Propósito del Control 8.4
Con el propósito de ISO 27002, Control 8.4 define “código fuente” como el código subyacente, las especificaciones y los planes utilizados para crear aplicaciones, programas y procesos que son propiedad de la propia organización.
Cuando se habla de acceso al código fuente, Control 8.4 concede la misma importancia a las herramientas de desarrollo (compiladores, entornos de prueba, etc.).
La gestión del código fuente representa un riesgo único a cualquier organización que tenga la necesidad de almacenarlo. Los elementos del código fuente críticos para el negocio incluyen datos de producción, detalles de configuración protegidos y aspectos de la propiedad intelectual de una organización.
Control 8.4 es un control preventivo que modifica el riesgo estableciendo un conjunto de principios subyacentes de acceso a datos (de acuerdo con un conjunto más amplio de controles de acceso de la organización) que rigen el acceso de lectura/escritura a:
- Código fuente
- Herramientas de desarrollo
- Bibliotecas de software
Tabla de Atributos de Control 8.4
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Gestión de identidad y acceso | #Proteccion |
| #Integridad | #Seguridad de aplicaciones | |||
| #Disponibilidad | #Configuración segura |
Propiedad del Control 8.4
El Control 8.4 se ocupa de la capacidad de una organización para controlar el acceso a datos críticos para el negocio relacionados con el código fuente, herramientas de desarrollo e información comercialmente sensible, como bibliotecas de software.
Como tal, la propiedad debe residir en el Director de Seguridad de la Información (o equivalente organizacional), quien posee Responsabilidad de la seguridad general de la información y los datos de la organización. prácticas.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre control 8.4
Control 8.4 aboga por un sistema de gestión de código fuente que permita a las organizaciones administrar de forma centralizada el acceso y la modificación del código fuente en todo su patrimonio de TIC.
Control 8.4 pide a las organizaciones que consideren el acceso al código fuente junto con un conjunto de privilegios estrictos de lectura y/o escritura, según la naturaleza del código fuente, desde dónde se accede y quién accede a él.
Al buscar controlar el acceso al código fuente, las organizaciones deberían:
- Controlar el acceso al código fuente de acuerdo con los procedimientos publicados.
- Proporcionar acceso de lectura y/o escritura al código fuente junto con un conjunto de requisitos comerciales claramente definidos caso por caso o usuario por usuario.
- Cumplir con un conjunto claro de procedimientos de gestión de cambios (ver Control 8.32) al administrar el acceso al código fuente, incluida la autorización adecuada basada en una variedad de variables de acceso (tipo de usuario, caso de negocio, etc.).
- Evitar que el acceso directo del código fuente por parte de los desarrolladores y, en su lugar, proporciona acceso a través de una serie de herramientas de desarrollo que brindan una vista de arriba hacia abajo de los derechos de acceso y privilegios de lectura/escritura.
- Proporcione un espacio seguro para almacenar listados de programas y privilegios de lectura/escritura.
- Mantener un registro de auditoría simultáneo de todas las actividades relacionadas con el código fuente, incluidas las marcas de tiempo de acceso de los usuarios y las actividades relacionadas con cambios.
- Asegúrese de que se utilicen firmas digitales para cualquier fragmento de código que se publicará fuera de la organización.
Controles de apoyo
- 8.32
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022-8.4 replaces 27002:2014-9.4.5 (Acceso al código fuente), y contiene tres diferencias principales en su enfoque para establecer un sistema de gestión de código fuente (un concepto que está ausente en 27002:2014-9.4.5)
- La provisión de acceso de lectura/escritura siguiendo un estricto conjunto de requisitos comerciales.
- La necesidad de proporcionar a los desarrolladores acceso indirecto al código fuente a través de un conjunto de herramientas de desarrollo y/o entornos de prueba.
- La necesidad de realizar cambios en las actividades de acceso al código fuente de acuerdo con los procedimientos de gestión de cambios recientemente publicados contenidos en el Control 8.32.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
¿Cómo ayuda ISMS.online?
ISMS.Online simplifica la proceso de implementación ISO 27002 proporcionando todos los recursos, información y herramientas necesarios en un solo lugar. Te permite crear un SGSI con sólo unos pocos clics del mouse, lo que de otro modo llevaría mucho tiempo si se hiciera manualmente.
¿Quieres verlo en acción?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
