4.9 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+=====================================================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- _en_toegangsbeheer #Toepassingsbeveili- ging #Veilige_configuratie | #Bescherming | +------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------+---------------------+
Beheersmaatregel
Lees- en schrijftoegang tot broncode, ontwikkelinstrumenten en softwarebibliotheken behoort op passende wijze te worden beheerd.
Doel
Voorkomen dat er ongeoorloofde functionaliteit wordt geïntroduceerd, vermijden dat onbedoelde of kwaadwillige wijzigingen plaatsvinden en de vertrouwelijkheid behouden van waardevol intellectueel eigendom.
Richtlijn
Toegang tot broncode en gerelateerde zaken (zoals ontwerpen, specificaties, verificatieplannen en validatieplannen) en ontwikkelinstrumenten (bijvompilers, builders, integratie-instrumenten, testplatformen en -omgevingen) behoort streng te worden beheerst.
Met betrekking tot broncode kan dit worden bereikt door de code gecontroleerd centraal op te slaan, bij voorkeur in een broncodebeheersysteem.
Lees- en schrijftoegang tot broncode kan verschillen op basis van de rol van het personeelo kan leestoegang tot broncode binnen de organisatie breed worden aangeboden, maar schrijftoegang tot broncode worden voorbehouden aan speciaal personeel of aangewezen eigenarenndien codecomponenten door verschillende ontwikkelaars binnen een organisatie worden hergebruikt, behoort leestoegang tot een gecentraliseerde broncodebibliotheek te worden geïmplementeerd.
Bovendien kan, indien binnen een organisatie open broncode of codecomponenten van derden worden gebruikt, de leestoegang tot dergelijke externe broncodebibliotheken ook breed worden aangebodene schrijftoegang behoort echter nog steeds te worden beperkt.
De volgende richtlijnen behoren te worden overwogen om de toegang tot broncodebibliotheken te beheersen en zo de kans op corruptie van computerprogramma's te verkleinen:
a) de toegang tot programmabroncode en de programmabronbibliotheken volgens vastgestelde
procedures beheren;
b) lees- en schrijftoegang tot broncode op basis van de bedrijfsbehoeften verlenen, dusdanig beheerd
dat de risico's op wijziging of misbruik worden opgepakt en volgens vastgestelde procedures;
c) de procedures voor wijzigingsbeheer (zie 8.32) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen;
d) ontwikkelaars geen rechtstreekse toegang tot de broncodebibliotheek verlenen, maar via
ontwikkelinstrumenten die activiteiten en autorisaties met betrekking tot de broncode beheersen;
e) lijsten van programma's in een beveiligde omgeving bewaren waar lees- en schrijftoegang op
passende wijze behoort te worden beheerd en toegewezen;
f) een auditlogbestand bijhouden van alle toegangsinstanties en van alle wijzigingen aan de broncode.
Indien het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die de integriteit ervan waarborgen (bijven digitale handtekening), te worden overwogen.
Overige informatie
Indien de toegang tot broncode niet naar behoren wordt beveiligd, kunnen onbevoegden broncode aanpassen of bepaalde gegevens in de ontwikkelomgeving (bijvopieën van productiegegevens, configuratiedetails) opvragen.