הפרדת סביבות פיתוח, בדיקה וייצור

ISO 27002:2022 – בקרה 8.31 – הפרדת סביבות פיתוח, בדיקה וייצור

ISO 27002 בקרה 8.31 מדגיש את החשיבות של הפרדת סביבות פיתוח, בדיקה וייצור כדי למנוע סיכוני אבטחה, כגון חשיפת נתונים או גישה לא מורשית. הוא מתאר שיטות עבודה מומלצות מרכזיות, כולל הפרדה קפדנית, בקרות הרשאות והגבלות גישה, כדי לשמור על שלמות הנתונים ואבטחתו.

הבטחת הפרדה מאובטחת של סביבות פיתוח, בדיקה וייצור

אי הפרדה נכונה של סביבות פיתוח, בדיקה וייצור עלול לגרום לאובדן זמינות, סודיות ושלמות נכסי המידע.

לדוגמה, אובר פרסמה בטעות מאגר קודים ב-Github שהכיל סיסמאות של משתמשים מסביבת הייצור, וכתוצאה מכך אובדן הסודיות של מידע רגיש.

לכן, ארגונים צריכים ליישם נהלים ובקרות מתאימים להפרדה מאובטחת של סביבות פיתוח, בדיקה וייצור כדי למנוע סיכוני אבטחה.

מטרת הבקרה 8.31

בקרה 8.31 מאפשרת לארגונים לשמור על סודיות, שלמות וזמינות של נכסי מידע רגיש על ידי הפרדת סביבות פיתוח, בדיקה וייצור באמצעות נהלים, בקרות ומדיניות מתאימים.

טבלת בקרה של תכונות 8.31

בקרה 8.31 היא מונעת במהותה והיא דורשת מארגונים להקים וליישם מראש תהליכים ובקרות טכניות כדי להפריד בצורה מאובטחת בין סביבות הפיתוח, הבדיקות והייצור.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#אבטחת יישומים	#הֲגָנָה
	#יושרה		#אבטחת מערכת ורשת
	#זמינות

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 8.31

בהתחשב בכך שבקרה 8.31 כרוכה בהקמה והטמעה של תהליכים ובקרות כלל-ארגוניות להפרדת סביבות תוכנה שונות, קצין אבטחת מידע ראשי, בסיוע צוות הפיתוח, יהיה אחראי בסופו של דבר לתאימות.

הנחיות כלליות בנושא ציות

ארגונים צריכים לקחת בחשבון את בעיות הייצור הפוטנציאליות שיש למנוע בעת קביעת רמת ההפרדה הנדרשת בין שלוש הסביבות.

בפרט, Control 8.31 ממליץ לארגונים לשקול את שבעת הקריטריונים הבאים:

הפרדה ותפעול מערכות פיתוח וייצור במידה נאותה. לדוגמה, השימוש בסביבות וירטואליות ופיזיות נפרדות לייצור יכול להיות שיטה יעילה.
יש לקבוע, לתעד וליישם כללים ונהלי הרשאה מתאימים לשימוש בתוכנה בסביבת הייצור לאחר מעבר בסביבת הפיתוח.
ארגונים צריכים לבדוק ולבדוק שינויים שבוצעו ביישומים ובמערכות ייצור בסביבת בדיקה נפרדת מסביבת הייצור לפני השימוש בשינויים אלו בסביבת הייצור.
אין לאפשר בדיקות בסביבות ייצור אלא אם כן בדיקה כזו מוגדרת ומאושרת לפני הבדיקה.
כלי פיתוח כגון מהדרים ועורכים אינם אמורים להיות נגישים מסביבות הייצור, אלא אם גישה זו נחוצה לחלוטין.
כדי למזער שגיאות, תוויות זיהוי סביבה מתאימות צריכות להיות מוצגות בצורה בולטת בתפריטים.
אין להעביר נכסי מידע רגיש לסביבות פיתוח ובדיקה, אלא אם כן מיושמים אמצעי אבטחה מקבילים במערכות הפיתוח והבדיקה.

הנחיות משלימות בנושא הגנה על סביבות פיתוח ובדיקה

ארגונים צריכים להגן על סביבות פיתוח ובדיקה מפני סיכוני אבטחה תוך התחשבות בדברים הבאים:

כל כלי הפיתוח, האינטגרציה והבדיקה כגון בונים, אינטגרטורים וספריות צריכים להיות מתוקנים ומתעדכנים באופן קבוע.
כל המערכות והתוכנות צריכות להיות מוגדרות בצורה מאובטחת.
הגישה לסביבות צריכה להיות כפופה לבקרות מתאימות.
יש לעקוב ולבדוק שינויים בסביבות ובקוד המאוחסן בה.
סביבות יש לנטר ולבדוק בצורה מאובטחת.
יש לגבות סביבות.

יתר על כן, אין לתת לאדם בודד את הפריבילגיה לבצע שינויים הן בסביבות הפיתוח והן בסביבות הייצור מבלי לקבל אישור קודם. כדי למנוע זאת, ארגונים יכולים להפריד זכויות גישה או להקים וליישם בקרות גישה.

בנוסף, ארגונים יכולים גם לשקול בקרות טכניות נוספות כגון רישום של כל פעילויות הגישה וניטור בזמן אמת של כל הגישה לסביבות אלו.

הנחיות משלימות בקרה 8.31

אם ארגונים לא מצליחים ליישם את האמצעים הדרושים, מערכות המידע שלהם עלולות לעמוד בפני סיכוני אבטחה משמעותיים.

לדוגמה, מפתחים ובודקים בעלי גישה לסביבת הייצור עשויים לבצע שינויים לא רצויים בקבצים או בסביבות מערכת, לבצע קוד לא מורשה או לחשוף בטעות מידע רגיש.

לכן, ארגונים זקוקים לסביבה יציבה כדי לבצע בדיקות חזקות בקוד וכדי למנוע ממפתחים גישה לסביבות הייצור שבהן מתארחים ומעובדים נתונים רגישים בעולם האמיתי.

ארגונים צריכים גם ליישם אמצעים כגון תפקידים ייעודיים יחד עם דרישות הפרדת תפקידים.

איום נוסף על סודיות נתוני הייצור הוא אנשי הפיתוח והבדיקות. כאשר צוותי הפיתוח והבדיקה מבצעים את פעילותם באמצעות אותם מכשירי מחשוב, הם עלולים לבצע שינויים בטעות במידע רגיש או בתוכנות.

מומלץ לארגונים להקים תהליכים תומכים לשימוש בנתוני הייצור במערכות בדיקה ופיתוח בהתאם לבקרה 8.33.

יתרה מכך, ארגונים צריכים לקחת בחשבון את האמצעים הנזכרים בבקרה זו כאשר הם מבצעים הדרכת משתמשי קצה בסביבות הדרכה.

אחרון חביב, ארגונים עשויים לטשטש בכוונה את הגבול בין סביבות פיתוח, בדיקות וייצור. לדוגמה, ניתן לבצע בדיקות בסביבת פיתוח או לבצע בדיקות מוצר על ידי שימוש בפועל במוצר על ידי צוות בארגון.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.31 מחליף את 27002:2013/(12.1.4 ו-14.2.6)

בעוד ששתי הגרסאות דומות במידה רבה, יש שני הבדלים שצריך להדגיש.

בקרה 14.2.6 בגרסת 2013 סיפקה הנחיות מפורטות יותר על סביבות פיתוח מאובטחות

Control 14.2.6 בגרסת 2013 מתייחס לסביבות פיתוח מאובטחות ומפרט 10 המלצות שעל ארגונים לקחת בחשבון בעת בניית סביבת פיתוח.

גרסת 2022, לעומת זאת, לא הכילה חלק מההמלצות הללו כמו גיבוי במיקום מחוץ לאתר והגבלות על העברת נתונים.

בקרה 8.31 מתייחסת לבדיקות מוצרים ושימוש בנתוני ייצור

בניגוד לגרסת 2013, בקרה 8.31 בגרסת 2022 מספקת הנחיות כיצד יש לבצע בדיקות מוצר ולשימוש בנתוני ייצור בהתאם לבקרה 8.33.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

פלטפורמת ISMS.Online מסייעת בכל ההיבטים של יישום ISO 27002, מניהול פעילויות הערכת סיכונים ועד לפיתוח מדיניות, נהלים והנחיות לעמידה בדרישות התקן.

זה מספק דרך לתעד את הממצאים שלך ולתקשר אותם עם חברי הצוות שלך באינטרנט. ISMS.Online גם מאפשר לך ליצור ולשמור רשימות ביקורת עבור כל המשימות הכרוכות ביישום ISO 27002, כך שתוכל לעקוב בקלות אחר התקדמות תוכנית האבטחה של הארגון שלך.

עם ערכת הכלים האוטומטית שלה, ISMS.Online מקל על ארגונים להוכיח עמידה בתקן ISO 27002.

פנה אלינו עוד היום ל קבע הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו