ISO 27002:2022, Kontrol 8.31 – Adskillelse af udviklings-, test- og produktionsmiljøer

Ejerskab af kontrol 8.31

I betragtning af, at Kontrol 8.31 indebærer etablering og implementering af organisationsdækkende processer og kontroller for at adskille forskellige softwaremiljøer, er den øverste informationssikkerhedschef, med hjælp fra udviklingsteamet, i sidste ende ansvarlig for overholdelse.

Generel vejledning om overholdelse

Organisationer bør tage højde for de potentielle produktionsproblemer, der bør forhindres, når de bestemmer det nødvendige niveau af adskillelse mellem de tre miljøer.

Især anbefaler Control 8.31 organisationer at overveje følgende syv kriterier:

1. Adskillelse og drift af udviklings- og produktionssystemer i tilstrækkelig grad. For eksempel kan brugen af ​​separate virtuelle og fysiske miljøer til produktion være en effektiv metode.
2. Passende regler og godkendelsesprocedurer bør etableres, dokumenteres og anvendes for brug af software i produktionsmiljøet efter at have gennemgået udviklingsmiljøet.
3. Organisationer bør gennemgå og teste ændringer foretaget af applikationer og produktionssystemer i et testmiljø adskilt fra produktionsmiljøet, før disse ændringer bruges i produktionsmiljøet.
4. Testning i produktionsmiljøer bør ikke tillades, medmindre en sådan testning er defineret og godkendt før testning.
5. Udviklingsværktøjer såsom compilere og editorer bør ikke være tilgængelige fra produktionsmiljøerne, medmindre denne adgang er absolut nødvendig.
6. For at minimere fejl bør korrekte miljøidentifikationsetiketter vises tydeligt i menuerne.
7. Følsomme informationsaktiver bør ikke overføres til udviklings- og testmiljøer, medmindre tilsvarende sikkerhedsforanstaltninger anvendes i udviklings- og testsystemerne.

Supplerende vejledning om beskyttelse af udviklings- og testmiljøer

Organisationer bør beskytte udviklings- og testmiljøer mod sikkerhedsrisici under hensyntagen til følgende:

• Alle udviklings-, integrations- og testværktøjer såsom bygherrer, integratorer og biblioteker bør jævnligt patches og opdateres.
• Alle systemer og software skal konfigureres sikkert.
• Adgang til miljøer bør være underlagt passende kontrol.
• Ændringer i miljøer og kode, der er gemt i det, bør overvåges og gennemgås.
• Miljøer bør overvåges og revideres sikkert.
• Miljøer bør bakkes op.

Ydermere bør intet enkelt individ have det privilegium at foretage ændringer i både udviklings- og produktionsmiljøer uden først at opnå godkendelse. For at forhindre dette kan organisationer adskille adgangsrettigheder eller etablere og implementere adgangskontroller.

Derudover kan organisationer også overveje ekstra tekniske kontroller såsom logning af alle adgangsaktiviteter og realtidsovervågning af al adgang til disse miljøer.

Supplerende vejledning om kontrol 8.31

Hvis organisationer undlader at implementere nødvendige foranstaltninger, kan deres informationssystemer stå over for betydelige sikkerhedsrisici.

For eksempel kan udviklere og testere med adgang til produktionsmiljøet foretage uønskede ændringer i filer eller systemmiljøer, udføre uautoriseret kode eller ved et uheld afsløre følsomme oplysninger.

Derfor har organisationer brug for et stabilt miljø til at udføre robuste test af koden og for at forhindre udviklere i at få adgang til produktionsmiljøer, hvor følsomme data fra den virkelige verden hostes og behandles.

Organisationer bør også anvende foranstaltninger såsom udpegede roller sammen med krav om adskillelse af opgaver.

En anden trussel mod fortroligheden af ​​produktionsdata er udviklings- og testpersonalet. Når udviklings- og testholdene udfører deres aktiviteter ved hjælp af de samme computerenheder, kan de ved et uheld foretage ændringer i følsomme oplysninger eller softwareprogrammer.

Organisationer rådes til at etablere understøttende processer for brugen af ​​produktionsdata i test- og udviklingssystemer i overensstemmelse med kontrol 8.33.

Desuden bør organisationer tage højde for de foranstaltninger, der er behandlet i denne kontrol, når de udfører slutbrugeruddannelse i træningsmiljøer.

Sidst, men ikke mindst, kan organisationer bevidst udviske grænserne mellem udviklings-, test- og produktionsmiljøer. For eksempel kan test udføres i et udviklingsmiljø, eller produkttest kan udføres ved faktisk brug af produktet af personalet i organisationen.

Ændringer og forskelle fra ISO 27002:2013

27002:2022/8.31 erstatter 27002:2013/(12.1.4 og 14.2.6)

Selvom de to versioner i høj grad ligner hinanden, er der to forskelle, der bør fremhæves.

Kontrol 14.2.6 i 2013-versionen giver mere detaljeret vejledning om sikre udviklingsmiljøer

Kontrol 14.2.6 i 2013-versionen omhandler sikre udviklingsmiljøer og lister 10 anbefalinger, som organisationer bør tage hensyn til, når de bygger et udviklingsmiljø.

I modsætning hertil indeholdt 2022-versionen ikke nogle af disse anbefalinger, såsom sikkerhedskopiering på et eksternt sted og begrænsninger for overførsel af data.

Kontrol 8.31 Omhandler produkttest og brug af produktionsdata

I modsætning til 2013-versionen giver kontrol 8.31 i 2022-versionen vejledning om, hvordan produkttest skal udføres, og om brug af produktionsdata i overensstemmelse med kontrol 8.33.

Hvordan ISMS.online hjælper

ISMS.Online-platformen hjælper med alle aspekter af implementering af ISO 27002, lige fra styring af risikovurderingsaktiviteter til udvikling af politikker, procedurer og retningslinjer for overholdelse af standardens krav.

Det giver en måde at dokumentere dine resultater og kommunikere dem med dine teammedlemmer online. ISMS.Online giver dig også mulighed for at oprette og gemme tjeklister for alle de opgaver, der er involveret i implementeringen af ​​ISO 27002, så du nemt kan spore fremskridtene i din organisations sikkerhedsprogram.

Med sit automatiserede værktøjssæt gør ISMS.Online det nemt for organisationer at demonstrere overholdelse af ISO 27002-standarden.

Kontakt os i dag for planlæg en demo.