ISO 27002:2022, valvonta 8.31 – Kehitys-, testaus- ja tuotantoympäristöjen erottaminen

Määräysvallan omistus 8.31

Ottaen huomioon, että Control 8.31 edellyttää organisaation laajuisten prosessien ja kontrollien perustamista ja käyttöönottoa eri ohjelmistoympäristöjen erottamiseksi, tietoturvapäällikkö on kehitystiimin avulla viime kädessä vastuussa vaatimustenmukaisuudesta.

Yleiset noudattamisohjeet

Organisaatioiden tulee ottaa huomioon mahdolliset tuotanto-ongelmat, jotka tulisi estää määritellessään kolmen ympäristön välistä erotustasoa.

Erityisesti Control 8.31 suosittelee, että organisaatiot ottavat huomioon seuraavat seitsemän kriteeriä:

1. Kehitys- ja tuotantojärjestelmien eristäminen ja käyttö riittävässä määrin. Esimerkiksi erillisten virtuaalisten ja fyysisten ympäristöjen käyttö tuotannossa voisi olla tehokas tapa.
2. Ohjelmistojen käyttöön tuotantoympäristössä tulee laatia, dokumentoida ja soveltaa asianmukaiset säännöt ja valtuutusmenettelyt kehitysympäristön läpikäynnin jälkeen.
3. Organisaatioiden tulee tarkistaa ja testata sovelluksiin ja tuotantojärjestelmiin tehdyt muutokset tuotantoympäristöstä erillään olevassa testiympäristössä ennen kuin nämä muutokset otetaan käyttöön tuotantoympäristössä.
4. Tuotantoympäristöissä testaamista ei pitäisi sallia, ellei tällaista testausta ole määritelty ja hyväksytty ennen testausta.
5. Kehitystyökalut, kuten kääntäjät ja editorit, eivät saa olla käytettävissä tuotantoympäristöistä, ellei tämä käyttö ole ehdottoman välttämätöntä.
6. Virheiden minimoimiseksi asianmukaiset ympäristön tunnistetarrat tulee näyttää näkyvästi valikoissa.
7. Arkaluontoisia tietovaroja ei saa siirtää kehitys- ja testausympäristöihin, ellei kehitys- ja testausjärjestelmissä sovelleta vastaavia turvatoimia.

Kehitys- ja testausympäristöjen suojaamista koskevat täydentävät ohjeet

Organisaatioiden tulee suojata kehitys- ja testausympäristöjä turvallisuusriskeiltä ottaen huomioon seuraavat seikat:

• Kaikki kehitys-, integrointi- ja testaustyökalut, kuten rakentajat, integraattorit ja kirjastot, tulee korjata ja päivittää säännöllisesti.
• Kaikki järjestelmät ja ohjelmistot on konfiguroitava turvallisesti.
• Pääsyä ympäristöihin tulee valvoa asianmukaisesti.
• Muutoksia ympäristöihin ja niihin tallennettuun koodiin tulee seurata ja tarkastella.
• Ympäristöjä tulee valvoa ja arvioida turvallisesti.
• Ympäristöt tulee varmuuskopioida.

Lisäksi kenellekään yksittäiselle henkilölle ei pitäisi antaa etuoikeutta tehdä muutoksia sekä kehitys- että tuotantoympäristöissä ilman lupaa. Tämän estämiseksi organisaatiot voivat erottaa käyttöoikeudet tai luoda ja ottaa käyttöön pääsynvalvontaa.

Lisäksi organisaatiot voivat harkita myös ylimääräisiä teknisiä valvontatoimia, kuten kaikkien pääsytoimintojen kirjaamista ja kaikkien näiden ympäristöjen pääsyn reaaliaikaista seurantaa.

Valvontaa koskevat lisäohjeet 8.31

Jos organisaatiot eivät toteuta tarvittavia toimenpiteitä, niiden tietojärjestelmiin voi kohdistua merkittäviä turvallisuusriskejä.

Esimerkiksi kehittäjät ja testaajat, joilla on pääsy tuotantoympäristöön, voivat tehdä ei-toivottuja muutoksia tiedostoihin tai järjestelmäympäristöihin, suorittaa luvatonta koodia tai vahingossa paljastaa arkaluonteisia tietoja.

Siksi organisaatiot tarvitsevat vakaan ympäristön voidakseen suorittaa koodin vankan testauksen ja estääkseen kehittäjiä pääsemästä tuotantoympäristöihin, joissa arkaluontoisia reaalimaailman tietoja isännöidään ja käsitellään.

Organisaatioiden tulisi myös soveltaa toimenpiteitä, kuten nimettyjä rooleja ja velvollisuuksien erottamista.

Toinen tuotantotietojen luottamuksellisuuden uhka on kehitys- ja testaushenkilöstö. Kun kehitys- ja testausryhmät suorittavat toimintansa samoilla tietokoneilla, he voivat vahingossa tehdä muutoksia arkaluonteisiin tietoihin tai ohjelmistoihin.

Organisaatioita kehotetaan luomaan tukiprosesseja tuotantotietojen käytölle testaus- ja kehitysjärjestelmissä Valvonta 8.33:n mukaisesti.

Lisäksi organisaatioiden tulee ottaa huomioon tässä valvonnassa käsitellyt toimenpiteet suorittaessaan loppukäyttäjien koulutusta koulutusympäristöissä.

Viimeisenä mutta ei vähäisimpänä, organisaatiot voivat tarkoituksella hämärtää rajoja kehitys-, testaus- ja tuotantoympäristöjen välillä. Testaus voidaan tehdä esimerkiksi kehitysympäristössä tai tuotetestaus voidaan tehdä organisaation henkilöstön todellisella käytöllä.

Muutokset ja erot standardista ISO 27002:2013

27002:2022/8.31 korvaa 27002:2013/(12.1.4 ja 14.2.6)

Vaikka nämä kaksi versiota ovat suurelta osin samankaltaisia, niissä on kaksi eroa, joita tulisi korostaa.

Control 14.2.6 versiossa 2013 tarjosi tarkempia ohjeita suojatuista kehitysympäristöistä

Control 14.2.6 vuoden 2013 versiossa käsittelee turvallisia kehitysympäristöjä ja listaa 10 suositusta, jotka organisaatioiden tulee ottaa huomioon kehitysympäristöä rakentaessaan.

Vuoden 2022 versio ei sitä vastoin sisältänyt joitain näistä suosituksista, kuten varmuuskopiointia muuhun sijaintiin ja tiedonsiirron rajoituksia.

Ohjaus 8.31 käsittelee tuotetestausta ja tuotantotietojen käyttöä

Toisin kuin vuoden 2013 versiossa, vuoden 8.31 versiossa oleva Control 2022 antaa ohjeita tuotteiden testaamiseen ja tuotantotietojen käyttöön Control 8.33:n mukaisesti.

Miten ISMS.online auttaa

ISMS.Online-alusta auttaa kaikissa ISO 27002:n käyttöönoton asioissa riskinarviointitoimintojen hallinnasta standardin vaatimusten noudattamista koskevien käytäntöjen, menettelyjen ja ohjeiden kehittämiseen.

Se tarjoaa tavan dokumentoida löydösi ja viestiä niistä tiimisi jäsenten kanssa verkossa. ISMS.Onlinen avulla voit myös luoda ja tallentaa tarkistuslistoja kaikille ISO 27002:n käyttöönottoon liittyville tehtäville, jotta voit helposti seurata organisaatiosi suojausohjelman edistymistä.

Automaattisen työkalusarjansa ansiosta ISMS.Online helpottaa ISO 27002 -standardin noudattamisen osoittamista organisaatioille.

Ota yhteyttä jo tänään aikataulun esittely.