ISO 27001:2022 Annexe A Contrôle 8.28

Directives de conformité à la norme ISO 27001:2022 Annexe A 8.28

Les organisations doivent développer et mettre en œuvre des processus de codage sécurisés qui s'appliquent aux produits fournis par des parties externes et aux composants logiciels open source, comme indiqué dans la norme ISO 27001 Annexe A Contrôle 8.28.

En outre, les organisations doivent rester informées de l’évolution des menaces de sécurité réelles et des dernières informations sur les vulnérabilités de sécurité logicielles connues ou potentielles. En utilisant cette approche, les organisations peuvent développer des principes de codage robustes et sécurisés pour lutter contre évolution des cybermenaces.

Orientations supplémentaires sur la planification

Il est essentiel que les nouveaux projets de codage et les opérations de réutilisation de logiciels respectent les principes de codage sécurisé des logiciels.

Ces principes doivent être respectés à la fois lors du développement de logiciels en interne et lors du transfert de produits ou de services logiciels.

Les organisations doivent prendre en compte les facteurs suivants lors de l’élaboration d’un plan de principes de codage sécurisé et de la détermination des conditions préalables au codage sécurisé :

• Les attentes en matière de sécurité doivent être adaptées aux besoins spécifiques de l'organisation, et des principes approuvés pour le code logiciel sécurisé doivent être établis pour s'appliquer aux logiciels internes. développement et externalisation composants.
• Les organisations doivent identifier et documenter les erreurs de conception de codage les plus répandues et historiques ainsi que les mauvaises pratiques de codage afin de prévenir les violations de la sécurité des données.
• Les organisations doivent mettre en œuvre et configurer des outils de développement logiciel pour garantir la sécurité de tout le code créé. Les environnements de développement intégrés (IDE) sont un exemple de tels outils.
• Les outils de développement de logiciels doivent fournir des conseils et des instructions pour aider les organisations à se conformer aux lignes directrices et aux instructions.
• Les outils de développement tels que les compilateurs doivent être examinés, maintenus et utilisés en toute sécurité par les organisations.

Conseils supplémentaires sur la sécurité pendant le codage

Pour garantir des pratiques et des procédures de codage sécurisées, les éléments suivants doivent être pris en compte pendant le processus de codage :

• Les principes de codage des logiciels sécurisés doivent être adaptés à chaque langage et technique de programmation.
• Le développement piloté par les tests et la programmation en binôme sont des exemples de techniques et méthodes de programmation sécurisées.
• Mise en œuvre de techniques de programmation structurée.
• Documentation du code et suppression des défauts du code.
• L'utilisation de méthodes de codage de logiciels non sécurisées telles que des échantillons de code non approuvés ou des mots de passe codés en dur est interdite.

Un test de sécurité doit être effectué pendant et après le développement, comme spécifié dans la norme ISO 27001 Annexe A Contrôle 8.29.

Les organisations doivent prendre en compte les éléments suivants avant de mettre en œuvre le logiciel dans un environnement d'application en direct :

• Y a-t-il une surface d'attaque ?
• Le principe du moindre privilège est-il respecté ?
• Analyser les erreurs de programmation les plus répandues et documenter leur élimination.

Orientations supplémentaires pour le processus d'examen

Suite à la mise en œuvre du code dans l'environnement de production

• Une méthode sécurisée doit être utilisée pour appliquer les mises à jour.
• Pour ISO 27001:2022 Annexe A Contrôle 8.8, les vulnérabilités de sécurité doivent être corrigées.
• Des enregistrements doivent être conservés sur les attaques et les erreurs suspectées sur les systèmes d'information, et ces enregistrements doivent être examinés régulièrement afin que les modifications appropriées puissent être apportées.
• L'utilisation d'outils tels que des outils de gestion doit être utilisée pour empêcher l'accès, l'utilisation ou la modification non autorisés du code source.

Les organisations doivent prendre en compte les facteurs suivants lors de l'utilisation d'outils externes

• Une surveillance et une mise à jour régulières des bibliothèques externes doivent être effectuées selon leurs cycles de publication.
• Un examen, une sélection et une autorisation approfondis des composants logiciels sont essentiels, en particulier ceux liés à la cryptographie et à l'authentification.
• Obtenir les licences des composants externes et assurer leur sécurité.
• Il devrait y avoir un système de suivi et de maintenance des logiciels. De plus, il faut s’assurer qu’il provient d’une source fiable.
• Il est essentiel de disposer de ressources de développement à long terme.

Les facteurs suivants doivent être pris en compte lors de la modification d'un progiciel :

• Les processus d'intégrité ou les contrôles intégrés peuvent exposer une organisation à des risques.
• Il est essentiel de déterminer si le vendeur a consenti aux modifications.
• Le consentement du fournisseur peut-il être obtenu pour effectuer des mises à jour régulières du logiciel ?
• L'impact probable de la maintenance du logiciel à mesure de son évolution.
• Quel effet les changements auront-ils sur les autres composants logiciels utilisés par l’organisation ?

Conseils supplémentaires sur la norme ISO 27001:2022 Annexe A 8.28

Les organisations doivent s'assurer qu'elles utilisent un code pertinent pour la sécurité chaque fois que cela est nécessaire et qu'il est résistant à la falsification.

L'annexe A, contrôle 8.28 de la norme ISO 27001:2022, formule les recommandations suivantes pour le code relatif à la sécurité :

• Même si les programmes téléchargés via un code binaire incluront du code lié à la sécurité dans l'application elle-même, sa portée sera limitée aux données stockées en interne dans l'application.
• Garder une trace du code pertinent pour la sécurité n'est utile que s'il est exécuté sur un serveur auquel l'utilisateur n'a pas accès et s'il est séparé des processus qui l'utilisent afin que ses données soient conservées en sécurité dans une autre base de données et séparées en toute sécurité des processus. qui l'utilisent. L'utilisation d'un service cloud pour exécuter un code interprété est possible, et vous pouvez restreindre l'accès au code aux administrateurs privilégiés pour restreindre l'accès au code. Il est recommandé que ces droits d'accès soient protégés par des privilèges d'administrateur juste à temps et des mécanismes d'authentification robustes qui n'accordent l'accès au site qu'au bon moment.
• Une configuration appropriée doit être mise en œuvre sur les serveurs Web pour empêcher l'accès et la navigation non autorisés dans les répertoires du serveur.
• Pour développer un code d'application sécurisé, vous devez supposer que le code est vulnérable aux attaques dues aux erreurs de codage et aux actions entreprises par des acteurs malveillants. Une application critique doit être conçue pour être insensible aux défauts internes de manière à l’empêcher d’être sujette à des erreurs. Par exemple, lors de l'évaluation du résultat d'un algorithme, il est possible de garantir que le résultat est conforme aux exigences de sécurité avant que l'algorithme puisse être utilisé dans des applications critiques, telles que celles liées à la finance, avant de pouvoir être utilisé dans l'application.
• En raison du manque de bonnes pratiques de codage, certaines applications Web sont très sensibles aux menaces de sécurité, telles que les attaques par injection de bases de données et par scripts intersites.
• Il est recommandé aux organisations de se référer à la norme ISO/IEC 15408 pour plus d'informations sur l'évaluation de la sécurité informatique et sur la manière de la réaliser.

Quels sont les changements par rapport à la norme ISO 27001:2013 ?

L'Annexe A 8.28 est un nouveau contrôle de l'Annexe A qui a été ajouté à la norme ISO 27001:2022.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

Comment ISMS.online vous aide

Que vous soyez complètement novice en matière de sécurité de l'information ou que vous souhaitiez en savoir plus sur la norme ISO 27001 de manière concise sans avoir à passer du temps à lire des documents longs et détaillés ou à apprendre à partir de zéro, notre plateforme est conçue spécifiquement pour vous.

Grâce à ISMS.Online, vous accéderez facilement à des modèles de documents, des listes de contrôle et des politiques qui peuvent être personnalisés pour répondre à vos besoins.

Aimeriez-vous voir comment cela fonctionne?

Contactez-nous dès aujourd'hui pour réserver une démo.