Separasjon av utviklings-, test- og produksjonsmiljøer

ISO 27002:2022 – Kontroll 8.31 – Separasjon av utviklings-, test- og produksjonsmiljøer

ISO 27002 Kontroll 8.31 understreker viktigheten av å skille utviklings-, test- og produksjonsmiljøer for å forhindre sikkerhetsrisikoer, som dataeksponering eller uautorisert tilgang. Den skisserer viktige beste praksiser, inkludert streng segregering, autorisasjonskontroller og tilgangsbegrensninger, for å opprettholde dataintegritet og sikkerhet.

Sikre sikker adskillelse av utviklings-, test- og produksjonsmiljøer

Unnlatelse av å skille utviklings-, test- og produksjonsmiljøer på riktig måte kan føre til tap av tilgjengelighet, konfidensialitet og integritet til informasjonsressurser.

For eksempel, Uber publisert ved et uhell et kodelager på Github som inneholdt passord til brukere fra produksjonsmiljøet, noe som resulterte i tap av konfidensialitet for sensitiv informasjon.

Derfor bør organisasjoner implementere passende prosedyrer og kontroller for å skille utviklings-, test- og produksjonsmiljøer på en sikker måte for å eliminere sikkerhetsrisikoer.

Formål med kontroll 8.31

Kontroll 8.31 gjør det mulig for organisasjoner å opprettholde konfidensialitet, integritet og tilgjengelighet til sensitive informasjonsressurser ved å skille utviklings-, test- og produksjonsmiljøer gjennom passende prosedyrer, kontroller og retningslinjer.

Attributttabell for kontroll 8.31

Kontroll 8.31 er forebyggende og krever at organisasjoner på forhånd etablerer og bruker prosesser og tekniske kontroller for å skille utviklings-, test- og produksjonsmiljøene på en sikker måte.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Beskytte	#Applikasjonssikkerhet	#Beskyttelse
	#Integritet		#System- og nettverkssikkerhet
	#Tilgjengelighet

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Eierskap til kontroll 8.31

Tatt i betraktning at Kontroll 8.31 innebærer etablering og implementering av organisasjonsomfattende prosesser og kontroller for å separere ulike programvaremiljøer, skal informasjonssikkerhetssjef, med hjelp av utviklingsteamet, være det endelige ansvaret for overholdelse.

Generell veiledning om samsvar

Organisasjoner bør ta hensyn til potensielle produksjonsproblemer som bør forhindres når de bestemmer det nødvendige nivået av separasjon mellom de tre miljøene.

Spesielt anbefaler Control 8.31 organisasjoner å vurdere følgende syv kriterier:

Segregering og drift av utviklings- og produksjonssystemer i tilstrekkelig grad. For eksempel kan bruk av separate virtuelle og fysiske miljøer for produksjon være en effektiv metode.
Hensiktsmessige regler og autorisasjonsprosedyrer bør etableres, dokumenteres og brukes for bruk av programvare i produksjonsmiljøet etter å ha gått gjennom utviklingsmiljøet.
Organisasjoner bør gjennomgå og teste endringer som er gjort i applikasjoner og produksjonssystemer i et testmiljø atskilt fra produksjonsmiljøet før disse endringene brukes i produksjonsmiljøet.
Testing i produksjonsmiljøer bør ikke tillates med mindre slik testing er definert og godkjent før testing.
Utviklingsverktøy som kompilatorer og redaktører skal ikke være tilgjengelig fra produksjonsmiljøene med mindre denne tilgangen er absolutt nødvendig.
For å minimere feil, bør riktige miljøidentifikasjonsetiketter vises tydelig i menyene.
Sensitive informasjonsressurser bør ikke overføres til utviklings- og testmiljøer med mindre tilsvarende sikkerhetstiltak brukes i utviklings- og testsystemene.

Supplerende veiledning om beskyttelse av utviklings- og testmiljøer

Organisasjoner bør beskytte utviklings- og testmiljøer mot sikkerhetsrisikoer ved å ta hensyn til følgende:

Alle utviklings-, integrasjons- og testverktøy som byggere, integratorer og biblioteker bør lappes og oppdateres regelmessig.
Alle systemer og programvare bør konfigureres sikkert.
Tilgang til miljøer bør være underlagt passende kontroller.
Endringer i miljøer og kode som er lagret i det bør overvåkes og gjennomgås.
Miljøer bør overvåkes og gjennomgås på en sikker måte.
Miljøer bør sikkerhetskopieres.

Videre bør ingen enkeltperson gis privilegiet til å gjøre endringer i både utviklings- og produksjonsmiljøer uten å ha fått godkjenning først. For å forhindre dette kan organisasjoner skille tilgangsrettigheter eller etablere og implementere tilgangskontroller.

I tillegg kan organisasjoner også vurdere ekstra tekniske kontroller som logging av alle tilgangsaktiviteter og sanntidsovervåking av all tilgang til disse miljøene.

Supplerende veiledning om kontroll 8.31

Hvis organisasjoner ikke gjennomfører nødvendige tiltak, kan informasjonssystemene deres stå overfor betydelige sikkerhetsrisikoer.

For eksempel kan utviklere og testere med tilgang til produksjonsmiljøet gjøre uønskede endringer i filer eller systemmiljøer, kjøre uautorisert kode eller ved et uhell avsløre sensitiv informasjon.

Derfor trenger organisasjoner et stabilt miljø for å utføre robuste tester på koden og for å hindre utviklere fra å få tilgang til produksjonsmiljøene der sensitive data fra den virkelige verden er vert for og behandlet.

Organisasjoner bør også ta i bruk tiltak som utpekte roller sammen med krav til pliktseparasjon.

En annen trussel mot konfidensialiteten til produksjonsdata er utviklings- og testpersonell. Når utviklings- og testteamene utfører sine aktiviteter ved å bruke de samme dataenhetene, kan de ved et uhell gjøre endringer i sensitiv informasjon eller programvare.

Organisasjoner anbefales å etablere støttende prosesser for bruk av produksjonsdata i test- og utviklingssystemer i samsvar med kontroll 8.33.

Dessuten bør organisasjoner ta hensyn til tiltakene som er adressert i denne kontrollen når de utfører sluttbrukeropplæring i opplæringsmiljøer.

Sist, men ikke minst, kan organisasjoner bevisst viske ut grensene mellom utviklings-, test- og produksjonsmiljøer. For eksempel kan testing utføres i et utviklingsmiljø eller produkttesting kan utføres ved faktisk bruk av produktet av ansatte i organisasjonen.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

27002:2022/8.31 erstatter 27002:2013/(12.1.4 og 14.2.6)

Selv om de to versjonene er like i stor grad, er det to forskjeller som bør fremheves.

Kontroll 14.2.6 i 2013-versjonen har gitt mer detaljert veiledning om sikre utviklingsmiljøer

Kontroll 14.2.6 i 2013-versjonen tar for seg sikre utviklingsmiljøer og lister opp 10 anbefalinger som organisasjoner bør ta hensyn til når de bygger et utviklingsmiljø.

2022-versjonen, derimot, inneholdt ikke noen av disse anbefalingene, for eksempel sikkerhetskopiering på et sted utenfor stedet og restriksjoner på overføring av data.

Kontroll 8.31 Omhandler produkttesting og bruk av produksjonsdata

I motsetning til 2013-versjonen gir kontroll 8.31 i 2022-versjonen veiledning om hvordan produkttesting skal utføres og om bruk av produksjonsdata i henhold til kontroll 8.33.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISMS.Online-plattformen hjelper med alle aspekter ved implementering av ISO 27002, fra styring av risikovurderingsaktiviteter til utvikling av retningslinjer, prosedyrer og retningslinjer for å overholde standardens krav.

Det gir en måte å dokumentere funnene dine og kommunisere dem med teammedlemmene dine på nettet. ISMS.Online lar deg også lage og lagre sjekklister for alle oppgavene som er involvert i implementeringen av ISO 27002, slik at du enkelt kan spore fremdriften til organisasjonens sikkerhetsprogram.

Med sitt automatiserte verktøysett gjør ISMS.Online det enkelt for organisasjoner å demonstrere samsvar med ISO 27002-standarden.

Kontakt oss i dag for planlegg en demonstrasjon.

Vi er ledende innen vårt felt