ISO 27002:2022 – Kontrolle 8.31 – Trennung von Entwicklungs-, Test- und Produktionsumgebungen

ISO 27002 Control 8.31 betont die Bedeutung der Trennung von Entwicklungs-, Test- und Produktionsumgebungen, um Sicherheitsrisiken wie Datenfreigabe oder unbefugten Zugriff zu vermeiden. Es beschreibt wichtige Best Practices, darunter strikte Trennung, Autorisierungskontrollen und Zugriffsbeschränkungen, um die Datenintegrität und -sicherheit aufrechtzuerhalten.

Beratung buchen
Autor
Max Edwards
Aktualisiert am 18. Februar 2025
LinkedIn Twitter Twitter

Sichere Trennung von Entwicklungs-, Test- und Produktionsumgebungen

Wenn Entwicklungs-, Test- und Produktionsumgebungen nicht ordnungsgemäß getrennt werden, kann dies zu einem Verlust der Verfügbarkeit, Vertraulichkeit und Integrität von Informationsressourcen führen.

Zum Beispiel, Uber versehentlich veröffentlicht ein Code-Repository auf Github, das Passwörter von Benutzern aus der Produktionsumgebung enthielt, was zum Verlust der Vertraulichkeit sensibler Informationen führte.

Daher sollten Unternehmen geeignete Verfahren und Kontrollen implementieren, um Entwicklungs-, Test- und Produktionsumgebungen sicher zu trennen und Sicherheitsrisiken auszuschließen.

Zweck der Kontrolle 8.31

Control 8.31 ermöglicht es Unternehmen, die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationsbestände aufrechtzuerhalten, indem Entwicklungs-, Test- und Produktionsumgebungen durch geeignete Verfahren, Kontrollen und Richtlinien getrennt werden.

Attributtabelle der Steuerung 8.31

Control 8.31 ist präventiver Natur und verlangt von Organisationen, präventiv Prozesse und technische Kontrollen einzurichten und anzuwenden, um die Entwicklungs-, Test- und Produktionsumgebungen sicher zu trennen.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit#Schützen#Anwendungssicherheit#Schutz
#Integrität#System- und Netzwerksicherheit
#Verfügbarkeit


Verschaffen Sie sich einen Vorsprung von 81 %

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Beratung buchen


Eigentum an der Kontrolle 8.31

Da Control 8.31 die Einrichtung und Implementierung organisationsweiter Prozesse und Kontrollen zur Trennung verschiedener Softwareumgebungen beinhaltet, ist der Chief Information Security Officer mit Hilfe des Entwicklungsteams letztendlich für die Einhaltung verantwortlich.

Allgemeine Richtlinien zur Compliance

Organisationen sollten die potenziellen Produktionsprobleme berücksichtigen, die vermieden werden sollten, wenn sie den erforderlichen Grad der Trennung zwischen den drei Umgebungen bestimmen.

Insbesondere empfiehlt Control 8.31 Organisationen, die folgenden sieben Kriterien zu berücksichtigen:

  1. Trennung und Betrieb von Entwicklungs- und Produktionssystemen in ausreichendem Maße. Beispielsweise könnte die Nutzung getrennter virtueller und physischer Umgebungen für die Produktion eine effektive Methode sein.
  2. Für den Einsatz von Software in der Produktionsumgebung nach Durchlaufen der Entwicklungsumgebung sollten entsprechende Regeln und Autorisierungsverfahren festgelegt, dokumentiert und angewendet werden.
  3. Organisationen sollten an Anwendungen und Produktionssystemen vorgenommene Änderungen in einer von der Produktionsumgebung getrennten Testumgebung überprüfen und testen, bevor diese Änderungen in der Produktionsumgebung verwendet werden.
  4. Tests in Produktionsumgebungen sollten nicht erlaubt sein, es sei denn, solche Tests werden vor dem Test definiert und genehmigt.
  5. Entwicklungstools wie Compiler und Editoren sollten von den Produktionsumgebungen aus nicht zugänglich sein, es sei denn, dieser Zugriff ist unbedingt erforderlich.
  6. Um Fehler zu minimieren, sollten in den Menüs geeignete Umgebungskennzeichnungsetiketten gut sichtbar angezeigt werden.
  7. Sensible Informationsbestände sollten nicht in Entwicklungs- und Testumgebungen übertragen werden, es sei denn, in den Entwicklungs- und Testsystemen werden gleichwertige Sicherheitsmaßnahmen angewendet.

Ergänzende Leitlinien zum Schutz von Entwicklungs- und Testumgebungen

Organisationen sollten Entwicklungs- und Testumgebungen vor Sicherheitsrisiken schützen und dabei Folgendes berücksichtigen:

  • Alle Entwicklungs-, Integrations- und Testtools wie Builder, Integratoren und Bibliotheken sollten regelmäßig gepatcht und aktualisiert werden.
  • Alle Systeme und Software sollten sicher konfiguriert sein.
  • Der Zugang zu Umgebungen sollte geeigneten Kontrollen unterliegen.
  • Änderungen an Umgebungen und darin gespeichertem Code sollten überwacht und überprüft werden.
  • Umgebungen sollten sicher überwacht und überprüft werden.
  • Umgebungen sollten gesichert werden.

Darüber hinaus sollte keiner einzelnen Person das Privileg eingeräumt werden, Änderungen sowohl in der Entwicklungs- als auch in der Produktionsumgebung vorzunehmen, ohne vorher eine Genehmigung einzuholen. Um dies zu verhindern, können Organisationen Zugriffsrechte trennen oder Zugriffskontrollen einrichten und implementieren.

Darüber hinaus können Unternehmen auch zusätzliche technische Kontrollen in Betracht ziehen, wie z. B. die Protokollierung aller Zugriffsaktivitäten und die Echtzeitüberwachung aller Zugriffe auf diese Umgebungen.

Ergänzende Leitlinien zur Kontrolle 8.31

Wenn Unternehmen die erforderlichen Maßnahmen nicht umsetzen, können ihre Informationssysteme erheblichen Sicherheitsrisiken ausgesetzt sein.

Beispielsweise können Entwickler und Tester mit Zugriff auf die Produktionsumgebung unerwünschte Änderungen an Dateien oder Systemumgebungen vornehmen, nicht autorisierten Code ausführen oder versehentlich vertrauliche Informationen offenlegen.

Daher benötigen Unternehmen eine stabile Umgebung, um robuste Tests des Codes durchzuführen und zu verhindern, dass Entwickler auf die Produktionsumgebungen zugreifen, in denen sensible reale Daten gehostet und verarbeitet werden.

Organisationen sollten auch Maßnahmen wie festgelegte Rollen zusammen mit Anforderungen an die Aufgabentrennung anwenden.

Eine weitere Bedrohung für die Vertraulichkeit von Produktionsdaten ist das Entwicklungs- und Testpersonal. Wenn die Entwicklungs- und Testteams ihre Aktivitäten mit denselben Computergeräten durchführen, kann es passieren, dass sie versehentlich Änderungen an vertraulichen Informationen oder Softwareprogrammen vornehmen.

Organisationen wird empfohlen, unterstützende Prozesse für die Verwendung der Produktionsdaten in Test- und Entwicklungssystemen gemäß Control 8.33 einzurichten.

Darüber hinaus sollten Organisationen die in dieser Kontrolle angesprochenen Maßnahmen berücksichtigen, wenn sie Endbenutzerschulungen in Schulungsumgebungen durchführen.

Nicht zuletzt verwischen Unternehmen möglicherweise bewusst die Grenzen zwischen Entwicklungs-, Test- und Produktionsumgebungen. Tests können beispielsweise in einer Entwicklungsumgebung durchgeführt werden oder Produkttests können durch die tatsächliche Nutzung des Produkts durch Mitarbeiter der Organisation durchgeführt werden.



Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.

Beratung buchen


Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/8.31 ersetzt 27002:2013/(12.1.4 und 14.2.6)

Obwohl die beiden Versionen weitgehend ähnlich sind, gibt es zwei Unterschiede, die hervorgehoben werden sollten.

Control 14.2.6 in der Version 2013 bot detailliertere Anleitungen zu sicheren Entwicklungsumgebungen

Control 14.2.6 in der Version 2013 befasst sich mit sicheren Entwicklungsumgebungen und listet 10 Empfehlungen auf, die Organisationen beim Aufbau einer Entwicklungsumgebung berücksichtigen sollten.

Die Version 2022 hingegen enthielt einige dieser Empfehlungen nicht, wie z. B. die Sicherung an einem externen Standort und Einschränkungen bei der Datenübertragung.

Control 8.31 befasst sich mit Produkttests und der Verwendung von Produktionsdaten

Im Gegensatz zur Version 2013 bietet Control 8.31 in der Version 2022 Hinweise zur Durchführung von Produkttests und zur Verwendung von Produktionsdaten gemäß Control 8.33.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NEUBedrohungsinformationen
5.23NEUInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NEUIKT-Bereitschaft für Geschäftskontinuität
7.4NEUPhysische Sicherheitsüberwachung
8.9NEUKonfigurationsmanagement
8.10NEULöschung von Informationen
8.11NEUDatenmaskierung
8.12NEUVerhinderung von Datenlecks
8.16NEUÜberwachungsaktivitäten
8.23NEUWeb-Filter
8.28NEUSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NEUBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.1208.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.1709.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NEUInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NEUIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Schirmungsmaß
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NEUPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NEUKonfigurationsmanagement
8.10NEULöschung von Informationen
8.11NEUDatenmaskierung
8.12NEUVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NEUÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NEUWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NEUSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Die ISMS.Online-Plattform hilft bei allen Aspekten der Implementierung von ISO 27002, von der Verwaltung von Risikobewertungsaktivitäten bis hin zur Entwicklung von Richtlinien, Verfahren und Leitlinien zur Einhaltung der Anforderungen der Norm.

Es bietet eine Möglichkeit, Ihre Ergebnisse zu dokumentieren und diese online mit Ihren Teammitgliedern zu kommunizieren. Mit ISMS.Online können Sie außerdem Checklisten für alle Aufgaben bei der Implementierung von ISO 27002 erstellen und speichern, sodass Sie den Fortschritt des Sicherheitsprogramms Ihrer Organisation problemlos verfolgen können.

Mit seinem automatisierten Toolset erleichtert ISMS.Online Unternehmen den Nachweis der Einhaltung des ISO 27002-Standards.

Kontaktieren Sie uns noch heute zu Demo anfordern.

Zum Thema springen

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

ISMS-Plattform-Tour

Interessiert an einem ISMS.online-Plattformrundgang?

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und erleben Sie die Magie von ISMS.online in Aktion!

Probieren Sie es kostenlos aus

Wir sind führend auf unserem Gebiet

Benutzer lieben uns
Grid Leader – Frühjahr 2025
Momentum Leader – Frühjahr 2025
Regionalleiter – Frühjahr 2025, Großbritannien
Regionalleiter – Frühjahr 2025 EU
Beste Schätzung. ROI Enterprise – Frühjahr 2025
Empfiehlt Enterprise am ehesten weiter – Frühjahr 2025

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

-Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

-Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

-Ben H.

SOC 2 ist da! Stärken Sie Ihre Sicherheit und gewinnen Sie Kundenvertrauen mit unserer leistungsstarken Compliance-Lösung!