ISO 27002:2022, Control 8.25 – Ciclo de vida de desarrollo seguro

Controles revisados ​​ISO 27002:2022

Reserve una demostración

foto,jóvenes,compañeros de trabajo,equipo,trabajando,con,nuevo,inicio,proyecto,en

En los años 90, las empresas solían realizar pruebas de seguridad para productos y sistemas de software sólo durante la etapa de prueba, en la fase final del ciclo de vida del desarrollo del software.

Como resultado, a menudo no lograban detectar ni eliminar vulnerabilidades, errores y fallas críticas.

Para identificar y abordar las vulnerabilidades de seguridad desde el principio, las organizaciones deben incorporar consideraciones de seguridad en todas las etapas del ciclo de vida del desarrollo, desde la planificación hasta la implementación.

Control 8.25 trata sobre cómo las organizaciones pueden establecer e implementar reglas para construir productos y sistemas de software seguros.

Propósito del Control 8.25

Control 8.25 permite a las organizaciones diseñar estándares de seguridad de la información y aplicarlos a lo largo de todo el ciclo de vida de desarrollo seguro de productos y sistemas de software.

Tabla de atributos

Control 8.25 es de naturaleza preventiva, ya que requiere que las organizaciones diseñen e implementen proactivamente reglas y controles que gobiernen todo el ciclo de vida de desarrollo de cada nuevo producto y sistema de software.

Tipo de controlPropiedades de seguridad de la informaciónConceptos de ciberseguridadCapacidades operativasDominios de seguridad
#Preventivo#Confidencialidad
#Integridad
#Disponibilidad		#Proteger #Seguridad de aplicaciones
#Seguridad del sistema y de la red		#Proteccion
Saltar al tema
Obtenga una ventaja sobre ISO 27001
  • Todo actualizado con el set de control 2022.
  • Progresa un 81 % desde el momento en que inicias sesión
  • Simple y fácil de usar
Reserva tu demostración
img

Propiedad del Control 8.25

El Director de Seguridad de la Información debe ser responsable de la creación, implementación y mantenimiento de reglas y medidas para garantizar la seguridad del ciclo de vida del desarrollo.

Orientación general sobre cumplimiento

Control 8.25 contiene 10 requisitos que las organizaciones deben cumplir para crear productos, sistemas y arquitectura de software seguros:

  1. Los entornos de desarrollo, prueba y producción deben segregarse según el Control 8.31.

  2. Las organizaciones deben proporcionar orientación sobre:

    • Consideraciones de seguridad en la metodología de desarrollo de software de acuerdo con el Control 8.27 y 8.28.

    • Codificación segura para cada lenguaje de programación de acuerdo con 8.28.

  3. Las organizaciones deben establecer e implementar requisitos de seguridad que se apliquen a la fase de especificación y diseño de acuerdo con el Control 5.8.

  4. Las organizaciones deben definir listas de verificación de seguridad para los proyectos según el Control 5.8.

  5. Las organizaciones deben realizar pruebas de seguridad y del sistema, como pruebas de penetración y escaneo de códigos, de acuerdo con el Control 8.29.

  6. Las organizaciones deben crear repositorios seguros que almacenen los códigos fuente y la configuración de conformidad con los Controles 8.4 y 8.9.

  7. Las organizaciones deben mantener la seguridad en el control de versiones según lo prescrito en el Control 8.32.

  8. Las organizaciones deben garantizar que todo el personal involucrado en el desarrollo tenga suficientes conocimientos de seguridad de las aplicaciones y reciba la capacitación necesaria como se define en el Control 8.28.

  9. Los desarrolladores deben ser capaces de identificar y prevenir vulnerabilidades de seguridad como se establece en el Control 8.28.

  10. Las organizaciones deben cumplir con los requisitos de licencia y deben evaluar la viabilidad de métodos alternativos rentables según lo prescrito en el Control 8.30.

Además, si una organización subcontrata ciertas tareas de desarrollo a partes externas, debe garantizar que la parte externa cumpla con las reglas y procedimientos de la organización para el desarrollo seguro de software y sistemas.

Conseguir una ventaja
sobre ISO 27002

El único cumplimiento
solución que necesitas
Reserva tu demostración

Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

Orientación complementaria sobre control 8.25

Control 8.25 señala que los productos, arquitecturas y sistemas de software también se pueden desarrollar dentro de aplicaciones, bases de datos o navegadores.

Cambios y diferencias con respecto a ISO 27002:2013

27002:2022/8.25 replace 27002:2013/(14.2.1)

En general, hay dos diferencias clave.

La versión ISO 27002:2022 establece dos nuevos requisitos

Si bien la versión 2022 es similar en gran medida a la versión 2013, Control 8.25 impone dos nuevos requisitos a las organizaciones:

  • Las organizaciones deben cumplir con los requisitos de licencia y deben evaluar la viabilidad de métodos alternativos rentables según lo prescrito en el Control 8.30.

  • Las organizaciones deben realizar pruebas de seguridad y del sistema, como pruebas de penetración y escaneo de códigos, de acuerdo con el Control 8.29.

La versión ISO 27002:2013 hace referencia explícita a la reutilización del código

La versión de 2013 indicó explícitamente que el Control 14.2.1 se aplica tanto a nuevos desarrollos como a la reutilización de código. Por el contrario, Control 8.25 no hacía referencia a escenarios de reutilización de código.

Cómo ayuda ISMS.online

La implementación de ISO 27002 es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso. Su solución completa de cumplimiento de ISO/IEC 27002:2022.

  • Hasta un 81% de progreso desde que inicias sesión.

  • Solución simple y de cumplimiento total.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

Mira cómo podemos ayudarte

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Nuevos controles

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.7NuevoInteligencia de amenazas
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.30NuevoPreparación de las TIC para la continuidad del negocio
7.4NuevoMonitoreo de seguridad física
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.16NuevoActividades de monitoreo
8.23NuevoFiltrado Web
8.28NuevoCodificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.105.1.1, 05.1.2Políticas de seguridad de la información.
5.206.1.1Funciones y responsabilidades de seguridad de la información
5.306.1.2Segregación de deberes
5.407.2.1Responsabilidades de gestión
5.506.1.3Contacto con autoridades
5.606.1.4Contacto con grupos de intereses especiales
5.7NuevoInteligencia de amenazas
5.806.1.5, 14.1.1Seguridad de la información en la gestión de proyectos.
5.908.1.1, 08.1.2Inventario de información y otros activos asociados
5.1008.1.3, 08.2.3Uso aceptable de la información y otros activos asociados
5.1108.1.4Devolución de activos
5.12 08.2.1Clasificación de la información
5.1308.2.2Etiquetado de información
5.1413.2.1, 13.2.2, 13.2.3Transferencia de información
5.1509.1.1, 09.1.2Control de acceso
5.1609.2.1Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3Información de autenticación
5.1809.2.2, 09.2.5, 09.2.6Derechos de acceso
5.1915.1.1Seguridad de la información en las relaciones con proveedores
5.2015.1.2Abordar la seguridad de la información en los acuerdos con proveedores
5.2115.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
5.2215.2.1, 15.2.2Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.2416.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.2516.1.4Evaluación y decisión sobre eventos de seguridad de la información.
5.2616.1.5Respuesta a incidentes de seguridad de la información
5.2716.1.6Aprender de los incidentes de seguridad de la información
5.2816.1.7Recolección de evidencia
5.2917.1.1, 17.1.2, 17.1.3Seguridad de la información durante la interrupción
5.30NuevoPreparación de las TIC para la continuidad del negocio
5.3118.1.1, 18.1.5Requisitos legales, estatutarios, reglamentarios y contractuales
5.3218.1.2Derechos de propiedad intelectual
5.3318.1.3Protección de registros
5.3418.1.4Privacidad y protección de la PII
5.3518.2.1Revisión independiente de la seguridad de la información.
5.3618.2.2, 18.2.3Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.3712.1.1Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
6.107.1.1examen en línea.
6.207.1.2Términos y condiciones de empleo
6.307.2.2Concientización, educación y capacitación sobre seguridad de la información.
6.407.2.3Proceso Disciplinario
6.507.3.1Responsabilidades tras el despido o cambio de empleo
6.613.2.4Acuerdos de confidencialidad o no divulgación
6.706.2.2Trabajo remoto
6.816.1.2, 16.1.3Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
7.111.1.1Perímetros de seguridad física
7.211.1.2, 11.1.6Entrada física
7.311.1.3Seguridad de oficinas, habitaciones e instalaciones.
7.4NuevoMonitoreo de seguridad física
7.511.1.4Protección contra amenazas físicas y ambientales.
7.611.1.5Trabajar en áreas seguras
7.711.2.9Escritorio claro y pantalla clara
7.811.2.1Ubicación y protección de equipos.
7.911.2.6Seguridad de los activos fuera de las instalaciones
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Medios de almacenamiento
7.1111.2.2Servicios públicos de apoyo
7.1211.2.3Seguridad del cableado
7.1311.2.4Mantenimiento de equipo
7.1411.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
8.106.2.1, 11.2.8Dispositivos terminales de usuario
8.209.2.3Derechos de acceso privilegiados
8.309.4.1Restricción de acceso a la información
8.409.4.5Acceso al código fuente
8.509.4.2Autenticación segura
8.612.1.3Gestión de la capacidad
8.712.2.1Protección contra malware
8.812.6.1, 18.2.3Gestión de vulnerabilidades técnicas.
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.1312.3.1Copia de seguridad de la información
8.1417.2.1Redundancia de instalaciones de procesamiento de información.
8.1512.4.1, 12.4.2, 12.4.3Inicio de sesión
8.16NuevoActividades de monitoreo
8.1712.4.4sincronización de los relojes
8.1809.4.4Uso de programas de utilidad privilegiados.
8.1912.5.1, 12.6.2Instalación de software en sistemas operativos.
8.2013.1.1Seguridad en redes
8.2113.1.2Seguridad de los servicios de red.
8.2213.1.3Segregación de redes
8.23NuevoFiltrado Web
8.2410.1.1, 10.1.2Uso de criptografía
8.2514.2.1Ciclo de vida de desarrollo seguro
8.2614.1.2, 14.1.3Requisitos de seguridad de la aplicación
8.2714.2.5Principios de ingeniería y arquitectura de sistemas seguros
8.28NuevoCodificación segura
8.2914.2.8, 14.2.9Pruebas de seguridad en desarrollo y aceptación.
8.3014.2.7Desarrollo subcontratado
8.3112.1.4, 14.2.6Separación de los entornos de desarrollo, prueba y producción.
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestión del cambio
8.3314.3.1Información de prueba
8.3412.7.1Protección de los sistemas de información durante las pruebas de auditoría.
Con la confianza de empresas de todo el mundo
  • Simple y fácil de usar
  • Diseñado para el éxito de ISO 27001
  • Te ahorra tiempo y dinero
Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más