Skeiding van ontwikkeling-, toets- en produksie-omgewings

ISO 27002:2022 – Beheer 8.31 – Skeiding van ontwikkeling-, toets- en produksie-omgewings

ISO 27002 Beheer 8.31 beklemtoon die belangrikheid om ontwikkeling-, toets- en produksieomgewings te skei om sekuriteitsrisiko's, soos datablootstelling of ongemagtigde toegang, te voorkom. Dit skets belangrike beste praktyke, insluitend streng segregasie, magtigingskontroles en toegangsbeperkings, om data-integriteit en sekuriteit te handhaaf.

Verseker veilige skeiding van ontwikkeling-, toets- en produksie-omgewings

Versuim om ontwikkeling-, toets- en produksieomgewings behoorlik te skei, kan lei tot die verlies aan beskikbaarheid, vertroulikheid en integriteit van inligtingsbates.

Byvoorbeeld, Uber het per ongeluk gepubliseer 'n kodebewaarplek op Github wat wagwoorde van gebruikers uit die produksie-omgewing bevat het, wat gelei het tot die verlies van vertroulikheid van sensitiewe inligting.

Daarom moet organisasies toepaslike prosedures en beheermaatreëls implementeer om ontwikkeling-, toets- en produksieomgewings veilig te skei om sekuriteitsrisiko's uit te skakel.

Doel van beheer 8.31

Beheer 8.31 stel organisasies in staat om die vertroulikheid, integriteit en beskikbaarheid van sensitiewe inligtingbates te handhaaf deur ontwikkelings-, toets- en produksieomgewings te skei deur toepaslike prosedures, kontroles en beleide.

Eienskappe Tabel van beheer 8.31

Beheer 8.31 is voorkomend van aard en dit vereis dat organisasies voorkomend prosesse en tegniese beheermaatreëls daarstel en toepas om die ontwikkeling-, toets- en produksieomgewings veilig te skei.

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Beskerm	#Toepassingsekuriteit	#Beskerming
	#Integriteit		#Stelsel- en netwerksekuriteit
	#Beskikbaarheid

ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin

Eienaarskap van beheer 8.31

Aangesien Beheer 8.31 die vestiging en implementering van organisasiewye prosesse en kontroles behels om verskillende sagteware-omgewings te skei, sal hoofinligtingsekuriteitsbeampte, met die hulp van die ontwikkelingspan, uiteindelik verantwoordelik wees vir voldoening.

Algemene riglyne oor nakoming

Organisasies moet die potensiële produksieprobleme wat voorkom moet word in ag neem wanneer die vereiste vlak van skeiding tussen die drie omgewings bepaal word.

Beheer 8.31 beveel veral aan dat organisasies die volgende sewe kriteria oorweeg:

Segregasie en bedryf van ontwikkeling- en produksiestelsels tot 'n voldoende mate. Byvoorbeeld, die gebruik van aparte virtuele en fisiese omgewings vir produksie kan 'n effektiewe metode wees.
Toepaslike reëls en magtigingsprosedures moet vasgestel, gedokumenteer en toegepas word vir die gebruik van sagteware in die produksie-omgewing nadat deur die ontwikkelingsomgewing gegaan is.
Organisasies moet veranderinge wat aan toepassings en produksiestelsels aangebring is in 'n toetsomgewing apart van die produksie-omgewing hersien en toets voordat hierdie veranderinge in die produksie-omgewing gebruik word.
Toetsing in produksie-omgewings moet nie toegelaat word nie, tensy sodanige toetsing gedefinieer en goedgekeur is voor toetsing.
Ontwikkelingsinstrumente soos samestellers en redigeerders behoort nie vanaf die produksie-omgewings toeganklik te wees nie, tensy hierdie toegang absoluut noodsaaklik is.
Om foute te minimaliseer, moet behoorlike omgewing-identifikasie-etikette prominent in spyskaarte vertoon word.
Sensitiewe inligtingbates moet nie na ontwikkeling- en toetsomgewings oorgedra word nie, tensy ekwivalente sekuriteitsmaatreëls in die ontwikkeling- en toetsstelsels toegepas word.

Aanvullende leiding oor die beskerming van ontwikkeling en toetsomgewings

Organisasies moet ontwikkelings- en toetsomgewings teen sekuriteitsrisiko's beskerm met inagneming van die volgende:

Alle ontwikkelings-, integrasie- en toetsinstrumente soos bouers, integreerders en biblioteke moet gereeld gelap en bygewerk word.
Alle stelsels en sagteware moet veilig gekonfigureer word.
Toegang tot omgewings moet onderhewig wees aan toepaslike beheermaatreëls.
Veranderinge aan omgewings en kode wat daarin gestoor is, moet gemonitor en hersien word.
Omgewings moet veilig gemonitor en hersien word.
Omgewings moet gerugsteun word.

Verder moet geen enkele individu die voorreg gegee word om veranderinge in beide ontwikkeling- en produksie-omgewings aan te bring sonder om eers goedkeuring te verkry nie. Om dit te voorkom, kan organisasies toegangsregte skei of toegangskontroles daarstel en implementeer.

Boonop kan organisasies ook ekstra tegniese kontroles oorweeg, soos aanteken van alle toegangsaktiwiteite en intydse monitering van alle toegang tot hierdie omgewings.

Aanvullende leiding oor beheer 8.31

As organisasies nie die nodige maatreëls implementeer nie, kan hul inligtingstelsels aansienlike sekuriteitsrisiko's in die gesig staar.

Ontwikkelaars en toetsers met toegang tot die produksie-omgewing kan byvoorbeeld ongewenste veranderinge aan lêers of stelselomgewings maak, ongemagtigde kode uitvoer, of per ongeluk sensitiewe inligting bekend maak.

Daarom het organisasies 'n stabiele omgewing nodig om robuuste toetse op die kode uit te voer en om te verhoed dat ontwikkelaars toegang kry tot die produksie-omgewings waar sensitiewe werklike data gehuisves en verwerk word.

Organisasies moet ook maatreëls toepas soos aangewese rolle tesame met skeidingsvereistes.

Nog 'n bedreiging vir die vertroulikheid van produksiedata is die ontwikkeling- en toetspersoneel. Wanneer die ontwikkeling- en toetsspanne hul aktiwiteite met dieselfde rekenaartoestelle uitvoer, kan hulle per ongeluk veranderinge aan sensitiewe inligting of sagtewareprogramme aanbring.

Organisasies word aangeraai om ondersteunende prosesse te vestig vir die gebruik van die produksiedata in toets- en ontwikkelingstelsels in ooreenstemming met Beheer 8.33.

Boonop moet organisasies die maatreëls wat in hierdie Beheer aangespreek word, in ag neem wanneer hulle eindgebruikeropleiding in opleidingsomgewings uitvoer.

Laaste maar nie die minste nie, organisasies kan doelbewus die lyne tussen ontwikkeling, toetsing en produksieomgewings vervaag. Toetsing kan byvoorbeeld in 'n ontwikkelingsomgewing uitgevoer word of produktoetsing kan uitgevoer word deur die werklike gebruik van die produk deur personeel in die organisasie.

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.31 vervang 27002:2013/(12.1.4 en 14.2.6)

Alhoewel die twee weergawes in 'n groot mate ooreenstem, is daar twee verskille wat uitgelig moet word.

Beheer 14.2.6 in die 2013-weergawe verskaf meer gedetailleerde leiding oor veilige ontwikkelingsomgewings

Beheer 14.2.6 in die 2013-weergawe spreek veilige ontwikkelingsomgewings aan en lys 10 aanbevelings wat organisasies in ag moet neem wanneer hulle 'n ontwikkelingsomgewing bou.

Die 2022-weergawe, daarenteen, bevat nie sommige van hierdie aanbevelings nie, soos rugsteun op 'n plek buite die perseel en beperkings op die oordrag van data.

Kontrole 8.31 spreek produktoetsing en die gebruik van produksiedata aan

In teenstelling met die 2013-weergawe, verskaf Beheer 8.31 in die 2022-weergawe leiding oor hoe produktoetsing uitgevoer moet word en oor die gebruik van produksiedata in ooreenstemming met Beheer 8.33.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	NUWE	Bedreigingsintelligensie
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	NUWE	IKT-gereedheid vir besigheidskontinuïteit
7.4	NUWE	Fisiese sekuriteitsmonitering
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.16	NUWE	Moniteringsaktiwiteite
8.23	NUWE	Webfiltrering
8.28	NUWE	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	NUWE	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	5.30	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	NUWE	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NUWE	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	NUWE	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	NUWE	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

Die ISMS.Online-platform help met alle aspekte van die implementering van ISO 27002, van die bestuur van risiko-assesseringsaktiwiteite tot die ontwikkeling van beleide, prosedures en riglyne om aan die standaard se vereistes te voldoen.

Dit bied 'n manier om jou bevindinge te dokumenteer en dit aanlyn met jou spanlede te kommunikeer. ISMS.Online laat jou ook toe om kontrolelyste te skep en te stoor vir al die take betrokke by die implementering van ISO 27002, sodat jy maklik die vordering van jou organisasie se sekuriteitsprogram kan dophou.

Met sy outomatiese gereedskapstel maak ISMS.Online dit maklik vir organisasies om voldoening aan die ISO 27002-standaard te demonstreer.

Kontak ons vandag nog om beplan 'n demo.

Ons is 'n leier in ons veld