Sikring af sikker adskillelse af udviklings-, test- og produktionsmiljøer
Manglende adskillelse af udviklings-, test- og produktionsmiljøer kan resultere i tab af tilgængelighed, fortrolighed og integritet af informationsaktiver.
For eksempel: Uber blev ved et uheld offentliggjort et kodelager på Github, der indeholdt adgangskoder til brugere fra produktionsmiljøet, hvilket resulterede i tab af fortrolighed af følsomme oplysninger.
Derfor bør organisationer implementere passende procedurer og kontroller for sikkert at adskille udviklings-, test- og produktionsmiljøer for at eliminere sikkerhedsrisici.
Formål med kontrol 8.31
Kontrol 8.31 gør det muligt for organisationer at opretholde fortroligheden, integriteten og tilgængeligheden af følsomme informationsaktiver ved at adskille udviklings-, test- og produktionsmiljøer gennem passende procedurer, kontroller og politikker.
Attributter Kontroltabel 8.31
Kontrol 8.31 er af forebyggende karakter, og den kræver, at organisationer forebyggende etablerer og anvender processer og tekniske kontroller for sikkert at adskille udviklings-, test- og produktionsmiljøerne.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | #Applikationssikkerhed | #Beskyttelse |
| #Integritet | #System- og netværkssikkerhed | |||
| #Tilgængelighed |
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af kontrol 8.31
I betragtning af, at Kontrol 8.31 indebærer etablering og implementering af organisationsdækkende processer og kontroller for at adskille forskellige softwaremiljøer, er den øverste informationssikkerhedschef, med hjælp fra udviklingsteamet, i sidste ende ansvarlig for overholdelse.
Generel vejledning om overholdelse
Organisationer bør tage højde for de potentielle produktionsproblemer, der bør forhindres, når de bestemmer det nødvendige niveau af adskillelse mellem de tre miljøer.
Især anbefaler Control 8.31 organisationer at overveje følgende syv kriterier:
- Adskillelse og drift af udviklings- og produktionssystemer i tilstrækkelig grad. For eksempel kan brugen af separate virtuelle og fysiske miljøer til produktion være en effektiv metode.
- Passende regler og godkendelsesprocedurer bør etableres, dokumenteres og anvendes for brug af software i produktionsmiljøet efter at have gennemgået udviklingsmiljøet.
- Organisationer bør gennemgå og teste ændringer foretaget af applikationer og produktionssystemer i et testmiljø adskilt fra produktionsmiljøet, før disse ændringer bruges i produktionsmiljøet.
- Testning i produktionsmiljøer bør ikke tillades, medmindre en sådan testning er defineret og godkendt før testning.
- Udviklingsværktøjer såsom compilere og editorer bør ikke være tilgængelige fra produktionsmiljøerne, medmindre denne adgang er absolut nødvendig.
- For at minimere fejl bør korrekte miljøidentifikationsetiketter vises tydeligt i menuerne.
- Følsomme informationsaktiver bør ikke overføres til udviklings- og testmiljøer, medmindre tilsvarende sikkerhedsforanstaltninger anvendes i udviklings- og testsystemerne.
Supplerende vejledning om beskyttelse af udviklings- og testmiljøer
Organisationer bør beskytte udviklings- og testmiljøer mod sikkerhedsrisici under hensyntagen til følgende:
- Alle udviklings-, integrations- og testværktøjer såsom bygherrer, integratorer og biblioteker bør jævnligt patches og opdateres.
- Alle systemer og software skal konfigureres sikkert.
- Adgang til miljøer bør være underlagt passende kontrol.
- Ændringer i miljøer og kode, der er gemt i det, bør overvåges og gennemgås.
- Miljøer bør overvåges og revideres sikkert.
- Miljøer bør bakkes op.
Ydermere bør intet enkelt individ have det privilegium at foretage ændringer i både udviklings- og produktionsmiljøer uden først at opnå godkendelse. For at forhindre dette kan organisationer adskille adgangsrettigheder eller etablere og implementere adgangskontroller.
Derudover kan organisationer også overveje ekstra tekniske kontroller såsom logning af alle adgangsaktiviteter og realtidsovervågning af al adgang til disse miljøer.
Supplerende vejledning om kontrol 8.31
Hvis organisationer undlader at implementere nødvendige foranstaltninger, kan deres informationssystemer stå over for betydelige sikkerhedsrisici.
For eksempel kan udviklere og testere med adgang til produktionsmiljøet foretage uønskede ændringer i filer eller systemmiljøer, udføre uautoriseret kode eller ved et uheld afsløre følsomme oplysninger.
Derfor har organisationer brug for et stabilt miljø til at udføre robuste test af koden og for at forhindre udviklere i at få adgang til produktionsmiljøer, hvor følsomme data fra den virkelige verden hostes og behandles.
Organisationer bør også anvende foranstaltninger såsom udpegede roller sammen med krav om adskillelse af opgaver.
En anden trussel mod fortroligheden af produktionsdata er udviklings- og testpersonalet. Når udviklings- og testholdene udfører deres aktiviteter ved hjælp af de samme computerenheder, kan de ved et uheld foretage ændringer i følsomme oplysninger eller softwareprogrammer.
Organisationer rådes til at etablere understøttende processer for brugen af produktionsdata i test- og udviklingssystemer i overensstemmelse med kontrol 8.33.
Desuden bør organisationer tage højde for de foranstaltninger, der er behandlet i denne kontrol, når de udfører slutbrugeruddannelse i træningsmiljøer.
Sidst, men ikke mindst, kan organisationer bevidst udviske grænserne mellem udviklings-, test- og produktionsmiljøer. For eksempel kan test udføres i et udviklingsmiljø, eller produkttest kan udføres ved faktisk brug af produktet af personalet i organisationen.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
27002:2022/8.31 erstatter 27002:2013/(12.1.4 og 14.2.6)
Selvom de to versioner i høj grad ligner hinanden, er der to forskelle, der bør fremhæves.
Kontrol 14.2.6 i 2013-versionen giver mere detaljeret vejledning om sikre udviklingsmiljøer
Kontrol 14.2.6 i 2013-versionen omhandler sikre udviklingsmiljøer og lister 10 anbefalinger, som organisationer bør tage hensyn til, når de bygger et udviklingsmiljø.
I modsætning hertil indeholdt 2022-versionen ikke nogle af disse anbefalinger, såsom sikkerhedskopiering på et eksternt sted og begrænsninger for overførsel af data.
Kontrol 8.31 Omhandler produkttest og brug af produktionsdata
I modsætning til 2013-versionen giver kontrol 8.31 i 2022-versionen vejledning om, hvordan produkttest skal udføres, og om brug af produktionsdata i overensstemmelse med kontrol 8.33.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Hvordan ISMS.online hjælper
ISMS.Online-platformen hjælper med alle aspekter af implementering af ISO 27002, lige fra styring af risikovurderingsaktiviteter til udvikling af politikker, procedurer og retningslinjer for overholdelse af standardens krav.
Det giver en måde at dokumentere dine resultater og kommunikere dem med dine teammedlemmer online. ISMS.Online giver dig også mulighed for at oprette og gemme tjeklister for alle de opgaver, der er involveret i implementeringen af ISO 27002, så du nemt kan spore fremskridtene i din organisations sikkerhedsprogram.
Med sit automatiserede værktøjssæt gør ISMS.Online det nemt for organisationer at demonstrere overholdelse af ISO 27002-standarden.
Kontakt os i dag for planlæg en demo.
