Underlåtenhet att separera utvecklings-, test- och produktionsmiljöer på rätt sätt kan leda till förlust av tillgänglighet, konfidentialitet och integritet för informationstillgångar.
Till exempel, Uber publicerades av misstag ett kodlager på Github som innehöll lösenord för användare från produktionsmiljön, vilket resulterade i förlust av konfidentialitet för känslig information.
Därför bör organisationer implementera lämpliga procedurer och kontroller för att säkert separera utvecklings-, test- och produktionsmiljöer för att eliminera säkerhetsrisker.
Kontroll 8.31 gör det möjligt för organisationer att upprätthålla konfidentialitet, integritet och tillgänglighet för känslig informationstillgångar genom att separera utvecklings-, test- och produktionsmiljöer genom lämpliga procedurer, kontroller och policyer.
Kontroll 8.31 är förebyggande till sin natur och kräver att organisationer i förebyggande syfte upprättar och tillämpar processer och tekniska kontroller för att säkert separera utvecklings-, test- och produktionsmiljöer.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Applikationssäkerhet #System- och nätverkssäkerhet | #Skydd |
Med tanke på att Kontroll 8.31 innebär etablering och implementering av organisationsövergripande processer och kontroller för att separera olika mjukvarumiljöer, ska informationssäkerhetschefen, med hjälp av utvecklingsteamet, vara ytterst ansvarig för efterlevnaden.
Organisationer bör ta hänsyn till de potentiella produktionsproblem som bör förhindras när de bestämmer vilken nivå av separation som krävs mellan de tre miljöerna.
I synnerhet rekommenderar Control 8.31 att organisationer överväger följande sju kriterier:
Organisationer bör skydda utvecklings- och testmiljöer mot säkerhetsrisker med hänsyn till följande:
Vidare bör ingen enskild individ ges privilegiet att göra förändringar i både utvecklings- och produktionsmiljöer utan att först ha fått godkännande. För att förhindra detta kan organisationer separera åtkomsträttigheter eller upprätta och implementera åtkomstkontroller.
Dessutom kan organisationer även överväga extra tekniska kontroller såsom loggning av alla åtkomstaktiviteter och realtidsövervakning av all åtkomst till dessa miljöer.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Om organisationer misslyckas med att genomföra nödvändiga åtgärder kan deras informationssystem utsättas för betydande säkerhetsrisker.
Till exempel kan utvecklare och testare med åtkomst till produktionsmiljön göra oönskade ändringar i filer eller systemmiljöer, exekvera otillåten kod eller av misstag avslöja känslig information.
Därför behöver organisationer en stabil miljö för att utföra robusta tester av koden och för att förhindra utvecklare från att komma åt produktionsmiljöer där känslig verklig data lagras och bearbetas.
Organisationer bör också tillämpa åtgärder såsom utsedda roller tillsammans med krav på separation av arbetsuppgifter.
Ett annat hot mot produktionsdatas konfidentialitet är utvecklings- och testpersonalen. När utvecklings- och testteamen utför sina aktiviteter med samma datorenheter kan de av misstag göra ändringar i känslig information eller program.
Organisationer rekommenderas att upprätta stödjande processer för användning av produktionsdata i test- och utvecklingssystem i enlighet med kontroll 8.33.
Organisationer bör dessutom ta hänsyn till de åtgärder som tas upp i denna kontroll när de utför slutanvändarutbildning i utbildningsmiljöer.
Sist men inte minst kan organisationer medvetet sudda ut gränserna mellan utvecklings-, test- och produktionsmiljöer. Till exempel kan testning utföras i en utvecklingsmiljö eller produkttestning kan utföras genom att personalen i organisationen faktiskt använder produkten.
27002:2022/8.31 ersätter 27002:2013/(12.1.4 och 14.2.6)
Även om de två versionerna i stor utsträckning liknar varandra, finns det två skillnader som bör lyftas fram.
Kontroll 14.2.6 i 2013 års version tar upp säkra utvecklingsmiljöer och listar 10 rekommendationer som organisationer bör ta hänsyn till när de bygger en utvecklingsmiljö.
2022-versionen, däremot, innehöll inte några av dessa rekommendationer, såsom säkerhetskopiering på en annan plats och restriktioner för överföring av data.
Till skillnad från 2013 års version ger kontroll 8.31 i 2022 års version vägledning om hur produkttester ska utföras och om användning av produktionsdata i enlighet med kontroll 8.33.
ISMS.Online-plattformen hjälper till med alla aspekter av implementering av ISO 27002, från att hantera riskbedömningsaktiviteter till att utveckla policyer, procedurer och riktlinjer för att uppfylla standardens krav.
Det ger ett sätt att dokumentera dina resultat och kommunicera dem med dina teammedlemmar online. ISMS.Online låter dig också skapa och spara checklistor för alla uppgifter som är involverade i implementeringen av ISO 27002, så att du enkelt kan spåra framstegen i din organisations säkerhetsprogram.
Med sin automatiserade verktygsuppsättning gör ISMS.Online det enkelt för organisationer att visa överensstämmelse med ISO 27002-standarden.
Kontakta oss idag för att schema en demo.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
