Jos kehitys-, testaus- ja tuotantoympäristöjä ei eroteta asianmukaisesti, tietoresurssit voivat menettää käytettävyyden, luottamuksellisuuden ja eheyden.
Esimerkiksi Uber julkaisi vahingossa Githubin koodivarasto, joka sisälsi tuotantoympäristön käyttäjien salasanoja, mikä johti arkaluonteisten tietojen luottamuksellisuuden menettämiseen.
Siksi organisaatioiden tulee ottaa käyttöön asianmukaiset menettelyt ja hallintakeinot kehitys-, testaus- ja tuotantoympäristöjen turvallisesti eristämiseksi turvallisuusriskien poistamiseksi.
Ohjaus 8.31 antaa organisaatioille mahdollisuuden ylläpitää arkaluonteisten tietoresurssien luottamuksellisuutta, eheyttä ja saatavuutta erottamalla kehitys-, testaus- ja tuotantoympäristöt asianmukaisten menettelytapojen, ohjausten ja käytäntöjen avulla.
Ohjaus 8.31 on luonteeltaan ennaltaehkäisevä ja vaatii organisaatioilta ennakoivasti luomaan ja soveltamaan prosesseja ja teknisiä kontrolleja, joilla kehitys-, testaus- ja tuotantoympäristöt voidaan turvallisesti erottaa toisistaan.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Sovellusturvallisuus #Järjestelmä- ja verkkoturvallisuus | #Suojaus |
Ottaen huomioon, että Control 8.31 edellyttää organisaation laajuisten prosessien ja kontrollien perustamista ja käyttöönottoa eri ohjelmistoympäristöjen erottamiseksi, tietoturvapäällikkö on kehitystiimin avulla viime kädessä vastuussa vaatimustenmukaisuudesta.
Organisaatioiden tulee ottaa huomioon mahdolliset tuotanto-ongelmat, jotka tulisi estää määritellessään kolmen ympäristön välistä erotustasoa.
Erityisesti Control 8.31 suosittelee, että organisaatiot ottavat huomioon seuraavat seitsemän kriteeriä:
Organisaatioiden tulee suojata kehitys- ja testausympäristöjä turvallisuusriskeiltä ottaen huomioon seuraavat seikat:
Lisäksi kenellekään yksittäiselle henkilölle ei pitäisi antaa etuoikeutta tehdä muutoksia sekä kehitys- että tuotantoympäristöissä ilman lupaa. Tämän estämiseksi organisaatiot voivat erottaa käyttöoikeudet tai luoda ja ottaa käyttöön pääsynvalvontaa.
Lisäksi organisaatiot voivat harkita myös ylimääräisiä teknisiä valvontatoimia, kuten kaikkien pääsytoimintojen kirjaamista ja kaikkien näiden ympäristöjen pääsyn reaaliaikaista seurantaa.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Jos organisaatiot eivät toteuta tarvittavia toimenpiteitä, niiden tietojärjestelmiin voi kohdistua merkittäviä turvallisuusriskejä.
Esimerkiksi kehittäjät ja testaajat, joilla on pääsy tuotantoympäristöön, voivat tehdä ei-toivottuja muutoksia tiedostoihin tai järjestelmäympäristöihin, suorittaa luvatonta koodia tai vahingossa paljastaa arkaluonteisia tietoja.
Siksi organisaatiot tarvitsevat vakaan ympäristön voidakseen suorittaa koodin vankan testauksen ja estääkseen kehittäjiä pääsemästä tuotantoympäristöihin, joissa arkaluontoisia reaalimaailman tietoja isännöidään ja käsitellään.
Organisaatioiden tulisi myös soveltaa toimenpiteitä, kuten nimettyjä rooleja ja velvollisuuksien erottamista.
Toinen tuotantotietojen luottamuksellisuuden uhka on kehitys- ja testaushenkilöstö. Kun kehitys- ja testausryhmät suorittavat toimintansa samoilla tietokoneilla, he voivat vahingossa tehdä muutoksia arkaluonteisiin tietoihin tai ohjelmistoihin.
Organisaatioita kehotetaan luomaan tukiprosesseja tuotantotietojen käytölle testaus- ja kehitysjärjestelmissä Valvonta 8.33:n mukaisesti.
Lisäksi organisaatioiden tulee ottaa huomioon tässä valvonnassa käsitellyt toimenpiteet suorittaessaan loppukäyttäjien koulutusta koulutusympäristöissä.
Viimeisenä mutta ei vähäisimpänä, organisaatiot voivat tarkoituksella hämärtää rajoja kehitys-, testaus- ja tuotantoympäristöjen välillä. Testaus voidaan tehdä esimerkiksi kehitysympäristössä tai tuotetestaus voidaan tehdä organisaation henkilöstön todellisella käytöllä.
27002:2022/8.31 korvaa 27002:2013/(12.1.4 ja 14.2.6)
Vaikka nämä kaksi versiota ovat suurelta osin samankaltaisia, niissä on kaksi eroa, joita tulisi korostaa.
Control 14.2.6 vuoden 2013 versiossa käsittelee turvallisia kehitysympäristöjä ja listaa 10 suositusta, jotka organisaatioiden tulee ottaa huomioon kehitysympäristöä rakentaessaan.
Vuoden 2022 versio ei sitä vastoin sisältänyt joitain näistä suosituksista, kuten varmuuskopiointia muuhun sijaintiin ja tiedonsiirron rajoituksia.
Toisin kuin vuoden 2013 versiossa, vuoden 8.31 versiossa oleva Control 2022 antaa ohjeita tuotteiden testaamiseen ja tuotantotietojen käyttöön Control 8.33:n mukaisesti.
ISMS.Online-alusta auttaa kaikissa ISO 27002:n käyttöönoton asioissa riskinarviointitoimintojen hallinnasta standardin vaatimusten noudattamista koskevien käytäntöjen, menettelyjen ja ohjeiden kehittämiseen.
Se tarjoaa tavan dokumentoida löydösi ja viestiä niistä tiimisi jäsenten kanssa verkossa. ISMS.Onlinen avulla voit myös luoda ja tallentaa tarkistuslistoja kaikille ISO 27002:n käyttöönottoon liittyville tehtäville, jotta voit helposti seurata organisaatiosi suojausohjelman edistymistä.
Automaattisen työkalusarjansa ansiosta ISMS.Online helpottaa ISO 27002 -standardin noudattamisen osoittamista organisaatioille.
Ota yhteyttä jo tänään aikataulun esittely.
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |