ISO 27002 Controle 8.33: Belangrijkste beveiligingsoverwegingen voor testgegevens
Hoewel niet-productietestomgevingen zoals testomgevingen essentieel zijn voor het bouwen van hoogwaardige softwareproducten en -applicaties die vrij zijn van bugs of fouten, stellen het gebruik van echte gegevens en het gebrek aan beveiligingsmaatregelen in deze omgevingen informatiemiddelen bloot aan verhoogde risico's.
Ontwikkelaars kunnen bijvoorbeeld gemakkelijk te onthouden inloggegevens gebruiken (bijvoorbeeld 'admin' voor zowel gebruikersnaam als wachtwoord) voor testomgevingen waarin gevoelige gegevens worden opgeslagen.
Dit kan door cyberaanvallers worden uitgebuit om gemakkelijk toegang te krijgen tot testomgevingen en gevoelige informatie te stelen.
Daarom moeten organisaties passende controles en procedures invoeren om gegevens uit de echte wereld die voor tests worden gebruikt, te beschermen.
Doel van de controle 8.33
Controle 8.33 stelt organisaties in staat twee doelen te bereiken:
- Om de vertrouwelijkheid van informatie die in de testomgeving wordt gebruikt te beschermen en te behouden.
- Selectie en gebruik van testinformatie die betrouwbare resultaten oplevert.
Attributen Controletabel 8.33
Controle 8.33 is een preventieve vorm van controle waarbij organisaties de meest geschikte informatie voor de testfase moeten selecteren en beschermen om de vertrouwelijkheid en integriteit van de informatie te behouden.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebescherming | #Bescherming |
| #Integriteit |
Krijg een voorsprong van 81%
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Eigendom van zeggenschap 8.33
Gezien het feit dat Controle 8.33 de selectie, bescherming en het beheer van de meest geschikte testinformatie omvat die voor het testen moet worden gebruikt, moeten informatiebeveiligingsfunctionarissen, in samenwerking met het ontwikkelingsteam, uiteindelijk verantwoordelijk zijn voor het vaststellen van passende controles en procedures.
Algemene richtlijnen voor naleving
Organisaties mogen geen gevoelige informatie, inclusief persoonlijke gegevens, gebruiken in de ontwikkel- en testomgevingen.
Om de testinformatie te beschermen tegen verlies van vertrouwelijkheid en integriteit moeten organisaties aan het volgende voldoen:
- Toegangscontroles die in reële omgevingen worden toegepast, moeten ook in testomgevingen worden geïmplementeerd.
- Opzetten en implementeren van een aparte autorisatieprocedure voor het kopiëren van echte informatie naar testomgevingen.
- Om een audittrail bij te houden, moeten alle activiteiten met betrekking tot het kopiëren en gebruiken van gevoelige informatie in testomgevingen worden vastgelegd.
- Als gevoelige informatie in de testomgeving wordt gebruikt, moet deze worden beschermd met passende maatregelen, zoals gegevensmaskering of gegevensverwijdering.
- Zodra het testen is voltooid, moet de in de testomgeving gebruikte informatie veilig en permanent worden verwijderd om het risico van ongeautoriseerde toegang te elimineren.
Bovendien moeten organisaties passende maatregelen nemen om de veilige opslag van informatiemiddelen te garanderen.
Aanvullend richtsnoer voor controle 8.33
Opgemerkt wordt dat systeem- en acceptatietesten een enorme hoeveelheid testinformatie kunnen vereisen, equivalent aan operationele informatie.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
27002:2022/8.33 replaces 27002:2013/(14.3.1)
Hoewel de 2022-versie in grote mate vergelijkbaar is met de 2013-versie, introduceert de 2022-versie de volgende vereiste:
- Als gevoelige informatie in de testomgeving wordt gebruikt, moet deze worden beschermd met passende maatregelen, zoals gegevensmaskering of gegevensverwijdering.
De 27002:2013-versie bevatte deze vereiste daarentegen niet.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
ISMS.online is een cloudgebaseerde oplossing die bedrijven helpt bij het aantonen van naleving van ISO 27002. De oplossing ISMS.online kan worden gebruikt om de vereisten van ISO 27002 te beheren en ervoor te zorgen dat uw organisatie aan de nieuwe norm blijft voldoen.
De ISO 27002-norm is bijgewerkt om de groeiende cyberdreigingen waarmee we als samenleving worden geconfronteerd weer te geven. De huidige standaard werd voor het eerst gepubliceerd in 2005 en herzien in 2013 om veranderingen in technologie, regelgeving en industriestandaarden weer te geven. De nieuwe versie van ISO 27002 integreert deze updates in één document en voegt nieuwe vereisten toe voor organisaties om hen te helpen hun datamiddelen beter te beschermen tegen cyberaanvallen.
De ISMS.online-oplossing helpt organisaties ISO 27002: 2022 te implementeren door een eenvoudig te gebruiken raamwerk te bieden voor het documenteren van informatiebeveiligingsbeleid en -procedures. Het biedt ook een centrale locatie waar u al uw compliancedocumentatie kunt opslaan, zodat deze gemakkelijk toegankelijk is voor verschillende belanghebbenden in het bedrijf (bijvoorbeeld HR, IT).
Ons platform is gebruiksvriendelijk en overzichtelijk. Het is niet alleen voor zeer technische individuen; het is voor iedereen in uw bedrijf.
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
