Unnlatelse av å skille utviklings-, test- og produksjonsmiljøer på riktig måte kan føre til tap av tilgjengelighet, konfidensialitet og integritet til informasjonsressurser.
For eksempel, Uber publisert ved et uhell et kodelager på Github som inneholdt passord til brukere fra produksjonsmiljøet, noe som resulterte i tap av konfidensialitet for sensitiv informasjon.
Derfor bør organisasjoner implementere passende prosedyrer og kontroller for å skille utviklings-, test- og produksjonsmiljøer på en sikker måte for å eliminere sikkerhetsrisikoer.
Kontroll 8.31 gjør det mulig for organisasjoner å opprettholde konfidensialitet, integritet og tilgjengelighet til sensitive informasjonsressurser ved å skille utviklings-, test- og produksjonsmiljøer gjennom passende prosedyrer, kontroller og retningslinjer.
Kontroll 8.31 er forebyggende og krever at organisasjoner på forhånd etablerer og bruker prosesser og tekniske kontroller for å skille utviklings-, test- og produksjonsmiljøene på en sikker måte.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Applikasjonssikkerhet #System- og nettverkssikkerhet | #Beskyttelse |
Tatt i betraktning at Kontroll 8.31 innebærer etablering og implementering av organisasjonsomfattende prosesser og kontroller for å separere ulike programvaremiljøer, skal informasjonssikkerhetssjef, med hjelp av utviklingsteamet, være det endelige ansvaret for overholdelse.
Organisasjoner bør ta hensyn til potensielle produksjonsproblemer som bør forhindres når de bestemmer det nødvendige nivået av separasjon mellom de tre miljøene.
Spesielt anbefaler Control 8.31 organisasjoner å vurdere følgende syv kriterier:
Organisasjoner bør beskytte utviklings- og testmiljøer mot sikkerhetsrisikoer ved å ta hensyn til følgende:
Videre bør ingen enkeltperson gis privilegiet til å gjøre endringer i både utviklings- og produksjonsmiljøer uten å ha fått godkjenning først. For å forhindre dette kan organisasjoner skille tilgangsrettigheter eller etablere og implementere tilgangskontroller.
I tillegg kan organisasjoner også vurdere ekstra tekniske kontroller som logging av alle tilgangsaktiviteter og sanntidsovervåking av all tilgang til disse miljøene.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Hvis organisasjoner ikke gjennomfører nødvendige tiltak, kan informasjonssystemene deres stå overfor betydelige sikkerhetsrisikoer.
For eksempel kan utviklere og testere med tilgang til produksjonsmiljøet gjøre uønskede endringer i filer eller systemmiljøer, kjøre uautorisert kode eller ved et uhell avsløre sensitiv informasjon.
Derfor trenger organisasjoner et stabilt miljø for å utføre robuste tester på koden og for å hindre utviklere fra å få tilgang til produksjonsmiljøene der sensitive data fra den virkelige verden er vert for og behandlet.
Organisasjoner bør også ta i bruk tiltak som utpekte roller sammen med krav til pliktseparasjon.
En annen trussel mot konfidensialiteten til produksjonsdata er utviklings- og testpersonell. Når utviklings- og testteamene utfører sine aktiviteter ved å bruke de samme dataenhetene, kan de ved et uhell gjøre endringer i sensitiv informasjon eller programvare.
Organisasjoner anbefales å etablere støttende prosesser for bruk av produksjonsdata i test- og utviklingssystemer i samsvar med kontroll 8.33.
Dessuten bør organisasjoner ta hensyn til tiltakene som er adressert i denne kontrollen når de utfører sluttbrukeropplæring i opplæringsmiljøer.
Sist, men ikke minst, kan organisasjoner bevisst viske ut grensene mellom utviklings-, test- og produksjonsmiljøer. For eksempel kan testing utføres i et utviklingsmiljø eller produkttesting kan utføres ved faktisk bruk av produktet av ansatte i organisasjonen.
27002:2022/8.31 erstatter 27002:2013/(12.1.4 og 14.2.6)
Selv om de to versjonene er like i stor grad, er det to forskjeller som bør fremheves.
Kontroll 14.2.6 i 2013-versjonen tar for seg sikre utviklingsmiljøer og lister opp 10 anbefalinger som organisasjoner bør ta hensyn til når de bygger et utviklingsmiljø.
2022-versjonen, derimot, inneholdt ikke noen av disse anbefalingene, for eksempel sikkerhetskopiering på et sted utenfor stedet og restriksjoner på overføring av data.
I motsetning til 2013-versjonen gir kontroll 8.31 i 2022-versjonen veiledning om hvordan produkttesting skal utføres og om bruk av produksjonsdata i henhold til kontroll 8.33.
ISMS.Online-plattformen hjelper med alle aspekter ved implementering av ISO 27002, fra styring av risikovurderingsaktiviteter til utvikling av retningslinjer, prosedyrer og retningslinjer for å overholde standardens krav.
Det gir en måte å dokumentere funnene dine og kommunisere dem med teammedlemmene dine på nettet. ISMS.Online lar deg også lage og lagre sjekklister for alle oppgavene som er involvert i implementeringen av ISO 27002, slik at du enkelt kan spore fremdriften til organisasjonens sikkerhetsprogram.
Med sitt automatiserte verktøysett gjør ISMS.Online det enkelt for organisasjoner å demonstrere samsvar med ISO 27002-standarden.
Kontakt oss i dag for planlegg en demonstrasjon.
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
