Scheiding van ontwikkel-, test- en productieomgevingen

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Zorgen voor een veilige scheiding van ontwikkelings-, test- en productieomgevingen

Het niet goed scheiden van ontwikkelings-, test- en productieomgevingen kan leiden tot verlies van beschikbaarheid, vertrouwelijkheid en integriteit van informatiemiddelen.

Bijvoorbeeld Uber per ongeluk gepubliceerd een coderepository op Github die wachtwoorden bevatte van gebruikers uit de productieomgeving, waardoor de vertrouwelijkheid van gevoelige informatie verloren ging.

Daarom moeten organisaties passende procedures en controles implementeren om ontwikkelings-, test- en productieomgevingen veilig van elkaar te scheiden en zo beveiligingsrisico's te elimineren.

Doel van de controle 8.31

Controle 8.31 stelt organisaties in staat de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige informatiemiddelen te handhaven door ontwikkelings-, test- en productieomgevingen te scheiden door middel van passende procedures, controles en beleid.

Attributen Controletabel 8.31

Controle 8.31 is preventief van aard en vereist dat organisaties preventief processen en technische controles opzetten en toepassen om de ontwikkelings-, test- en productieomgevingen veilig te scheiden.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Applicatiebeveiliging	#Bescherming
	#Integriteit		#Systeem- en netwerkbeveiliging
	#Beschikbaarheid

Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen

Eigendom van zeggenschap 8.31

Gezien het feit dat Controle 8.31 het opzetten en implementeren van organisatiebrede processen en controles inhoudt om verschillende softwareomgevingen te scheiden, zal de Chief Information Security Officer, met hulp van het ontwikkelingsteam, uiteindelijk verantwoordelijk zijn voor naleving.

Algemene richtlijnen voor naleving

Organisaties moeten rekening houden met de potentiële productieproblemen die voorkomen moeten worden bij het bepalen van het vereiste scheidingsniveau tussen de drie omgevingen.

In het bijzonder beveelt Control 8.31 organisaties aan de volgende zeven criteria in overweging te nemen:

Segregatie en exploitatie van ontwikkelings- en productiesystemen in voldoende mate. Zo zou het gebruik van aparte virtuele en fysieke omgevingen voor productie een effectieve methode kunnen zijn.
Er moeten passende regels en autorisatieprocedures worden opgesteld, gedocumenteerd en toegepast voor het gebruik van software in de productieomgeving nadat deze door de ontwikkelomgeving is gegaan.
Organisaties moeten wijzigingen aan applicaties en productiesystemen beoordelen en testen in een testomgeving die gescheiden is van de productieomgeving voordat deze wijzigingen in de productieomgeving worden gebruikt.
Testen in productieomgevingen mag niet worden toegestaan, tenzij dergelijke tests vóór het testen zijn gedefinieerd en goedgekeurd.
Ontwikkeltools zoals compilers en editors mogen niet toegankelijk zijn vanuit de productieomgeving, tenzij deze toegang absoluut noodzakelijk is.
Om fouten te minimaliseren moeten de juiste omgevingsidentificatielabels prominent in de menu's worden weergegeven.
Gevoelige informatiemiddelen mogen niet worden overgedragen naar ontwikkel- en testomgevingen, tenzij gelijkwaardige beveiligingsmaatregelen worden toegepast in de ontwikkelings- en testsystemen.

Aanvullend richtsnoer voor de bescherming van ontwikkelings- en testomgevingen

Organisaties moeten ontwikkel- en testomgevingen beschermen tegen beveiligingsrisico's, rekening houdend met het volgende:

Alle ontwikkelings-, integratie- en testtools, zoals bouwers, integrators en bibliotheken, moeten regelmatig worden gepatcht en bijgewerkt.
Alle systemen en software moeten veilig worden geconfigureerd.
De toegang tot omgevingen moet onderworpen zijn aan passende controles.
Wijzigingen in de omgeving en de daarin opgeslagen code moeten worden gemonitord en beoordeeld.
Omgevingen moeten veilig worden gecontroleerd en beoordeeld.
Er moet een back-up van omgevingen worden gemaakt.

Bovendien mag geen enkel individu het voorrecht krijgen om wijzigingen aan te brengen in zowel de ontwikkelings- als de productieomgeving zonder eerst goedkeuring te verkrijgen. Om dit te voorkomen kunnen organisaties toegangsrechten scheiden of toegangscontroles instellen en implementeren.

Daarnaast kunnen organisaties ook extra technische controles overwegen, zoals het loggen van alle toegangsactiviteiten en het realtime monitoren van alle toegang tot deze omgevingen.

Aanvullend richtsnoer voor controle 8.31

Als organisaties er niet in slagen de noodzakelijke maatregelen te implementeren, kunnen hun informatiesystemen te maken krijgen met aanzienlijke veiligheidsrisico's.

Ontwikkelaars en testers met toegang tot de productieomgeving kunnen bijvoorbeeld ongewenste wijzigingen aanbrengen in bestanden of systeemomgevingen, ongeautoriseerde code uitvoeren of per ongeluk gevoelige informatie vrijgeven.

Daarom hebben organisaties een stabiele omgeving nodig om robuuste tests op de code uit te voeren en om te voorkomen dat ontwikkelaars toegang krijgen tot de productieomgevingen waar gevoelige gegevens uit de echte wereld worden gehost en verwerkt.

Organisaties moeten ook maatregelen toepassen, zoals toegewezen rollen in combinatie met vereisten voor scheiding van taken.

Een andere bedreiging voor de vertrouwelijkheid van productiegegevens is het ontwikkelings- en testpersoneel. Wanneer de ontwikkelings- en testteams hun activiteiten uitvoeren met dezelfde computerapparatuur, kunnen ze per ongeluk wijzigingen aanbrengen in gevoelige informatie of softwareprogramma's.

Organisaties wordt geadviseerd ondersteunende processen op te zetten voor het gebruik van de productiegegevens in test- en ontwikkelingssystemen in overeenstemming met Controle 8.33.

Bovendien moeten organisaties rekening houden met de maatregelen die in deze Controle worden behandeld wanneer zij eindgebruikerstrainingen geven in trainingsomgevingen.

Last but not least kunnen organisaties opzettelijk de grenzen tussen ontwikkelings-, test- en productieomgevingen vervagen. Testen kunnen bijvoorbeeld worden uitgevoerd in een ontwikkelomgeving of producttesten kunnen worden uitgevoerd door daadwerkelijk gebruik van het product door personeel in de organisatie.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/8.31 vervangt 27002:2013/(12.1.4 en 14.2.6)

Hoewel de twee versies in grote mate vergelijkbaar zijn, zijn er twee verschillen die moeten worden benadrukt.

Controle 14.2.6 in de versie van 2013 gaf meer gedetailleerde richtlijnen voor veilige ontwikkelomgevingen

Control 14.2.6 in de versie van 2013 gaat in op veilige ontwikkelomgevingen en somt 10 aanbevelingen op waar organisaties rekening mee moeten houden bij het bouwen van een ontwikkelomgeving.

De versie uit 2022 bevatte daarentegen een aantal van deze aanbevelingen niet, zoals een back-up op een externe locatie en beperkingen op de overdracht van gegevens.

Controle 8.31 Gaat in op het testen van producten en het gebruik van productiegegevens

In tegenstelling tot de versie van 2013 biedt Controle 8.31 in de versie van 2022 richtlijnen over hoe producttests moeten worden uitgevoerd en over het gebruik van productiegegevens in overeenstemming met Controle 8.33.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	Nieuw	Bedreigingsintelligentie
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
7.4	Nieuw	Fysieke beveiligingsmonitoring
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.16	Nieuw	Monitoring activiteiten
8.23	Nieuw	Web filtering
8.28	Nieuw	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	Nieuw	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	Nieuw	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	Nieuw	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	Nieuw	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	Nieuw	Configuratiebeheer
8.10	Nieuw	Verwijdering van informatie
8.11	Nieuw	Gegevensmaskering
8.12	Nieuw	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nieuw	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	Nieuw	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	Nieuw	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Het ISMS.Online-platform helpt bij alle aspecten van de implementatie van ISO 27002, van het beheren van risicobeoordelingsactiviteiten tot het ontwikkelen van beleid, procedures en richtlijnen voor het voldoen aan de vereisten van de norm.

Het biedt een manier om uw bevindingen te documenteren en deze online met uw teamleden te communiceren. Met ISMS.Online kunt u ook checklists maken en opslaan voor alle taken die betrokken zijn bij de implementatie van ISO 27002, zodat u eenvoudig de voortgang van het beveiligingsprogramma van uw organisatie kunt volgen.

Met de geautomatiseerde toolset maakt ISMS.Online het voor organisaties eenvoudig om naleving van de ISO 27002-norm aan te tonen.

Neem vandaag nog contact met ons op een demo plannen.