Versuim om ontwikkeling-, toets- en produksieomgewings behoorlik te skei, kan lei tot die verlies aan beskikbaarheid, vertroulikheid en integriteit van inligtingsbates.
Byvoorbeeld, Uber het per ongeluk gepubliseer 'n kodebewaarplek op Github wat wagwoorde van gebruikers uit die produksie-omgewing bevat het, wat gelei het tot die verlies van vertroulikheid van sensitiewe inligting.
Daarom moet organisasies toepaslike prosedures en beheermaatreëls implementeer om ontwikkeling-, toets- en produksieomgewings veilig te skei om sekuriteitsrisiko's uit te skakel.
Beheer 8.31 stel organisasies in staat om die vertroulikheid, integriteit en beskikbaarheid van sensitiewe inligtingbates te handhaaf deur ontwikkelings-, toets- en produksieomgewings te skei deur toepaslike prosedures, kontroles en beleide.
Beheer 8.31 is voorkomend van aard en dit vereis dat organisasies voorkomend prosesse en tegniese beheermaatreëls daarstel en toepas om die ontwikkeling-, toets- en produksieomgewings veilig te skei.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Toepassingsekuriteit #Stelsel- en netwerksekuriteit | #Beskerming |
Aangesien Beheer 8.31 die vestiging en implementering van organisasiewye prosesse en kontroles behels om verskillende sagteware-omgewings te skei, sal hoofinligtingsekuriteitsbeampte, met die hulp van die ontwikkelingspan, uiteindelik verantwoordelik wees vir voldoening.
Organisasies moet die potensiële produksieprobleme wat voorkom moet word in ag neem wanneer die vereiste vlak van skeiding tussen die drie omgewings bepaal word.
Beheer 8.31 beveel veral aan dat organisasies die volgende sewe kriteria oorweeg:
Organisasies moet ontwikkelings- en toetsomgewings teen sekuriteitsrisiko's beskerm met inagneming van die volgende:
Verder moet geen enkele individu die voorreg gegee word om veranderinge in beide ontwikkeling- en produksie-omgewings aan te bring sonder om eers goedkeuring te verkry nie. Om dit te voorkom, kan organisasies toegangsregte skei of toegangskontroles daarstel en implementeer.
Boonop kan organisasies ook ekstra tegniese kontroles oorweeg, soos aanteken van alle toegangsaktiwiteite en intydse monitering van alle toegang tot hierdie omgewings.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
As organisasies nie die nodige maatreëls implementeer nie, kan hul inligtingstelsels aansienlike sekuriteitsrisiko's in die gesig staar.
Ontwikkelaars en toetsers met toegang tot die produksie-omgewing kan byvoorbeeld ongewenste veranderinge aan lêers of stelselomgewings maak, ongemagtigde kode uitvoer, of per ongeluk sensitiewe inligting bekend maak.
Daarom het organisasies 'n stabiele omgewing nodig om robuuste toetse op die kode uit te voer en om te verhoed dat ontwikkelaars toegang kry tot die produksie-omgewings waar sensitiewe werklike data gehuisves en verwerk word.
Organisasies moet ook maatreëls toepas soos aangewese rolle tesame met skeidingsvereistes.
Nog 'n bedreiging vir die vertroulikheid van produksiedata is die ontwikkeling- en toetspersoneel. Wanneer die ontwikkeling- en toetsspanne hul aktiwiteite met dieselfde rekenaartoestelle uitvoer, kan hulle per ongeluk veranderinge aan sensitiewe inligting of sagtewareprogramme aanbring.
Organisasies word aangeraai om ondersteunende prosesse te vestig vir die gebruik van die produksiedata in toets- en ontwikkelingstelsels in ooreenstemming met Beheer 8.33.
Boonop moet organisasies die maatreëls wat in hierdie Beheer aangespreek word, in ag neem wanneer hulle eindgebruikeropleiding in opleidingsomgewings uitvoer.
Laaste maar nie die minste nie, organisasies kan doelbewus die lyne tussen ontwikkeling, toetsing en produksieomgewings vervaag. Toetsing kan byvoorbeeld in 'n ontwikkelingsomgewing uitgevoer word of produktoetsing kan uitgevoer word deur die werklike gebruik van die produk deur personeel in die organisasie.
27002:2022/8.31 vervang 27002:2013/(12.1.4 en 14.2.6)
Alhoewel die twee weergawes in 'n groot mate ooreenstem, is daar twee verskille wat uitgelig moet word.
Beheer 14.2.6 in die 2013-weergawe spreek veilige ontwikkelingsomgewings aan en lys 10 aanbevelings wat organisasies in ag moet neem wanneer hulle 'n ontwikkelingsomgewing bou.
Die 2022-weergawe, daarenteen, bevat nie sommige van hierdie aanbevelings nie, soos rugsteun op 'n plek buite die perseel en beperkings op die oordrag van data.
In teenstelling met die 2013-weergawe, verskaf Beheer 8.31 in die 2022-weergawe leiding oor hoe produktoetsing uitgevoer moet word en oor die gebruik van produksiedata in ooreenstemming met Beheer 8.33.
Die ISMS.Online-platform help met alle aspekte van die implementering van ISO 27002, van die bestuur van risiko-assesseringsaktiwiteite tot die ontwikkeling van beleide, prosedures en riglyne om aan die standaard se vereistes te voldoen.
Dit bied 'n manier om jou bevindinge te dokumenteer en dit aanlyn met jou spanlede te kommunikeer. ISMS.Online laat jou ook toe om kontrolelyste te skep en te stoor vir al die take betrokke by die implementering van ISO 27002, sodat jy maklik die vordering van jou organisasie se sekuriteitsprogram kan dophou.
Met sy outomatiese gereedskapstel maak ISMS.Online dit maklik vir organisasies om voldoening aan die ISO 27002-standaard te demonstreer.
Kontak ons vandag nog om beplan 'n demo.
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |