שנוספה לתקן ISO 27001:2022.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 |
נספח א' 5.1.1 נספח א' 5.1.2 |
מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 |
נספח א' 6.1.5 נספח א' 14.1.1 |
אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 |
נספח א' 8.1.1 נספח א' 8.1.2 |
מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 |
נספח א' 8.1.3 נספח א' 8.2.3 |
שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 |
נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 |
העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 |
נספח א' 9.1.1 נספח א' 9.1.2 |
בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 |
נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 |
מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 |
נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 |
זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 |
נספח א' 15.2.1 נספח א' 15.2.2 |
ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 |
נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 |
אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 |
נספח א' 18.1.1 נספח א' 18.1.5 |
דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 |
נספח א' 18.2.2 נספח א' 18.2.3 |
עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 |
נספח א' 16.1.2 נספח א' 16.1.3 |
דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 |
נספח א' 11.1.2 נספח א' 11.1.6 |
כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 |
נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 |
אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 |
נספח א' 6.2.1 נספח א' 11.2.8 |
התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 |
נספח א' 12.6.1 נספח א' 18.2.3 |
ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 |
נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 |
רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מורשות - זכויות גישה |
| בקרות טכנולוגיות | נספח א' 8.19 |
נספח א' 12.5.1 נספח א' 12.6.2 |
התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 |
נספח א' 10.1.1 נספח א' 10.1.2 |
שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 |
נספח א' 14.1.2 נספח א' 14.1.3 |
דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | עקרונות ארכיטקטורת מערכת מאובטחת והנדסה למידה מאירועי אבטחת מידע |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 |
נספח א' 14.2.8 נספח א' 14.2.9 |
בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 |
נספח א' 12.1.4 נספח א' 14.2.6 |
הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 |
נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 |
שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עוזר
בין אם אתה חדש לחלוטין באבטחת מידע או רוצה ללמוד על ISO 27001 בצורה תמציתית מבלי להקדיש זמן לקריאת מסמכים ארוכים ומפורטים או ללמוד מאפס, הפלטפורמה שלנו תוכננה במיוחד עבורך.
באמצעות ISMS.Online, תוכל לגשת בקלות לתבניות מסמכים, רשימות ביקורת ומדיניות שניתן להתאים אישית לצרכים שלך.
רוצה לראות איך זה עובד?
צור קשר עוד היום כדי הזמן הדגמה.