Mục đích của Kiểm soát 8.4
Đối với mục đích của ISO 27002 , Kiểm soát 8.4 định nghĩa “mã nguồn” là mã, thông số kỹ thuật và kế hoạch cơ bản được sử dụng để tạo ra các ứng dụng, chương trình và quy trình thuộc sở hữu của chính tổ chức.
Khi thảo luận về quyền truy cập vào mã nguồn, Control 8.4 cũng coi trọng ngang nhau các công cụ phát triển (trình biên dịch, môi trường thử nghiệm, v.v.).
Quản lý mã nguồn là một rủi ro đặc biệt đối với bất kỳ tổ chức nào có nhu cầu lưu trữ mã nguồn. Các thành phần của mã nguồn quan trọng đối với doanh nghiệp bao gồm dữ liệu sản xuất, chi tiết cấu hình được bảo vệ và các khía cạnh của IP của tổ chức.
Kiểm soát 8.4 là biện pháp kiểm soát phòng ngừa giúp điều chỉnh rủi ro bằng cách thiết lập một bộ nguyên tắc truy cập dữ liệu cơ bản (theo bộ kiểm soát truy cập rộng hơn của tổ chức) nhằm quản lý quyền truy cập đọc/ghi vào:
- Mã nguồn
- Công cụ phát triển
- Thư viện phần mềm
Bảng Thuộc tính
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #Quản lý danh tính và quyền truy cập #Bảo mật ứng dụng #Cấu hình bảo mật | #Sự bảo vệ |
Quyền sở hữu kiểm soát 8.4
Kiểm soát 8.4 liên quan đến khả năng kiểm soát quyền truy cập của tổ chức vào dữ liệu quan trọng của doanh nghiệp liên quan đến mã nguồn, công cụ phát triển và thông tin nhạy cảm về mặt thương mại như thư viện phần mềm.
Do đó, quyền sở hữu phải thuộc về Giám đốc An ninh Thông tin (hoặc cấp tương đương trong tổ chức), người chịu trách nhiệm về các hoạt động bảo mật dữ liệu và thông tin chung của tổ chức .
Hướng dẫn chung về Kiểm soát 8.4
Control 8.4 ủng hộ một hệ thống quản lý mã nguồn cho phép các tổ chức quản lý tập trung quyền truy cập và sửa đổi mã nguồn trên toàn bộ hệ thống ICT của mình.
Tiêu chuẩn Kiểm soát 8.4 yêu cầu các tổ chức xem xét việc truy cập vào mã nguồn theo một tập hợp các đặc quyền đọc và/hoặc ghi nghiêm ngặt, dựa trên bản chất của mã nguồn, nơi truy cập và ai đang truy cập.
Khi tìm cách kiểm soát quyền truy cập vào mã nguồn, các tổ chức nên:
- Kiểm soát quyền truy cập vào mã nguồn theo các quy trình đã công bố.
- Cung cấp quyền truy cập đọc và/hoặc ghi vào mã nguồn kết hợp với một tập hợp các yêu cầu kinh doanh được xác định rõ ràng theo từng trường hợp hoặc từng người dùng.
- Tuân thủ một bộ quy trình quản lý thay đổi rõ ràng (xem Kiểm soát 8.32) khi quản lý quyền truy cập vào mã nguồn, bao gồm cả việc ủy quyền phù hợp dựa trên một loạt các biến truy cập (loại người dùng, trường hợp kinh doanh, v.v.).
- Ngăn chặn việc các nhà phát triển truy cập trực tiếp vào mã nguồn và thay vào đó cung cấp quyền truy cập thông qua một loạt các công cụ phát triển cung cấp chế độ xem từ trên xuống về quyền truy cập và đặc quyền đọc/ghi.
- Cung cấp không gian an toàn để lưu trữ danh sách chương trình và quyền đọc/ghi.
- Duy trì theo dõi kiểm toán đồng thời tất cả các hoạt động liên quan đến mã nguồn, bao gồm dấu thời gian truy cập của người dùng và các hoạt động liên quan đến thay đổi.
- Đảm bảo chữ ký số được sử dụng cho bất kỳ đoạn mã nào được công bố bên ngoài tổ chức.
Hỗ trợ điều khiển
- 8.32
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022-8.4 thay thế 27002:2014-9.4.5 (Truy cập vào mã nguồn) và bao gồm ba điểm khác biệt chính trong cách tiếp cận để thiết lập hệ thống quản lý mã nguồn (một khái niệm không có trong 27002:2014-9.4.5)
- Việc cung cấp quyền truy cập đọc/ghi theo một bộ yêu cầu kinh doanh nghiêm ngặt.
- Nhu cầu cung cấp cho các nhà phát triển quyền truy cập gián tiếp vào mã nguồn thông qua một bộ công cụ phát triển và/hoặc môi trường thử nghiệm.
- Nhu cầu thực hiện các thay đổi đối với hoạt động truy cập mã nguồn theo các quy trình quản lý thay đổi mới được công bố có trong Kiểm soát 8.32.
