אי הפרדה נכונה של סביבות פיתוח, בדיקה וייצור עלול לגרום לאובדן זמינות, סודיות ושלמות נכסי המידע.
לדוגמה, אובר פרסמה בטעות מאגר קודים ב-Github שהכיל סיסמאות של משתמשים מסביבת הייצור, וכתוצאה מכך אובדן הסודיות של מידע רגיש.
לכן, ארגונים צריכים ליישם נהלים ובקרות מתאימים להפרדה מאובטחת של סביבות פיתוח, בדיקה וייצור כדי למנוע סיכוני אבטחה.
בקרה 8.31 מאפשרת לארגונים לשמור על סודיות, שלמות וזמינות של נכסי מידע רגיש על ידי הפרדת סביבות פיתוח, בדיקה וייצור באמצעות נהלים, בקרות ומדיניות מתאימים.
בקרה 8.31 היא מונעת במהותה והיא דורשת מארגונים להקים וליישם מראש תהליכים ובקרות טכניות כדי להפריד בצורה מאובטחת בין סביבות הפיתוח, הבדיקות והייצור.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #אבטחת יישומים #אבטחת מערכת ורשת | #הֲגָנָה |
בהתחשב בכך שבקרה 8.31 כרוכה בהקמה והטמעה של תהליכים ובקרות כלל-ארגוניות להפרדת סביבות תוכנה שונות, קצין אבטחת מידע ראשי, בסיוע צוות הפיתוח, יהיה אחראי בסופו של דבר לתאימות.
ארגונים צריכים לקחת בחשבון את בעיות הייצור הפוטנציאליות שיש למנוע בעת קביעת רמת ההפרדה הנדרשת בין שלוש הסביבות.
בפרט, Control 8.31 ממליץ לארגונים לשקול את שבעת הקריטריונים הבאים:
ארגונים צריכים להגן על סביבות פיתוח ובדיקה מפני סיכוני אבטחה תוך התחשבות בדברים הבאים:
יתר על כן, אין לתת לאדם בודד את הפריבילגיה לבצע שינויים הן בסביבות הפיתוח והן בסביבות הייצור מבלי לקבל אישור קודם. כדי למנוע זאת, ארגונים יכולים להפריד זכויות גישה או להקים וליישם בקרות גישה.
בנוסף, ארגונים יכולים גם לשקול בקרות טכניות נוספות כגון רישום של כל פעילויות הגישה וניטור בזמן אמת של כל הגישה לסביבות אלו.
אם ארגונים לא מצליחים ליישם את האמצעים הדרושים, מערכות המידע שלהם עלולות לעמוד בפני סיכוני אבטחה משמעותיים.
לדוגמה, מפתחים ובודקים בעלי גישה לסביבת הייצור עשויים לבצע שינויים לא רצויים בקבצים או בסביבות מערכת, לבצע קוד לא מורשה או לחשוף בטעות מידע רגיש.
לכן, ארגונים זקוקים לסביבה יציבה כדי לבצע בדיקות חזקות בקוד וכדי למנוע ממפתחים גישה לסביבות הייצור שבהן מתארחים ומעובדים נתונים רגישים בעולם האמיתי.
ארגונים צריכים גם ליישם אמצעים כגון תפקידים ייעודיים יחד עם דרישות הפרדת תפקידים.
איום נוסף על סודיות נתוני הייצור הוא אנשי הפיתוח והבדיקות. כאשר צוותי הפיתוח והבדיקה מבצעים את פעילותם באמצעות אותם מכשירי מחשוב, הם עלולים לבצע שינויים בטעות במידע רגיש או בתוכנות.
מומלץ לארגונים להקים תהליכים תומכים לשימוש בנתוני הייצור במערכות בדיקה ופיתוח בהתאם לבקרה 8.33.
יתרה מכך, ארגונים צריכים לקחת בחשבון את האמצעים הנזכרים בבקרה זו כאשר הם מבצעים הדרכת משתמשי קצה בסביבות הדרכה.
אחרון חביב, ארגונים עשויים לטשטש בכוונה את הגבול בין סביבות פיתוח, בדיקות וייצור. לדוגמה, ניתן לבצע בדיקות בסביבת פיתוח או לבצע בדיקות מוצר על ידי שימוש בפועל במוצר על ידי צוות בארגון.
27002:2022/8.31 מחליף את 27002:2013/(12.1.4 ו-14.2.6)
בעוד ששתי הגרסאות דומות במידה רבה, יש שני הבדלים שצריך להדגיש.
Control 14.2.6 בגרסת 2013 מתייחס לסביבות פיתוח מאובטחות ומפרט 10 המלצות שעל ארגונים לקחת בחשבון בעת בניית סביבת פיתוח.
גרסת 2022, לעומת זאת, לא הכילה חלק מההמלצות הללו כמו גיבוי במיקום מחוץ לאתר והגבלות על העברת נתונים.
בניגוד לגרסת 2013, בקרה 8.31 בגרסת 2022 מספקת הנחיות כיצד יש לבצע בדיקות מוצר ולשימוש בנתוני ייצור בהתאם לבקרה 8.33.
פלטפורמת ISMS.Online מסייעת בכל ההיבטים של יישום ISO 27002, מניהול פעילויות הערכת סיכונים ועד לפיתוח מדיניות, נהלים והנחיות לעמידה בדרישות התקן.
זה מספק דרך לתעד את הממצאים שלך ולתקשר אותם עם חברי הצוות שלך באינטרנט. ISMS.Online גם מאפשר לך ליצור ולשמור רשימות ביקורת עבור כל המשימות הכרוכות ביישום ISO 27002, כך שתוכל לעקוב בקלות אחר התקדמות תוכנית האבטחה של הארגון שלך.
עם ערכת הכלים האוטומטית שלה, ISMS.Online מקל על ארגונים להוכיח עמידה בתקן ISO 27002.
פנה אלינו עוד היום ל קבע הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |