ISO 27002:2022, Control 8.27 – Principios de ingeniería y arquitectura de sistemas seguros

Controles revisados ​​ISO 27002:2022

Reserve una demostración

empresario,trabajando,en,ordenador portátil,computadora,con,digital,tableta y,móvil

Las composiciones complejas de los sistemas de información modernos y el panorama de amenazas a la seguridad cibernética en constante cambio hacen que los sistemas de información sean más vulnerables a amenazas de seguridad conocidas y potenciales.

Control 8.27, aborda cómo las organizaciones pueden eliminar amenazas a la seguridad de los sistemas de información mediante la creación de principios de ingeniería de sistemas seguros que se aplican a todas las fases del ciclo de vida del sistema de información.

Propósito del Control 8.27

Control 8.27 permite a las organizaciones mantener la seguridad de los sistemas de información durante las etapas de diseño, implementación y operación mediante el establecimiento e implementación de principios de ingeniería de sistemas seguros que los ingenieros de sistemas cumplen.

Tabla de atributos

El Control 8.27 es un tipo de control preventivo que requiere que las organizaciones eliminen las amenazas conocidas y potenciales a la confidencialidad, integridad y disponibilidad de los activos de información almacenado o procesado a través de sistemas de información, como medios de almacenamiento, bases de datos y aplicaciones, mediante el establecimiento de principios para la ingeniería de sistemas seguros.

Tipo de controlPropiedades de seguridad de la informaciónConceptos de ciberseguridadCapacidades operativasDominios de seguridad
#Preventivo#Confidencialidad
#Integridad
#Disponibilidad		#Proteger#Seguridad de aplicaciones
#Seguridad del sistema y de la red		#Proteccion
Saltar al tema
Obtenga una ventaja sobre ISO 27001
  • Todo actualizado con el set de control 2022.
  • Progresa un 81 % desde el momento en que inicias sesión
  • Simple y fácil de usar
Reserva tu demostración
img

Propiedad del Control 8.27

Jefe El Oficial de Seguridad de la Información debe ser considerado responsable para el establecimiento, mantenimiento e implementación de principios que rigen la ingeniería segura de sistemas de información.

Orientación general sobre cumplimiento

El control 8.27 destaca que Las organizaciones deben incorporar la seguridad en todas las capas de los sistemas de información., incluidos procesos de negocio, aplicaciones y arquitectura de datos.

Además, Los principios de ingeniería segura deben aplicarse a todas las actividades relacionadas con los sistemas de información. y debe estar sujeto a revisiones y actualizaciones periódicas teniendo en cuenta las amenazas emergentes y los patrones de ataque.

Además de los sistemas de información desarrollados y operados internamente, el Control 8.27 también se aplica a los sistemas de información creados por proveedores de servicios externos.

Por lo tanto, las organizaciones deben garantizar que las prácticas y estándares de los proveedores de servicios cumplan con sus propios principios de ingeniería segura.

Control 8.27 requiere principios de ingeniería de sistemas seguros para cubrir los ocho aspectos siguientes:

  • Orientación sobre métodos de autenticación de usuarios.

  • Orientación sobre control de sesión seguro.

  • Orientación sobre procedimientos de desinfección y validación de datos.

  • Comprensiva análisis de todas las medidas de seguridad necesarios para proteger los activos y sistemas de información contra amenazas conocidas.

  • Análisis integral de las capacidades de las medidas de seguridad para identificar, eliminar y responder a amenazas a la seguridad.

  • Analizando Medidas de seguridad aplicadas a actividades comerciales específicas. como el cifrado de información.

  • Cómo se implementarán las medidas de seguridad y dónde. Esto puede incluir la integración de un control de seguridad específico dentro de la infraestructura técnica.

  • Cómo las diferentes medidas de seguridad funcionan juntas y operan como un conjunto combinado de controles.

Orientación sobre el principio de confianza cero

Las organizaciones deben considerar los siguientes principios de confianza cero:

  • Partiendo del supuesto de que los sistemas de la organización ya están comprometidos y la seguridad del perímetro de red definido ya no es efectiva.

  • Adoptar un enfoque de “nunca confiar y siempre verificar” para brindar acceso a los sistemas de información.

  • Proporcionar garantía de que las solicitudes realizadas a los sistemas de información estén protegidas con cifrado de extremo a extremo.

  • Implementar un mecanismo de verificación que asuma solicitudes de acceso a la información Los sistemas están hechos de redes externas abiertas.

  • Establecer “privilegios mínimos” y dinámica técnicas de control de acceso de acuerdo con el Control 5.15, 5,18 y 8.2. Esto cubre la autenticación y autorización de solicitudes de acceso a información sensible y sistemas de información considerando información contextual como las identidades de los usuarios como se define en el Control 5.16 y la clasificación de la información como se prescribe en el Control 5.12.

  • Autenticando siempre la identidad del solicitante y verificando las solicitudes de autorización para acceder a los sistemas de información. Estos procedimientos de autenticación y verificación deben realizarse de acuerdo con la información de autenticación en el Control 5.17, Identidades de usuario en el Control 5.16 y Multifactor en el Control 8.5.

Conseguir una ventaja
sobre ISO 27002

El único cumplimiento
solución que necesitas
Reserva tu demostración

Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

¿Qué deberían cubrir las técnicas de ingeniería de sistemas seguros?

  • Adoptar e implementar principios de arquitectura segura, incluidos "seguridad por diseño", "defensa en profundidad", "fallar de forma segura", "desconfiar de las entradas de aplicaciones externas", "asumir una infracción", "privilegios mínimos", "usabilidad y manejabilidad" y " mínima funcionalidad”.

  • Adoptar y aplicar un proceso de revisión de diseño centrado en la seguridad para detectar seguridad de la información vulnerabilidades y garantizar que las medidas de seguridad estén identificadas y satisfagan los requisitos de seguridad.

  • Documentar y reconocer las medidas de seguridad que no cumplen con los requisitos.

  • Endurecimiento del sistema.

¿Qué criterios considerar al diseñar principios de ingeniería seguros?

Las organizaciones deben considerar lo siguiente al establecer principios de ingeniería de sistemas seguros:

  • La necesidad de integrar controles con una arquitectura de seguridad específica.

  • Infraestructura de seguridad técnica existente, incluida infraestructura de clave pública, gestión de identidades y prevención de fuga de datos.

  • Si la organización es capaz de construir y mantener la tecnología seleccionada.

  • Costo y tiempo necesarios para satisfacer los requisitos de seguridad y complejidad de dichos requisitos.

  • Mejores prácticas existentes.

Descubre nuestra plataforma

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

No se nos ocurre ninguna empresa cuyo servicio pueda compararse con ISMS.online.
Vivian Corona
Implementador líder de ISO 27001, 27701 y GDPR Aperian Global
El 100% de nuestros usuarios aprueban la certificación a la primera
Reserva tu demostración

Guía práctica sobre la aplicación de principios de ingeniería de sistemas seguros

El Control 8.27 señala que las organizaciones pueden poner en práctica principios de ingeniería seguros al configurar lo siguiente:

  • Tolerancia a fallos y métodos de resiliencia similares.

  • Técnicas de segregación como la virtualización.

  • Resistencia a la manipulación.

Además, el uso de La tecnología de virtualización segura puede ayudar a eliminar el riesgo. de interceptación entre dos aplicaciones que se ejecutan en el mismo dispositivo.

Por último, se señala que el uso de sistemas de resistencia a la manipulación puede ayudar a identificar la manipulación tanto lógica como física de los sistemas de información y evitar la extracción no autorizada de información.

Cambios y diferencias con respecto a ISO 27002:2013

27002:2022/8.27 replace 27002:2013/(14.2.5)

La versión 2022 introduce requisitos más completos en comparación con la versión 2013:

  1. A diferencia de la versión 2013, la versión 2022 proporciona orientación sobre qué principios de ingeniería segura deben cubrir.

  2. A diferencia de la versión 2013, la versión 2022 aborda los criterios que las organizaciones deben considerar al diseñar principios de ingeniería de sistemas seguros.

  3. La versión 2022 incluye orientación sobre el principio de confianza cero. La versión de 2013, por el contrario, no cubría esto.

  4. La versión 2022 incluye recomendaciones sobre qué técnicas de ingeniería seguras deberían aplicarse, como la “seguridad por diseño”. A diferencia de la versión de 2022, la versión de 2013 no hacía referencia a este tipo de técnicas.

Cómo ayuda ISMS.online

La implementación de ISO 27002 es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso. Su solución completa de cumplimiento para ISO / IEC 27002: 2022.

  • Hasta un 81% de progreso desde que inicias sesión.

  • Solución simple y de cumplimiento total.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

¿Estás listo para
la nueva ISO 27002

Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración

Nuevos controles

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.7NuevoInteligencia de amenazas
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.30NuevoPreparación de las TIC para la continuidad del negocio
7.4NuevoMonitoreo de seguridad física
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.16NuevoActividades de monitoreo
8.23NuevoFiltrado Web
8.28NuevoCodificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.105.1.1, 05.1.2Políticas de seguridad de la información.
5.206.1.1Funciones y responsabilidades de seguridad de la información
5.306.1.2Segregación de deberes
5.407.2.1Responsabilidades de gestión
5.506.1.3Contacto con autoridades
5.606.1.4Contacto con grupos de intereses especiales
5.7NuevoInteligencia de amenazas
5.806.1.5, 14.1.1Seguridad de la información en la gestión de proyectos.
5.908.1.1, 08.1.2Inventario de información y otros activos asociados
5.1008.1.3, 08.2.3Uso aceptable de la información y otros activos asociados
5.1108.1.4Devolución de activos
5.12 08.2.1Clasificación de la información
5.1308.2.2Etiquetado de información
5.1413.2.1, 13.2.2, 13.2.3Transferencia de información
5.1509.1.1, 09.1.2Control de acceso
5.1609.2.1Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3Información de autenticación
5.1809.2.2, 09.2.5, 09.2.6Derechos de acceso
5.1915.1.1Seguridad de la información en las relaciones con proveedores
5.2015.1.2Abordar la seguridad de la información en los acuerdos con proveedores
5.2115.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
5.2215.2.1, 15.2.2Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.2416.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.2516.1.4Evaluación y decisión sobre eventos de seguridad de la información.
5.2616.1.5Respuesta a incidentes de seguridad de la información
5.2716.1.6Aprender de los incidentes de seguridad de la información
5.2816.1.7Recolección de evidencia
5.2917.1.1, 17.1.2, 17.1.3Seguridad de la información durante la interrupción
5.30NuevoPreparación de las TIC para la continuidad del negocio
5.3118.1.1, 18.1.5Requisitos legales, estatutarios, reglamentarios y contractuales
5.3218.1.2Derechos de propiedad intelectual
5.3318.1.3Protección de registros
5.3418.1.4Privacidad y protección de la PII
5.3518.2.1Revisión independiente de la seguridad de la información.
5.3618.2.2, 18.2.3Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.3712.1.1Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
6.107.1.1examen en línea.
6.207.1.2Términos y condiciones de empleo
6.307.2.2Concientización, educación y capacitación sobre seguridad de la información.
6.407.2.3Proceso Disciplinario
6.507.3.1Responsabilidades tras el despido o cambio de empleo
6.613.2.4Acuerdos de confidencialidad o no divulgación
6.706.2.2Trabajo remoto
6.816.1.2, 16.1.3Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
7.111.1.1Perímetros de seguridad física
7.211.1.2, 11.1.6Entrada física
7.311.1.3Seguridad de oficinas, habitaciones e instalaciones.
7.4NuevoMonitoreo de seguridad física
7.511.1.4Protección contra amenazas físicas y ambientales.
7.611.1.5Trabajar en áreas seguras
7.711.2.9Escritorio claro y pantalla clara
7.811.2.1Ubicación y protección de equipos.
7.911.2.6Seguridad de los activos fuera de las instalaciones
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Medios de almacenamiento
7.1111.2.2Servicios públicos de apoyo
7.1211.2.3Seguridad del cableado
7.1311.2.4Mantenimiento de equipo
7.1411.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
8.106.2.1, 11.2.8Dispositivos terminales de usuario
8.209.2.3Derechos de acceso privilegiados
8.309.4.1Restricción de acceso a la información
8.409.4.5Acceso al código fuente
8.509.4.2Autenticación segura
8.612.1.3Gestión de la capacidad
8.712.2.1Protección contra malware
8.812.6.1, 18.2.3Gestión de vulnerabilidades técnicas.
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.1312.3.1Copia de seguridad de la información
8.1417.2.1Redundancia de instalaciones de procesamiento de información.
8.1512.4.1, 12.4.2, 12.4.3Inicio de sesión
8.16NuevoActividades de monitoreo
8.1712.4.4sincronización de los relojes
8.1809.4.4Uso de programas de utilidad privilegiados.
8.1912.5.1, 12.6.2Instalación de software en sistemas operativos.
8.2013.1.1Seguridad en redes
8.2113.1.2Seguridad de los servicios de red.
8.2213.1.3Segregación de redes
8.23NuevoFiltrado Web
8.2410.1.1, 10.1.2Uso de criptografía
8.2514.2.1Ciclo de vida de desarrollo seguro
8.2614.1.2, 14.1.3Requisitos de seguridad de la aplicación
8.2714.2.5Principios de ingeniería y arquitectura de sistemas seguros
8.28NuevoCodificación segura
8.2914.2.8, 14.2.9Pruebas de seguridad en desarrollo y aceptación.
8.3014.2.7Desarrollo subcontratado
8.3112.1.4, 14.2.6Separación de los entornos de desarrollo, prueba y producción.
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestión del cambio
8.3314.3.1Información de prueba
8.3412.7.1Protección de los sistemas de información durante las pruebas de auditoría.

Somos rentables y rápidos

Descubra cómo eso aumentará su ROI
Obtenga su cotización

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más