Manglende adskillelse af udviklings-, test- og produktionsmiljøer kan resultere i tab af tilgængelighed, fortrolighed og integritet af informationsaktiver.
For eksempel: Uber blev ved et uheld offentliggjort et kodelager på Github, der indeholdt adgangskoder til brugere fra produktionsmiljøet, hvilket resulterede i tab af fortrolighed af følsomme oplysninger.
Derfor bør organisationer implementere passende procedurer og kontroller for sikkert at adskille udviklings-, test- og produktionsmiljøer for at eliminere sikkerhedsrisici.
Kontrol 8.31 gør det muligt for organisationer at opretholde fortroligheden, integriteten og tilgængeligheden af følsomme informationsaktiver ved at adskille udviklings-, test- og produktionsmiljøer gennem passende procedurer, kontroller og politikker.
Kontrol 8.31 er af forebyggende karakter, og den kræver, at organisationer forebyggende etablerer og anvender processer og tekniske kontroller for sikkert at adskille udviklings-, test- og produktionsmiljøerne.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Applikationssikkerhed #System- og netværkssikkerhed | #Beskyttelse |
I betragtning af, at Kontrol 8.31 indebærer etablering og implementering af organisationsdækkende processer og kontroller for at adskille forskellige softwaremiljøer, er den øverste informationssikkerhedschef, med hjælp fra udviklingsteamet, i sidste ende ansvarlig for overholdelse.
Organisationer bør tage højde for de potentielle produktionsproblemer, der bør forhindres, når de bestemmer det nødvendige niveau af adskillelse mellem de tre miljøer.
Især anbefaler Control 8.31 organisationer at overveje følgende syv kriterier:
Organisationer bør beskytte udviklings- og testmiljøer mod sikkerhedsrisici under hensyntagen til følgende:
Ydermere bør intet enkelt individ have det privilegium at foretage ændringer i både udviklings- og produktionsmiljøer uden først at opnå godkendelse. For at forhindre dette kan organisationer adskille adgangsrettigheder eller etablere og implementere adgangskontroller.
Derudover kan organisationer også overveje ekstra tekniske kontroller såsom logning af alle adgangsaktiviteter og realtidsovervågning af al adgang til disse miljøer.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Hvis organisationer undlader at implementere nødvendige foranstaltninger, kan deres informationssystemer stå over for betydelige sikkerhedsrisici.
For eksempel kan udviklere og testere med adgang til produktionsmiljøet foretage uønskede ændringer i filer eller systemmiljøer, udføre uautoriseret kode eller ved et uheld afsløre følsomme oplysninger.
Derfor har organisationer brug for et stabilt miljø til at udføre robuste test af koden og for at forhindre udviklere i at få adgang til produktionsmiljøer, hvor følsomme data fra den virkelige verden hostes og behandles.
Organisationer bør også anvende foranstaltninger såsom udpegede roller sammen med krav om adskillelse af opgaver.
En anden trussel mod fortroligheden af produktionsdata er udviklings- og testpersonalet. Når udviklings- og testholdene udfører deres aktiviteter ved hjælp af de samme computerenheder, kan de ved et uheld foretage ændringer i følsomme oplysninger eller softwareprogrammer.
Organisationer rådes til at etablere understøttende processer for brugen af produktionsdata i test- og udviklingssystemer i overensstemmelse med kontrol 8.33.
Desuden bør organisationer tage højde for de foranstaltninger, der er behandlet i denne kontrol, når de udfører slutbrugeruddannelse i træningsmiljøer.
Sidst, men ikke mindst, kan organisationer bevidst udviske grænserne mellem udviklings-, test- og produktionsmiljøer. For eksempel kan test udføres i et udviklingsmiljø, eller produkttest kan udføres ved faktisk brug af produktet af personalet i organisationen.
27002:2022/8.31 erstatter 27002:2013/(12.1.4 og 14.2.6)
Selvom de to versioner i høj grad ligner hinanden, er der to forskelle, der bør fremhæves.
Kontrol 14.2.6 i 2013-versionen omhandler sikre udviklingsmiljøer og lister 10 anbefalinger, som organisationer bør tage hensyn til, når de bygger et udviklingsmiljø.
I modsætning hertil indeholdt 2022-versionen ikke nogle af disse anbefalinger, såsom sikkerhedskopiering på et eksternt sted og begrænsninger for overførsel af data.
I modsætning til 2013-versionen giver kontrol 8.31 i 2022-versionen vejledning om, hvordan produkttest skal udføres, og om brug af produktionsdata i overensstemmelse med kontrol 8.33.
ISMS.Online-platformen hjælper med alle aspekter af implementering af ISO 27002, lige fra styring af risikovurderingsaktiviteter til udvikling af politikker, procedurer og retningslinjer for overholdelse af standardens krav.
Det giver en måde at dokumentere dine resultater og kommunikere dem med dine teammedlemmer online. ISMS.Online giver dig også mulighed for at oprette og gemme tjeklister for alle de opgaver, der er involveret i implementeringen af ISO 27002, så du nemt kan spore fremskridtene i din organisations sikkerhedsprogram.
Med sit automatiserede værktøjssæt gør ISMS.Online det nemt for organisationer at demonstrere overholdelse af ISO 27002-standarden.
Kontakt os i dag for planlæg en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |