ISO 27002 Kontroll 8.33: Viktiga säkerhetsöverväganden för testdata
Även om icke-produktionstestmiljöer såsom iscensättningsmiljöer är väsentliga för att bygga högkvalitativa mjukvaruprodukter och applikationer fria från buggar eller fel, utsätter användningen av riktiga data och bristen på säkerhetsåtgärder i dessa miljöer informationstillgångar för ökade risker.
Till exempel kan utvecklare använda användaruppgifter som är lätta att komma ihåg (t.ex. "admin" för både användarnamn och lösenord) för att testa miljöer där känsliga datatillgångar lagras.
Detta kan utnyttjas av cyberangripare för att få enkel tillgång till testmiljöer och stjäla känslig informationstillgångar.
Därför bör organisationer införa lämpliga kontroller och procedurer för att skydda verkliga data som används för testning.
Syfte med kontroll 8.33
Kontroll 8.33 gör det möjligt för organisationer att uppnå två syften:
- För att skydda och upprätthålla sekretessen för information som används i testmiljön.
- Val och användning av testinformation som kommer att ge tillförlitliga resultat.
Attributtabell för kontroll 8.33
Kontroll 8.33 är en förebyggande typ av kontroll som kräver att organisationer väljer och skyddar den mest lämpliga informationen för teststadiet för att upprätthålla informationens konfidentialitet och integritet.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Informationsskydd | #Skydd |
| #Integritet |
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll 8.33
Med tanke på att Kontroll 8.33 innebär val, skydd och hantering av den mest lämpliga testinformationen som ska användas för testning, bör informationssäkerhetsansvariga, i samarbete med utvecklingsteamet, vara ytterst ansvariga för att upprätta lämpliga kontroller och procedurer.
Allmän vägledning om efterlevnad
Organisationer bör inte använda känslig information, inklusive personuppgifter, i utvecklings- och testmiljöer.
För att skydda testinformationen mot förlust av konfidentialitet och integritet bör organisationer följa följande:
- Åtkomstkontroller som tillämpas i verkliga miljöer bör också implementeras i testmiljöer.
- Upprätta och implementera en separat auktoriseringsprocedure för kopiering av verklig information till testmiljöer.
- För att hålla ett revisionsspår bör alla aktiviteter relaterade till kopiering och användning av känslig information i testmiljöer registreras.
- Om känslig information kommer att användas i testmiljön bör den skyddas med lämpliga kontroller som datamaskering eller borttagning av data.
- När testet är klart bör information som används i testmiljön tas bort på ett säkert och permanent sätt för att eliminera risken för obehörig åtkomst.
Dessutom bör organisationer vidta lämpliga åtgärder för att säkerställa säker lagring av informationstillgångar.
Kompletterande vägledning om kontroll 8.33
Det noteras att system- och acceptanstestning kan kräva en enorm mängd testinformation, motsvarande driftinformation.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022/8.33 replaces 27002:2013/(14.3.1)
Även om 2022-versionen i stor utsträckning liknar 2013-versionen, introducerar 2022-versionen följande krav:
- Om känslig information kommer att användas i testmiljön bör den skyddas med lämpliga kontroller som datamaskering eller borttagning av data.
Versionen 27002:2013 innehöll däremot inte detta krav.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
ISMS.online är en molnbaserad lösning som hjälper företag att visa efterlevnad av ISO 27002. ISMS.online-lösningen kan användas för att hantera kraven i ISO 27002 och säkerställa att din organisation förblir kompatibel med den nya standarden.
ISO 27002-standarden har uppdaterats för att återspegla de växande cyberhoten vi möter som samhälle. Den nuvarande standarden publicerades första gången 2005 och reviderades 2013 för att återspegla förändringar i teknik, regelverk och industristandarder. Den nya versionen av ISO 27002 innehåller dessa uppdateringar i ett dokument, samt lägger till nya krav för organisationer för att hjälpa dem att bättre skydda sina datatillgångar från cyberattacker.
ISMS.online-lösningen hjälper organisationer att implementera ISO 27002:2022 genom att tillhandahålla ett lättanvänt ramverk för att dokumentera policyer och procedurer för informationssäkerhet. Det ger också en centraliserad plats där du kan lagra all din efterlevnadsdokumentation så att den lätt kan nås av olika intressenter i företaget (t.ex. HR, IT).
Vår plattform är användarvänlig och okomplicerad. Det är inte bara för mycket tekniska individer; det är för alla i ditt företag.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
