Sovellusohjelmistot, kuten verkkosovellukset, grafiikkaohjelmistot, tietokantaohjelmistot ja maksujenkäsittelyohjelmistot ovat tärkeitä monille kriittisille liiketoiminnoille.
Nämä sovellukset ovat kuitenkin usein alttiina tietoturva-aukkoja, jotka voivat johtaa arkaluonteisten tietojen vaarantumiseen.
Esimerkiksi Equifax, yhdysvaltalainen luottotoimisto, ei onnistunut asentamaan tietoturvakorjausta verkkosivuston sovelluskehykseen, jota käytetään asiakkaiden valitusten käsittelyyn. Kyberhyökkääjät käyttivät tietoturvaheikkoutta Web-sovelluksessa soluttautuakseen Equifaxin yritysverkkoihin ja varastaakseen arkaluonteisia tietoja noin 145 miljoonalta ihmiseltä.
Ohjaus 8.26 käsittelee miten organisaatiot voivat asettaa ja soveltaa tietoturvavaatimuksia sovellusten kehittämiseen, käyttöön ja hankintaan.
Control 8.26 antaa organisaatioille mahdollisuuden suojata sovelluksiin tallennettuja tai niiden kautta käsiteltyjä tietovaroja tunnistamalla ja soveltamalla asianmukaisia tietoturvavaatimuksia.
Control 8.26 on ennaltaehkäisevä hallinta, joka ehkäisee sovellukseen tallennettujen tietovarojen eheyteen, saatavuuteen ja luottamuksellisuuteen kohdistuvia riskejä käyttämällä sopivia tietoturvatoimenpiteitä.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Sovellusturvallisuus #Järjestelmä- ja verkkoturvallisuus | #Suojaus #Puolustus |
Tietoturvajohtajan tulee tietoturva-asiantuntijoiden tuella vastata sovellusten hankintaa, käyttöä ja kehittämistä koskevien tietovaatimusten tunnistamisesta, hyväksymisestä ja toteuttamisesta.
Yleisissä ohjeissa todetaan, että organisaatioiden tulee suorittaa a riskinarviointi tietoturvavaatimusten tyypin määrittämiseksi sopiva tiettyyn sovellukseen.
Vaikka sisältö ja tyypit tietoturvavaatimukset voivat vaihdella sovelluksen luonteen mukaan, vaatimusten tulee sisältää seuraavat asiat:
Ohjaus 8.26 edellyttää, että organisaatiot ottavat huomioon seuraavat seitsemän suositusta, kun sovellus tarjoaa tapahtumapalveluita organisaation ja kumppanin välillä:
Kun sovelluksissa on maksu- ja sähköinen tilaustoiminto, organisaatioiden tulee ottaa huomioon seuraavat asiat:
Kun sovelluksia käytetään verkkojen kautta, ne ovat alttiina uhille, kuten sopimuskiistat, vilpilliset toimet, väärät reititys, luvattomat muutokset viestinnän sisältöön tai arkaluonteisten tietojen luottamuksellisuuden menetys.
Control 8.26 suosittelee organisaatioille kokonaisvaltaista toimintaa riskiarvioinnit asianmukaisten valvontamenetelmien tunnistamiseksi kuten salauksen käyttö tiedonsiirron turvallisuuden varmistamiseksi.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
27002:2022/8.26 korvaa 27002:2013/(14.1.2 ja 14.1.3)
Näiden kahden version välillä on kolme suurta eroa.
ISO 27002:2013 -versiossa ei lueteltu kaikkia sovelluksia koskevia vaatimuksia: Se sisälsi luettelon tietoturvavaatimuksista, jotka tulisi ottaa huomioon julkisten verkkojen kautta kulkeville sovelluksille.
Control 8.26 vuoden 2022 versiossapäinvastoin tarjosi luettelon tietoturvavaatimuksista, joita sovelletaan kaikkiin sovelluksiin.
Control 8.26 2022-versiossa sisältää erityisiä ohjeita Sähköiset tilaus- ja maksusovellukset. Sitä vastoin vuoden 2013 versio ei käsitellyt tätä.
Vuoden 2022 versio ja 2013 versio ovat lähes identtisiä tapahtumapalveluiden vaatimusten osalta, mutta vuoden 2022 versio sisältää lisävaatimuksen, jota ei käsitellä vuoden 2013 versiossa:
ISMS.online on pilvipohjainen ratkaisu, joka auttaa yrityksiä osoittamaan noudattavansa ISO 27002 -standardia. ISMS.online-ratkaisulla voidaan hallita mm. ISO 27002 ja varmista, että organisaatiosi on uuden standardin mukainen.
Meidän alustamme on käyttäjäystävällinen ja suoraviivainen. Se ei ole vain erittäin teknisille henkilöille; se on kaikille yrityksessäsi.
Ota yhteyttä jo tänään varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |