ISO 27002 Control 8.33: Testitietojen tärkeimmät turvallisuusnäkökohdat
Vaikka ei-tuotannon testiympäristöt, kuten lavastusympäristöt, ovat välttämättömiä korkealaatuisten ohjelmistotuotteiden ja -sovellusten rakentamiselle, joissa ei ole vikoja tai virheitä, todellisen tiedon käyttö ja turvatoimien puute näissä ympäristöissä altistavat tietovarat lisääntyneille riskeille.
Kehittäjät voivat esimerkiksi käyttää helposti muistettavia tunnistetietoja (esim. "admin" sekä käyttäjänimelle että salasanalle) testattaessa ympäristöjä, joissa arkaluontoisia tietoresursseja on tallennettu.
Kyberhyökkääjät voivat käyttää tätä hyväkseen päästäkseen helposti testiympäristöihin ja varastaakseen arkaluontoisia tietoja.
Siksi organisaatioiden tulisi ottaa käyttöön asianmukaisia valvontatoimia ja menettelyjä testaamiseen käytettyjen todellisten tietojen suojaamiseksi.
Valvonnan tarkoitus 8.33
Control 8.33 antaa organisaatioille kaksi tarkoitusta:
- Suojella ja ylläpitää testausympäristössä käytettyjen tietojen luottamuksellisuutta.
- Luotettavia tuloksia tuottavien testitietojen valinta ja käyttö.
Attribuuttien ohjaustaulukko 8.33
Control 8.33 on ennaltaehkäisevä valvonta, joka vaatii organisaatioita valitsemaan ja suojaamaan sopivimmat tiedot testausvaihetta varten tietojen luottamuksellisuuden ja eheyden säilyttämiseksi.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Tiedon suojaus | #Suojaus |
| #Integrity |
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Määräysvallan omistus 8.33
Ottaen huomioon, että Control 8.33 sisältää sopivimpien testaukseen käytettävien testitietojen valinnan, suojaamisen ja hallinnan, tietoturvavastaavien tulisi yhteistyössä kehitysryhmän kanssa olla viime kädessä vastuussa asianmukaisten valvontatoimien ja menettelyjen luomisesta.
Yleiset noudattamisohjeet
Organisaatiot eivät saa käyttää arkaluonteisia tietoja, mukaan lukien henkilötietoja, kehitys- ja testausympäristöissä.
Testitietojen suojaamiseksi luottamuksellisuuden ja eheyden menettämiseltä organisaatioiden tulee noudattaa seuraavia:
- Reaalimaailman ympäristöissä sovellettavia kulunvalvontaa tulisi toteuttaa myös testiympäristöissä.
- Erillisen valtuutusmenettelyn perustaminen ja toteuttaminen todellisen tiedon kopioimiseksi testiympäristöihin.
- Kirjausketjun ylläpitämiseksi kaikki arkaluontoisten tietojen kopioimiseen ja käyttöön testiympäristöissä liittyvät toimet tulee kirjata.
- Jos testiympäristössä käytetään arkaluontoisia tietoja, ne tulee suojata asianmukaisilla ohjauksilla, kuten tietojen peittämisellä tai tietojen poistamisella.
- Kun testaus on suoritettu, testiympäristössä käytetyt tiedot tulee poistaa turvallisesti ja pysyvästi luvattoman käytön riskin välttämiseksi.
Lisäksi organisaatioiden tulee toteuttaa asianmukaisia toimenpiteitä tietovarojen turvallisen säilyttämisen varmistamiseksi.
Valvontaa koskevat lisäohjeet 8.33
On huomattava, että järjestelmän ja hyväksyntätestaukset voivat vaatia valtavan määrän testitietoa, joka vastaa käyttötietoja.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot standardista ISO 27002:2013
27002:2022/8.33 replaces 27002:2013/(14.3.1)
Vaikka vuoden 2022 versio on suurelta osin samanlainen kuin vuoden 2013 versio, vuoden 2022 versio sisältää seuraavan vaatimuksen:
- Jos testiympäristössä käytetään arkaluontoisia tietoja, ne tulee suojata asianmukaisilla ohjauksilla, kuten tietojen peittämisellä tai tietojen poistamisella.
Versio 27002:2013 sitä vastoin ei sisältänyt tätä vaatimusta.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
ISMS.online on pilvipohjainen ratkaisu, joka auttaa yrityksiä osoittamaan noudattavansa ISO 27002 -standardia. ISMS.online-ratkaisulla voidaan hallita ISO 27002 -standardin vaatimuksia ja varmistaa, että organisaatiosi on uuden standardin mukainen.
ISO 27002 -standardi on päivitetty vastaamaan kasvavia kyberuhkia, joita kohtaamme yhteiskunnassa. Nykyinen standardi julkaistiin ensimmäisen kerran vuonna 2005, ja sitä tarkistettiin vuonna 2013 tekniikan, säädösten ja alan standardien muutosten huomioon ottamiseksi. ISO 27002:n uusi versio yhdistää nämä päivitykset yhdeksi asiakirjaksi ja lisää organisaatioille uusia vaatimuksia, jotka auttavat niitä suojaamaan tietoresurssejaan paremmin kyberhyökkäyksiltä.
ISMS.online-ratkaisu auttaa organisaatioita ottamaan käyttöön ISO 27002: 2022 -standardin tarjoamalla helppokäyttöisen kehyksen tietoturvakäytäntöjen ja -menettelyjen dokumentoimiseen. Se tarjoaa myös keskitetyn paikan, johon voit tallentaa kaikki vaatimustenmukaisuusdokumentaatiosi, jotta ne ovat helposti yrityksen eri sidosryhmien (esim. HR, IT) saatavilla.
Alustamme on käyttäjäystävällinen ja suoraviivainen. Se ei ole vain erittäin teknisille henkilöille; se on kaikille yrityksessäsi.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
