Het niet goed scheiden van ontwikkelings-, test- en productieomgevingen kan leiden tot verlies van beschikbaarheid, vertrouwelijkheid en integriteit van informatiemiddelen.
Bijvoorbeeld Uber per ongeluk gepubliceerd een coderepository op Github die wachtwoorden bevatte van gebruikers uit de productieomgeving, waardoor de vertrouwelijkheid van gevoelige informatie verloren ging.
Daarom moeten organisaties passende procedures en controles implementeren om ontwikkelings-, test- en productieomgevingen veilig van elkaar te scheiden en zo beveiligingsrisico's te elimineren.
Controle 8.31 stelt organisaties in staat de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige informatiemiddelen te handhaven door ontwikkelings-, test- en productieomgevingen te scheiden door middel van passende procedures, controles en beleid.
Controle 8.31 is preventief van aard en vereist dat organisaties preventief processen en technische controles opzetten en toepassen om de ontwikkelings-, test- en productieomgevingen veilig te scheiden.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Applicatiebeveiliging #Systeem- en netwerkbeveiliging | #Bescherming |
Gezien het feit dat Controle 8.31 het opzetten en implementeren van organisatiebrede processen en controles inhoudt om verschillende softwareomgevingen te scheiden, zal de Chief Information Security Officer, met hulp van het ontwikkelingsteam, uiteindelijk verantwoordelijk zijn voor naleving.
Organisaties moeten rekening houden met de potentiële productieproblemen die voorkomen moeten worden bij het bepalen van het vereiste scheidingsniveau tussen de drie omgevingen.
In het bijzonder beveelt Control 8.31 organisaties aan de volgende zeven criteria in overweging te nemen:
Organisaties moeten ontwikkel- en testomgevingen beschermen tegen beveiligingsrisico's, rekening houdend met het volgende:
Bovendien mag geen enkel individu het voorrecht krijgen om wijzigingen aan te brengen in zowel de ontwikkelings- als de productieomgeving zonder eerst goedkeuring te verkrijgen. Om dit te voorkomen kunnen organisaties toegangsrechten scheiden of toegangscontroles instellen en implementeren.
Daarnaast kunnen organisaties ook extra technische controles overwegen, zoals het loggen van alle toegangsactiviteiten en het realtime monitoren van alle toegang tot deze omgevingen.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Als organisaties er niet in slagen de noodzakelijke maatregelen te implementeren, kunnen hun informatiesystemen te maken krijgen met aanzienlijke veiligheidsrisico's.
Ontwikkelaars en testers met toegang tot de productieomgeving kunnen bijvoorbeeld ongewenste wijzigingen aanbrengen in bestanden of systeemomgevingen, ongeautoriseerde code uitvoeren of per ongeluk gevoelige informatie vrijgeven.
Daarom hebben organisaties een stabiele omgeving nodig om robuuste tests op de code uit te voeren en om te voorkomen dat ontwikkelaars toegang krijgen tot de productieomgevingen waar gevoelige gegevens uit de echte wereld worden gehost en verwerkt.
Organisaties moeten ook maatregelen toepassen, zoals toegewezen rollen in combinatie met vereisten voor scheiding van taken.
Een andere bedreiging voor de vertrouwelijkheid van productiegegevens is het ontwikkelings- en testpersoneel. Wanneer de ontwikkelings- en testteams hun activiteiten uitvoeren met dezelfde computerapparatuur, kunnen ze per ongeluk wijzigingen aanbrengen in gevoelige informatie of softwareprogramma's.
Organisaties wordt geadviseerd ondersteunende processen op te zetten voor het gebruik van de productiegegevens in test- en ontwikkelingssystemen in overeenstemming met Controle 8.33.
Bovendien moeten organisaties rekening houden met de maatregelen die in deze Controle worden behandeld wanneer zij eindgebruikerstrainingen geven in trainingsomgevingen.
Last but not least kunnen organisaties opzettelijk de grenzen tussen ontwikkelings-, test- en productieomgevingen vervagen. Testen kunnen bijvoorbeeld worden uitgevoerd in een ontwikkelomgeving of producttesten kunnen worden uitgevoerd door daadwerkelijk gebruik van het product door personeel in de organisatie.
27002:2022/8.31 vervangt 27002:2013/(12.1.4 en 14.2.6)
Hoewel de twee versies in grote mate vergelijkbaar zijn, zijn er twee verschillen die moeten worden benadrukt.
Control 14.2.6 in de versie van 2013 gaat in op veilige ontwikkelomgevingen en somt 10 aanbevelingen op waar organisaties rekening mee moeten houden bij het bouwen van een ontwikkelomgeving.
De versie uit 2022 bevatte daarentegen een aantal van deze aanbevelingen niet, zoals een back-up op een externe locatie en beperkingen op de overdracht van gegevens.
In tegenstelling tot de versie van 2013 biedt Controle 8.31 in de versie van 2022 richtlijnen over hoe producttests moeten worden uitgevoerd en over het gebruik van productiegegevens in overeenstemming met Controle 8.33.
Het ISMS.Online-platform helpt bij alle aspecten van de implementatie van ISO 27002, van het beheren van risicobeoordelingsactiviteiten tot het ontwikkelen van beleid, procedures en richtlijnen voor het voldoen aan de vereisten van de norm.
Het biedt een manier om uw bevindingen te documenteren en deze online met uw teamleden te communiceren. Met ISMS.Online kunt u ook checklists maken en opslaan voor alle taken die betrokken zijn bij de implementatie van ISO 27002, zodat u eenvoudig de voortgang van het beveiligingsprogramma van uw organisatie kunt volgen.
Met de geautomatiseerde toolset maakt ISMS.Online het voor organisaties eenvoudig om naleving van de ISO 27002-norm aan te tonen.
Neem vandaag nog contact met ons op een demo plannen.
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
