- See ISO 27002:2022 Contrôle 8.28 pour plus d'informations.
ISO 27001 Annexe A 8.28 : Renforcement de la sécurité des logiciels grâce à un codage sécurisé
L'utilisation de mauvaises pratiques de codage, telles qu'une validation de saisie incorrecte et une génération de clé faible, peut conduire à des cyberattaques et à la compromission d'informations sensibles.
Pour cette raison, les pirates ont exploité le fameux bug Heartbleed pour accéder à plus de 4 millions de dossiers de patients.
Pour prévenir les failles de sécurité, les organisations doivent suivre des principes de codage sécurisé.
Quel est l’objectif de la norme ISO 27001 : 2022, annexe A 8.28 ?
Pour ISO 27001: 2022, Annexe A, le contrôle 8.28 aide les organisations à prévenir les risques de sécurité et les vulnérabilités pouvant survenir en raison de mauvaises pratiques de codage de logiciels en développant, en mettant en œuvre et en examinant les pratiques de codage de logiciels sécurisées appropriées.
Qui est propriétaire de l’annexe A 8.28 ?
Un responsable de la sécurité de l'information doit être chargé de prendre les mesures appropriées pour garantir la conformité à la norme 8.28, qui nécessite l'élaboration et la mise en œuvre de principes et de procédures de codage sécurisé dans toute l'organisation.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Directives de conformité à la norme ISO 27001:2022 Annexe A 8.28
Les organisations doivent développer et mettre en œuvre des processus de codage sécurisés qui s'appliquent aux produits fournis par des parties externes et aux composants logiciels open source, comme indiqué dans la norme ISO 27001 Annexe A Contrôle 8.28.
En outre, les organisations doivent rester informées de l’évolution des menaces de sécurité réelles et des dernières informations sur les vulnérabilités de sécurité logicielles connues ou potentielles. En utilisant cette approche, les organisations peuvent développer des principes de codage robustes et sécurisés pour lutter contre évolution des cybermenaces.
Orientations supplémentaires sur la planification
Il est essentiel que les nouveaux projets de codage et les opérations de réutilisation de logiciels respectent les principes de codage sécurisé des logiciels.
Ces principes doivent être respectés à la fois lors du développement de logiciels en interne et lors du transfert de produits ou de services logiciels.
Les organisations doivent prendre en compte les facteurs suivants lors de l’élaboration d’un plan de principes de codage sécurisé et de la détermination des conditions préalables au codage sécurisé :
- Les attentes en matière de sécurité doivent être adaptées aux besoins spécifiques de l'organisation, et des principes approuvés pour le code logiciel sécurisé doivent être établis pour s'appliquer aux logiciels internes. développement et externalisation composants.
- Les organisations doivent identifier et documenter les erreurs de conception de codage les plus répandues et historiques ainsi que les mauvaises pratiques de codage afin de prévenir les violations de la sécurité des données.
- Les organisations doivent mettre en œuvre et configurer des outils de développement logiciel pour garantir la sécurité de tout le code créé. Les environnements de développement intégrés (IDE) sont un exemple de tels outils.
- Les outils de développement de logiciels doivent fournir des conseils et des instructions pour aider les organisations à se conformer aux lignes directrices et aux instructions.
- Les outils de développement tels que les compilateurs doivent être examinés, maintenus et utilisés en toute sécurité par les organisations.
Conseils supplémentaires sur la sécurité pendant le codage
Pour garantir des pratiques et des procédures de codage sécurisées, les éléments suivants doivent être pris en compte pendant le processus de codage :
- Les principes de codage des logiciels sécurisés doivent être adaptés à chaque langage et technique de programmation.
- Le développement piloté par les tests et la programmation en binôme sont des exemples de techniques et méthodes de programmation sécurisées.
- Mise en œuvre de techniques de programmation structurée.
- Documentation du code et suppression des défauts du code.
- L'utilisation de méthodes de codage de logiciels non sécurisées telles que des échantillons de code non approuvés ou des mots de passe codés en dur est interdite.
Un test de sécurité doit être effectué pendant et après le développement, comme spécifié dans la norme ISO 27001 Annexe A Contrôle 8.29.
Les organisations doivent prendre en compte les éléments suivants avant de mettre en œuvre le logiciel dans un environnement d'application en direct :
- Y a-t-il une surface d'attaque ?
- Le principe du moindre privilège est-il respecté ?
- Analyser les erreurs de programmation les plus répandues et documenter leur élimination.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Orientations supplémentaires pour le processus d'examen
Suite à la mise en œuvre du code dans l'environnement de production
- Une méthode sécurisée doit être utilisée pour appliquer les mises à jour.
- Pour ISO 27001:2022 Annexe A Contrôle 8.8, les vulnérabilités de sécurité doivent être corrigées.
- Des enregistrements doivent être conservés sur les attaques et les erreurs suspectées sur les systèmes d'information, et ces enregistrements doivent être examinés régulièrement afin que les modifications appropriées puissent être apportées.
- L'utilisation d'outils tels que des outils de gestion doit être utilisée pour empêcher l'accès, l'utilisation ou la modification non autorisés du code source.
Les organisations doivent prendre en compte les facteurs suivants lors de l'utilisation d'outils externes
- Une surveillance et une mise à jour régulières des bibliothèques externes doivent être effectuées selon leurs cycles de publication.
- Un examen, une sélection et une autorisation approfondis des composants logiciels sont essentiels, en particulier ceux liés à la cryptographie et à l'authentification.
- Obtenir les licences des composants externes et assurer leur sécurité.
- Il devrait y avoir un système de suivi et de maintenance des logiciels. De plus, il faut s’assurer qu’il provient d’une source fiable.
- Il est essentiel de disposer de ressources de développement à long terme.
Les facteurs suivants doivent être pris en compte lors de la modification d'un progiciel :
- Les processus d'intégrité ou les contrôles intégrés peuvent exposer une organisation à des risques.
- Il est essentiel de déterminer si le vendeur a consenti aux modifications.
- Le consentement du fournisseur peut-il être obtenu pour effectuer des mises à jour régulières du logiciel ?
- L'impact probable de la maintenance du logiciel à mesure de son évolution.
- Quel effet les changements auront-ils sur les autres composants logiciels utilisés par l’organisation ?
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Conseils supplémentaires sur la norme ISO 27001:2022 Annexe A 8.28
Les organisations doivent s'assurer qu'elles utilisent un code pertinent pour la sécurité chaque fois que cela est nécessaire et qu'il est résistant à la falsification.
L'annexe A, contrôle 8.28 de la norme ISO 27001:2022, formule les recommandations suivantes pour le code relatif à la sécurité :
- Même si les programmes téléchargés via un code binaire incluront du code lié à la sécurité dans l'application elle-même, sa portée sera limitée aux données stockées en interne dans l'application.
- Garder une trace du code pertinent pour la sécurité n'est utile que s'il est exécuté sur un serveur auquel l'utilisateur n'a pas accès et s'il est séparé des processus qui l'utilisent afin que ses données soient conservées en sécurité dans une autre base de données et séparées en toute sécurité des processus. qui l'utilisent. L'utilisation d'un service cloud pour exécuter un code interprété est possible, et vous pouvez restreindre l'accès au code aux administrateurs privilégiés pour restreindre l'accès au code. Il est recommandé que ces droits d'accès soient protégés par des privilèges d'administrateur juste à temps et des mécanismes d'authentification robustes qui n'accordent l'accès au site qu'au bon moment.
- Une configuration appropriée doit être mise en œuvre sur les serveurs Web pour empêcher l'accès et la navigation non autorisés dans les répertoires du serveur.
- Pour développer un code d'application sécurisé, vous devez supposer que le code est vulnérable aux attaques dues aux erreurs de codage et aux actions entreprises par des acteurs malveillants. Une application critique doit être conçue pour être insensible aux défauts internes de manière à l’empêcher d’être sujette à des erreurs. Par exemple, lors de l'évaluation du résultat d'un algorithme, il est possible de garantir que le résultat est conforme aux exigences de sécurité avant que l'algorithme puisse être utilisé dans des applications critiques, telles que celles liées à la finance, avant de pouvoir être utilisé dans l'application.
- En raison du manque de bonnes pratiques de codage, certaines applications Web sont très sensibles aux menaces de sécurité, telles que les attaques par injection de bases de données et par scripts intersites.
- Il est recommandé aux organisations de se référer à la norme ISO/IEC 15408 pour plus d'informations sur l'évaluation de la sécurité informatique et sur la manière de la réaliser.
Quels sont les changements par rapport à la norme ISO 27001:2013 ?
L'Annexe A 8.28 est un nouveau contrôle de l'Annexe A qui a été ajouté à la norme ISO 27001:2022.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Comment ISMS.online vous aide
Que vous soyez complètement novice en matière de sécurité de l'information ou que vous souhaitiez en savoir plus sur la norme ISO 27001 de manière concise sans avoir à passer du temps à lire des documents longs et détaillés ou à apprendre à partir de zéro, notre plateforme est conçue spécifiquement pour vous.
Grâce à ISMS.Online, vous accéderez facilement à des modèles de documents, des listes de contrôle et des politiques qui peuvent être personnalisés pour répondre à vos besoins.
Aimeriez-vous voir comment cela fonctionne?
Contactez-nous dès aujourd'hui pour réserver une démo.