Skip to main content

8.19 Instalacja oprogramowania na systemach operacyjnych

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczna konfiguracja, Bezpieczeństwo aplikacji
Obszary operacyjne: Ochrona

Kontrola

Procedury i środki powinny zostać wdrożone w celu bezpiecznego zarządzania instalacją oprogramowania na systemach operacyjnych.

Cel

Zapewnienie integralności systemów operacyjnych i zapobieganie wykorzystaniu technicznych podatności.

Wytyczne

Należy uwzględnić następujące zasady w celu bezpiecznego zarządzania zmianami i instalacją oprogramowania na systemach operacyjnych:

a) przeprowadzanie aktualizacji oprogramowania operacyjnego wyłącznie przez przeszkolonych administratorów i po odpowiednim zatwierdzeniu przez zarząd (zob. 8.5);
b) zapewnienie, że na systemach operacyjnych instalowane jest tylko zatwierdzone oprogramowanie wykonywalne, bez kodu deweloperskiego i kompilatorów;
c) instalowanie i aktualizowanie oprogramowania wyłącznie po przeprowadzeniu szeroko zakrojonych i pomyślnych testów (zob. 8.29 i 8.31);
d) aktualizowanie wszystkich odpowiednich bibliotek źródłowych programów;
e) stosowanie systemu kontroli konfiguracji w celu zarządzania całym oprogramowaniem operacyjnym oraz dokumentacją systemową;
f) definiowanie strategii wycofywania zmian przed ich wdrożeniem;
g) prowadzenie dziennika audytu zawierającego wszystkie aktualizacje oprogramowania operacyjnego;
h) archiwizowanie starszych wersji oprogramowania wraz z wszystkimi wymaganymi informacjami i parametrami, procedurami, szczegółami konfiguracji oraz oprogramowaniem wspierającym, jako środek zapobiegawczy, tak długo, jak jest to konieczne do odczytu lub przetwarzania zarchiwizowanych danych.

Decyzja o aktualizacji do nowej wersji powinna uwzględniać wymagania biznesowe oraz bezpieczeństwo wersji (np. wprowadzenie nowych funkcji bezpieczeństwa lub liczbę i wagę podatności dotyczących obecnej wersji). Łatki oprogramowania powinny być stosowane, gdy mogą pomóc w eliminacji lub redukcji podatności bezpieczeństwa informacji (zob. 8.8 i 8.19).

Oprogramowanie komputerowe może polegać na zewnętrznych dostawcach oraz pakietach (np. moduły oprogramowania hostowane na zewnętrznych serwerach), które powinny być monitorowane i kontrolowane w celu uniknięcia nieautoryzowanych zmian, ponieważ mogą one wprowadzić podatności bezpieczeństwa.

Oprogramowanie dostarczane przez dostawców, używane w systemach operacyjnych, powinno być utrzymywane na poziomie wspieranym przez dostawcę. Z czasem dostawcy oprogramowania przestają wspierać starsze wersje. Organizacja powinna rozważyć ryzyko związane z poleganiem na niewspieranym oprogramowaniu.

Podobnie oprogramowanie open-source wykorzystywane w systemach operacyjnych powinno być utrzymywane na najnowszej odpowiedniej wersji. Oprogramowanie open-source może przestać być utrzymywane, mimo że nadal jest dostępne w repozytoriach. Organizacja powinna rozważyć ryzyko korzystania z nieaktualizowanego oprogramowania open-source.

Jeśli dostawcy są zaangażowani w instalację lub aktualizację oprogramowania, dostęp fizyczny lub logiczny powinien być przyznawany wyłącznie w razie potrzeby i za odpowiednią autoryzacją. Działania dostawców powinny być monitorowane (zob. 5.22).

Organizacja powinna definiować i egzekwować ścisłe zasady dotyczące rodzajów oprogramowania, jakie użytkownicy mogą instalować.
Zasada najmniejszych uprawnień powinna być stosowana do instalacji oprogramowania na systemach operacyjnych.
Organizacja powinna określić, jakie typy instalacji są dozwolone (np. aktualizacje i poprawki zabezpieczeń), a jakie zabronione (np. oprogramowanie do użytku osobistego i oprogramowanie o nieznanym lub podejrzanym pochodzeniu). Uprawnienia te powinny być przyznawane zgodnie z rolami użytkowników.

Inne informacje

Brak dodatkowych informacji.