Wenn Entwicklungs-, Test- und Produktionsumgebungen nicht ordnungsgemäß getrennt werden, kann dies zu einem Verlust der Verfügbarkeit, Vertraulichkeit und Integrität von Informationsressourcen führen.
Zum Beispiel, Uber versehentlich veröffentlicht ein Code-Repository auf Github, das Passwörter von Benutzern aus der Produktionsumgebung enthielt, was zum Verlust der Vertraulichkeit sensibler Informationen führte.
Daher sollten Unternehmen geeignete Verfahren und Kontrollen implementieren, um Entwicklungs-, Test- und Produktionsumgebungen sicher zu trennen und Sicherheitsrisiken auszuschließen.
Control 8.31 ermöglicht es Unternehmen, die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationsbestände aufrechtzuerhalten, indem Entwicklungs-, Test- und Produktionsumgebungen durch geeignete Verfahren, Kontrollen und Richtlinien getrennt werden.
Control 8.31 ist präventiver Natur und verlangt von Organisationen, präventiv Prozesse und technische Kontrollen einzurichten und anzuwenden, um die Entwicklungs-, Test- und Produktionsumgebungen sicher zu trennen.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Anwendungssicherheit #System- und Netzwerksicherheit | #Schutz |
Da Control 8.31 die Einrichtung und Implementierung organisationsweiter Prozesse und Kontrollen zur Trennung verschiedener Softwareumgebungen beinhaltet, ist der Chief Information Security Officer mit Hilfe des Entwicklungsteams letztendlich für die Einhaltung verantwortlich.
Organisationen sollten die potenziellen Produktionsprobleme berücksichtigen, die vermieden werden sollten, wenn sie den erforderlichen Grad der Trennung zwischen den drei Umgebungen bestimmen.
Insbesondere empfiehlt Control 8.31 Organisationen, die folgenden sieben Kriterien zu berücksichtigen:
Organisationen sollten Entwicklungs- und Testumgebungen vor Sicherheitsrisiken schützen und dabei Folgendes berücksichtigen:
Darüber hinaus sollte keiner einzelnen Person das Privileg eingeräumt werden, Änderungen sowohl in der Entwicklungs- als auch in der Produktionsumgebung vorzunehmen, ohne vorher eine Genehmigung einzuholen. Um dies zu verhindern, können Organisationen Zugriffsrechte trennen oder Zugriffskontrollen einrichten und implementieren.
Darüber hinaus können Unternehmen auch zusätzliche technische Kontrollen in Betracht ziehen, wie z. B. die Protokollierung aller Zugriffsaktivitäten und die Echtzeitüberwachung aller Zugriffe auf diese Umgebungen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Wenn Unternehmen die erforderlichen Maßnahmen nicht umsetzen, können ihre Informationssysteme erheblichen Sicherheitsrisiken ausgesetzt sein.
Beispielsweise können Entwickler und Tester mit Zugriff auf die Produktionsumgebung unerwünschte Änderungen an Dateien oder Systemumgebungen vornehmen, nicht autorisierten Code ausführen oder versehentlich vertrauliche Informationen offenlegen.
Daher benötigen Unternehmen eine stabile Umgebung, um robuste Tests des Codes durchzuführen und zu verhindern, dass Entwickler auf die Produktionsumgebungen zugreifen, in denen sensible reale Daten gehostet und verarbeitet werden.
Organisationen sollten auch Maßnahmen wie festgelegte Rollen zusammen mit Anforderungen an die Aufgabentrennung anwenden.
Eine weitere Bedrohung für die Vertraulichkeit von Produktionsdaten ist das Entwicklungs- und Testpersonal. Wenn die Entwicklungs- und Testteams ihre Aktivitäten mit denselben Computergeräten durchführen, kann es passieren, dass sie versehentlich Änderungen an vertraulichen Informationen oder Softwareprogrammen vornehmen.
Organisationen wird empfohlen, unterstützende Prozesse für die Verwendung der Produktionsdaten in Test- und Entwicklungssystemen gemäß Control 8.33 einzurichten.
Darüber hinaus sollten Organisationen die in dieser Kontrolle angesprochenen Maßnahmen berücksichtigen, wenn sie Endbenutzerschulungen in Schulungsumgebungen durchführen.
Nicht zuletzt verwischen Unternehmen möglicherweise bewusst die Grenzen zwischen Entwicklungs-, Test- und Produktionsumgebungen. Tests können beispielsweise in einer Entwicklungsumgebung durchgeführt werden oder Produkttests können durch die tatsächliche Nutzung des Produkts durch Mitarbeiter der Organisation durchgeführt werden.
27002:2022/8.31 ersetzt 27002:2013/(12.1.4 und 14.2.6)
Obwohl die beiden Versionen weitgehend ähnlich sind, gibt es zwei Unterschiede, die hervorgehoben werden sollten.
Control 14.2.6 in der Version 2013 befasst sich mit sicheren Entwicklungsumgebungen und listet 10 Empfehlungen auf, die Organisationen beim Aufbau einer Entwicklungsumgebung berücksichtigen sollten.
Die Version 2022 hingegen enthielt einige dieser Empfehlungen nicht, wie z. B. die Sicherung an einem externen Standort und Einschränkungen bei der Datenübertragung.
Im Gegensatz zur Version 2013 bietet Control 8.31 in der Version 2022 Hinweise zur Durchführung von Produkttests und zur Verwendung von Produktionsdaten gemäß Control 8.33.
Die ISMS.Online-Plattform hilft bei allen Aspekten der Implementierung von ISO 27002, von der Verwaltung von Risikobewertungsaktivitäten bis hin zur Entwicklung von Richtlinien, Verfahren und Leitlinien zur Einhaltung der Anforderungen der Norm.
Es bietet eine Möglichkeit, Ihre Ergebnisse zu dokumentieren und diese online mit Ihren Teammitgliedern zu kommunizieren. Mit ISMS.Online können Sie außerdem Checklisten für alle Aufgaben bei der Implementierung von ISO 27002 erstellen und speichern, sodass Sie den Fortschritt des Sicherheitsprogramms Ihrer Organisation problemlos verfolgen können.
Mit seinem automatisierten Toolset erleichtert ISMS.Online Unternehmen den Nachweis der Einhaltung des ISO 27002-Standards.
Kontaktieren Sie uns noch heute zu planen eine Demo.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
