שיטות קידוד לקויות כמו אימות קלט לא תקין ויצירת מפתח חלש עלולות לחשוף מערכות מידע לפרצות אבטחה ולגרום להתקפות סייבר ולפגיעה בנכסי מידע רגיש.
למשל, בשמצה תקרית באג עם דימום לב, האקרים ניצלו אימות קלט לא תקין בקוד כדי לקבל גישה ליותר מ 4 מיליון נתונים של חולים.
לכן, ארגונים צריכים להבטיח שעקרונות קידוד מאובטח יבוצעו כך ששיטות קידוד לקויות לא יובילו לפרצות אבטחה.
בקרה 8.28 מאפשרת לארגונים למנוע סיכוני אבטחה ופגיעויות שעלולות להיווצר כתוצאה מפרקטיקות לקויות של קידוד תוכנה על ידי תכנון, הטמעה ובחינה של עקרונות קידוד תוכנה מאובטחים מתאימים.
Control 8.28 הוא סוג מניעתי של בקרה שעוזר לארגונים לשמור על אבטחת הרשתות, המערכות והיישומים על ידי ביטול סיכונים שעלולים לנבוע מקוד תוכנה מעוצב בצורה גרועה.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #אבטחת יישומים #אבטחת מערכת ורשת | #הֲגָנָה |
בהתחשב בעובדה ש-8.28 דורש תכנון ויישום של עקרונות ונהלים של קידוד מאובטח ברחבי הארגון, קצין אבטחת המידע הראשי צריך להיות אחראי לנקוט בצעדים מתאימים לציות.
בקרה 8.28 מחייבת ארגונים להקים וליישם תהליכים כלל-ארגוניים לקידוד מאובטח החל הן על מוצרי תוכנה המתקבלים מגורמים חיצוניים והן על רכיבי תוכנה בקוד פתוח.
יתר על כן, ארגונים צריכים להתעדכן באיומי אבטחה מתפתחים בעולם האמיתי ובמידע העדכני ביותר על פרצות אבטחת תוכנה ידועות או פוטנציאליות. זה יאפשר לארגונים לשפר וליישם עקרונות קידוד תוכנה מאובטחים חזקים, יעילים נגד איומי סייבר מתפתחים.
יש להקפיד על עקרונות קידוד תוכנה מאובטח הן עבור פרויקטי קידוד חדשים והן עבור פעולות שימוש חוזר בתוכנה.
יש להקפיד על עקרונות אלו הן עבור פעילויות פיתוח תוכנה פנימיות והן עבור העברת מוצרי התוכנה או השירותים של הארגון לצדדים שלישיים.
בעת הקמת תוכנית לעקרונות קידוד מאובטח וקביעת התנאים המוקדמים לקידוד מאובטח, ארגונים צריכים לעמוד בדרישות הבאות:
שיטות ונהלי קידוד מאובטחים צריכים לקחת בחשבון את הדברים הבאים לתהליך הקידוד:
ההנחיה המשלימה מציינת גם כי יש לבצע בדיקות אבטחה הן במהלך הפיתוח והן לאחריו בהתאם לבקרה 8.29.
לפני כניסת התוכנה לשימוש ממשי בסביבת היישומים החיים, ארגונים צריכים לשקול את הדברים הבאים:
ארגונים צריכים להבטיח כי נעשה שימוש בקוד הרלוונטי לאבטחה כאשר הדבר נחוץ ועמיד בפני שיבוש.
Control 8.28 מפרטת גם את ההמלצות הבאות עבור קוד רלוונטי לאבטחה:
27002:2022/8.28 הוא סוג חדש של בקרה.
הפלטפורמה שלנו פותחה במיוחד עבור אלה שחדשים באבטחת מידע או זקוקים לדרך קלה ללמוד על ISO 27002 מבלי להקדיש זמן ללמידה מאפס או לקרוא מסמכים ארוכים.
ISMS.Online מגיע מצויד בכל הכלים הדרושים להשגת תאימות לרבות תבניות מסמכים, רשימות ביקורת ומדיניות שניתן להתאים אישית בהתאם לצרכים שלך.
רוצים לראות איך זה עובד?
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |