ISO 27002:2022, Kiểm soát 8.29 – Kiểm tra bảo mật trong quá trình phát triển và chấp nhận

Tội phạm mạng liên tục phát minh ra những cách thức mới và cải tiến chiến lược để xâm nhập vào mạng lưới công ty và truy cập vào các thông tin nhạy cảm.

Ví dụ, kẻ tấn công mạng có thể khai thác lỗ hổng liên quan đến cơ chế xác thực trong mã nguồn để xâm nhập vào mạng. Hơn nữa, chúng cũng có thể cố gắng thao túng người dùng cuối ở phía máy khách thực hiện các hành động xâm nhập mạng, truy cập dữ liệu hoặc thực hiện các cuộc tấn công ransomware.

Nếu một ứng dụng, phần mềm hoặc hệ thống CNTT được triển khai trong thế giới thực có lỗ hổng bảo mật, điều này sẽ khiến thông tin nhạy cảm có nguy cơ bị xâm phạm.

Do đó, các tổ chức nên thiết lập và triển khai quy trình kiểm tra bảo mật phù hợp để xác định và khắc phục mọi lỗ hổng trong hệ thống CNTT trước khi triển khai vào thực tế.

Mục đích của Kiểm soát 8.29

Kiểm soát 8.29 cho phép các tổ chức xác minh rằng mọi yêu cầu về bảo mật thông tin đều được đáp ứng khi các ứng dụng, cơ sở dữ liệu, phần mềm hoặc mã mới được đưa vào vận hành bằng cách thiết lập và áp dụng quy trình kiểm tra bảo mật mạnh mẽ.

Điều này giúp các tổ chức phát hiện và loại bỏ các lỗ hổng trong mã, mạng, máy chủ, ứng dụng hoặc các hệ thống CNTT khác trước khi chúng được sử dụng trong thế giới thực.

Thuộc tính của Kiểm soát 8.29

Kiểm soát 8.29 mang tính phòng ngừa. Nó yêu cầu các tổ chức phải đưa các hệ thống thông tin mới và các phiên bản mới/đã cập nhật của chúng vào quy trình kiểm tra bảo mật trước khi chúng được phát hành vào môi trường sản xuất.

Quyền sở hữu kiểm soát 8.29

Xem xét rằng Kiểm soát 8.29 liên quan đến việc thiết lập, duy trì và triển khai quy trình kiểm tra bảo mật sẽ áp dụng cho tất cả các hệ thống thông tin mới dù được phát triển nội bộ hay bởi các bên bên ngoài, Cán bộ An ninh Thông tin phải chịu trách nhiệm tuân thủ.

Hướng dẫn chung về tuân thủ

Các tổ chức nên kết hợp thử nghiệm bảo mật vào quy trình thử nghiệm cho tất cả các hệ thống và phải đảm bảo rằng tất cả các hệ thống thông tin mới và các phiên bản mới/cập nhật của chúng đều đáp ứng các yêu cầu về bảo mật thông tin khi chúng ở trong môi trường sản xuất.

Kiểm soát 8.29 liệt kê ba yếu tố cần có trong quy trình kiểm tra bảo mật:

1. Các chức năng bảo mật như xác thực người dùng như được định nghĩa trong Kiểm soát 8..5, hạn chế truy cập như được quy định trong Kiểm soát 8.3 và mật mã như được đề cập trong Kiểm soát 8.24.
2. Mã hóa an toàn như mô tả trong Điều khiển 8.28.
3. Cấu hình bảo mật theo quy định trong Điều khiển 8.9, 8.20, 8.22. Điều này có thể bao gồm tường lửa và hệ điều hành.

Kế hoạch kiểm tra nên bao gồm những gì?

Khi thiết kế kế hoạch kiểm tra bảo mật, các tổ chức cần tính đến mức độ quan trọng và bản chất của hệ thống thông tin hiện tại.

Kế hoạch kiểm tra bảo mật phải bao gồm những nội dung sau:

• Thiết lập lịch trình chi tiết cho các hoạt động và thử nghiệm sẽ được tiến hành.
• Đầu vào và đầu ra dự kiến ​​sẽ xảy ra trong một tập hợp các điều kiện nhất định.
• Tiêu chí đánh giá kết quả.
• Nếu phù hợp, quyết định hành động sẽ dựa trên kết quả.

Phát triển nội bộ

Khi hệ thống CNTT được nhóm phát triển nội bộ phát triển, nhóm này phải tiến hành thử nghiệm bảo mật ban đầu để đảm bảo hệ thống CNTT đáp ứng các yêu cầu bảo mật.

Sau khi thử nghiệm ban đầu này, cần phải tiến hành thử nghiệm chấp nhận tính độc lập theo Kiểm soát 5.8.

Liên quan đến việc phát triển nội bộ, cần cân nhắc những điều sau:

• Thực hiện các hoạt động đánh giá mã để phát hiện và loại bỏ các lỗi bảo mật, bao gồm các điều kiện và đầu vào dự kiến.
• Thực hiện quét lỗ hổng để phát hiện cấu hình không an toàn và các lỗ hổng khác.
• Thực hiện các cuộc kiểm tra thâm nhập để phát hiện mã và thiết kế không an toàn.

Gia công ngoài

Các tổ chức phải tuân theo quy trình mua sắm nghiêm ngặt khi thuê ngoài hoạt động phát triển hoặc khi mua các thành phần CNTT từ bên ngoài.

Các tổ chức phải ký thỏa thuận với nhà cung cấp của mình và thỏa thuận này phải đề cập đến các yêu cầu về bảo mật thông tin theo quy định tại Mục kiểm soát 5.20.

Hơn nữa, các tổ chức phải đảm bảo rằng các sản phẩm và dịch vụ họ mua tuân thủ các tiêu chuẩn bảo mật thông tin.

Hướng dẫn bổ sung về Kiểm soát 8.29

Các tổ chức có thể tạo nhiều môi trường thử nghiệm để thực hiện nhiều loại thử nghiệm khác nhau như thử nghiệm chức năng, thử nghiệm phi chức năng và thử nghiệm hiệu suất.

Hơn nữa, họ có thể tạo môi trường thử nghiệm ảo và sau đó cấu hình các môi trường này để thử nghiệm hệ thống CNTT trong nhiều bối cảnh vận hành khác nhau.

Tiêu chuẩn kiểm soát 8.29 cũng lưu ý rằng việc thử nghiệm bảo mật hiệu quả đòi hỏi các tổ chức phải thử nghiệm và giám sát môi trường, công cụ và công nghệ thử nghiệm.

Cuối cùng, các tổ chức nên tính đến mức độ nhạy cảm và tính quan trọng của dữ liệu khi xác định số lớp siêu thử nghiệm.

Những thay đổi và khác biệt so với ISO 27002:2013

27002:2022/8.29 thay thế 27002:2013/(14.2.8 và 14.2.9)

Những thay đổi về cấu trúc

Trong khi Phiên bản 2022 đề cập đến thử nghiệm an toàn trong một Kiểm soát duy nhất, phiên bản 2013 đề cập đến thử nghiệm an toàn trong hai kiểm soát riêng biệt; Kiểm tra bảo mật hệ thống trong Kiểm soát 14.2.8 và Kiểm tra chấp nhận hệ thống trong Kiểm soát 14.2.9

Kiểm soát 8.29 mang lại các yêu cầu toàn diện hơn

Ngược lại với phiên bản năm 2013, Phiên bản năm 2022 bao gồm các yêu cầu và khuyến nghị chi tiết hơn về những nội dung sau:

• Kế hoạch kiểm tra bảo mật và những nội dung cần có.
• Tiêu chí kiểm tra bảo mật cho việc phát triển hệ thống CNTT nội bộ.
• Quy trình kiểm tra bảo mật và những gì cần thực hiện.
• Sử dụng nhiều môi trường thử nghiệm.

Phiên bản 2013 chi tiết hơn về Kiểm tra chấp nhận

Ngược lại với Phiên bản 2022, phiên bản 2013 mang tính quy định hơn đối với việc thử nghiệm chấp nhận hệ thống. Phiên bản này bao gồm các yêu cầu như thử nghiệm bảo mật trên các thành phần đã nhận và sử dụng các công cụ tự động.

Tội phạm mạng liên tục phát minh ra những cách thức mới và cải tiến chiến lược để xâm nhập vào mạng lưới công ty và truy cập vào các thông tin nhạy cảm.

Ví dụ, kẻ tấn công mạng có thể khai thác lỗ hổng liên quan đến cơ chế xác thực trong mã nguồn để xâm nhập vào mạng. Hơn nữa, chúng cũng có thể cố gắng thao túng người dùng cuối ở phía máy khách thực hiện các hành động xâm nhập mạng, truy cập dữ liệu hoặc thực hiện các cuộc tấn công ransomware.

Nếu một ứng dụng, phần mềm hoặc hệ thống CNTT được triển khai trong thế giới thực có lỗ hổng bảo mật, điều này sẽ khiến thông tin nhạy cảm có nguy cơ bị xâm phạm.

Do đó, các tổ chức nên thiết lập và triển khai quy trình kiểm tra bảo mật phù hợp để xác định và khắc phục mọi lỗ hổng trong hệ thống CNTT trước khi triển khai vào thực tế.

Mục đích của Kiểm soát 8.29

Kiểm soát 8.29 cho phép các tổ chức xác minh rằng mọi yêu cầu về bảo mật thông tin đều được đáp ứng khi các ứng dụng, cơ sở dữ liệu, phần mềm hoặc mã mới được đưa vào vận hành bằng cách thiết lập và áp dụng quy trình kiểm tra bảo mật mạnh mẽ.

Điều này giúp các tổ chức phát hiện và loại bỏ các lỗ hổng trong mã, mạng, máy chủ, ứng dụng hoặc các hệ thống CNTT khác trước khi chúng được sử dụng trong thế giới thực.

Thuộc tính của Kiểm soát 8.29

Kiểm soát 8.29 mang tính phòng ngừa. Nó yêu cầu các tổ chức phải đưa các hệ thống thông tin mới và các phiên bản mới/đã cập nhật của chúng vào quy trình kiểm tra bảo mật trước khi chúng được phát hành vào môi trường sản xuất.

Quyền sở hữu kiểm soát 8.29

Xem xét rằng Kiểm soát 8.29 liên quan đến việc thiết lập, duy trì và triển khai quy trình kiểm tra bảo mật sẽ áp dụng cho tất cả các hệ thống thông tin mới dù được phát triển nội bộ hay bởi các bên bên ngoài, Cán bộ An ninh Thông tin phải chịu trách nhiệm tuân thủ.

Hướng dẫn chung về tuân thủ

Các tổ chức nên kết hợp thử nghiệm bảo mật vào quy trình thử nghiệm cho tất cả các hệ thống và phải đảm bảo rằng tất cả các hệ thống thông tin mới và các phiên bản mới/cập nhật của chúng đều đáp ứng các yêu cầu về bảo mật thông tin khi chúng ở trong môi trường sản xuất.

Kiểm soát 8.29 liệt kê ba yếu tố cần có trong quy trình kiểm tra bảo mật:

1. Các chức năng bảo mật như xác thực người dùng như được định nghĩa trong Kiểm soát 8..5, hạn chế truy cập như được quy định trong Kiểm soát 8.3 và mật mã như được đề cập trong Kiểm soát 8.24.
2. Mã hóa an toàn như mô tả trong Điều khiển 8.28.
3. Cấu hình bảo mật theo quy định trong Điều khiển 8.9, 8.20, 8.22. Điều này có thể bao gồm tường lửa và hệ điều hành.

Kế hoạch kiểm tra nên bao gồm những gì?

Khi thiết kế kế hoạch kiểm tra bảo mật, các tổ chức cần tính đến mức độ quan trọng và bản chất của hệ thống thông tin hiện tại.

Kế hoạch kiểm tra bảo mật phải bao gồm những nội dung sau:

• Thiết lập lịch trình chi tiết cho các hoạt động và thử nghiệm sẽ được tiến hành.
• Đầu vào và đầu ra dự kiến ​​sẽ xảy ra trong một tập hợp các điều kiện nhất định.
• Tiêu chí đánh giá kết quả.
• Nếu phù hợp, quyết định hành động sẽ dựa trên kết quả.

Phát triển nội bộ

Khi hệ thống CNTT được nhóm phát triển nội bộ phát triển, nhóm này phải tiến hành thử nghiệm bảo mật ban đầu để đảm bảo hệ thống CNTT đáp ứng các yêu cầu bảo mật.

Sau khi thử nghiệm ban đầu này, cần phải tiến hành thử nghiệm chấp nhận tính độc lập theo Kiểm soát 5.8.

Liên quan đến việc phát triển nội bộ, cần cân nhắc những điều sau:

• Thực hiện các hoạt động đánh giá mã để phát hiện và loại bỏ các lỗi bảo mật, bao gồm các điều kiện và đầu vào dự kiến.
• Thực hiện quét lỗ hổng để phát hiện cấu hình không an toàn và các lỗ hổng khác.
• Thực hiện các cuộc kiểm tra thâm nhập để phát hiện mã và thiết kế không an toàn.

Gia công ngoài

Các tổ chức phải tuân theo quy trình mua sắm nghiêm ngặt khi thuê ngoài hoạt động phát triển hoặc khi mua các thành phần CNTT từ bên ngoài.

Các tổ chức phải ký thỏa thuận với nhà cung cấp của mình và thỏa thuận này phải đề cập đến các yêu cầu về bảo mật thông tin theo quy định tại Mục kiểm soát 5.20.

Hơn nữa, các tổ chức phải đảm bảo rằng các sản phẩm và dịch vụ họ mua tuân thủ các tiêu chuẩn bảo mật thông tin.

Hướng dẫn bổ sung về Kiểm soát 8.29

Các tổ chức có thể tạo nhiều môi trường thử nghiệm để thực hiện nhiều loại thử nghiệm khác nhau như thử nghiệm chức năng, thử nghiệm phi chức năng và thử nghiệm hiệu suất.

Hơn nữa, họ có thể tạo môi trường thử nghiệm ảo và sau đó cấu hình các môi trường này để thử nghiệm hệ thống CNTT trong nhiều bối cảnh vận hành khác nhau.

Tiêu chuẩn kiểm soát 8.29 cũng lưu ý rằng việc thử nghiệm bảo mật hiệu quả đòi hỏi các tổ chức phải thử nghiệm và giám sát môi trường, công cụ và công nghệ thử nghiệm.

Cuối cùng, các tổ chức nên tính đến mức độ nhạy cảm và tính quan trọng của dữ liệu khi xác định số lớp siêu thử nghiệm.

Những thay đổi và khác biệt so với ISO 27002:2013

27002:2022/8.29 thay thế 27002:2013/(14.2.8 và 14.2.9)

Những thay đổi về cấu trúc

Trong khi Phiên bản 2022 đề cập đến thử nghiệm an toàn trong một Kiểm soát duy nhất, phiên bản 2013 đề cập đến thử nghiệm an toàn trong hai kiểm soát riêng biệt; Kiểm tra bảo mật hệ thống trong Kiểm soát 14.2.8 và Kiểm tra chấp nhận hệ thống trong Kiểm soát 14.2.9

Kiểm soát 8.29 mang lại các yêu cầu toàn diện hơn

Ngược lại với phiên bản năm 2013, Phiên bản năm 2022 bao gồm các yêu cầu và khuyến nghị chi tiết hơn về những nội dung sau:

• Kế hoạch kiểm tra bảo mật và những nội dung cần có.
• Tiêu chí kiểm tra bảo mật cho việc phát triển hệ thống CNTT nội bộ.
• Quy trình kiểm tra bảo mật và những gì cần thực hiện.
• Sử dụng nhiều môi trường thử nghiệm.

Phiên bản 2013 chi tiết hơn về Kiểm tra chấp nhận

Ngược lại với Phiên bản 2022, phiên bản 2013 mang tính quy định hơn đối với việc thử nghiệm chấp nhận hệ thống. Phiên bản này bao gồm các yêu cầu như thử nghiệm bảo mật trên các thành phần đã nhận và sử dụng các công cụ tự động.