ISO 27002:2022, בקרה 8.31 - הפרדת סביבות פיתוח, בדיקה וייצור

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

משרד,בניין.,גורד שחקים.,חוץ,של,בניין

אי הפרדה נכונה של סביבות פיתוח, בדיקה וייצור עלול לגרום לאובדן זמינות, סודיות ושלמות נכסי המידע.

לדוגמה, אובר פרסמה בטעות מאגר קודים ב-Github שהכיל סיסמאות של משתמשים מסביבת הייצור, וכתוצאה מכך אובדן הסודיות של מידע רגיש.

לכן, ארגונים צריכים ליישם נהלים ובקרות מתאימים להפרדה מאובטחת של סביבות פיתוח, בדיקה וייצור כדי למנוע סיכוני אבטחה.

מטרת הבקרה 8.31

בקרה 8.31 מאפשרת לארגונים לשמור על סודיות, שלמות וזמינות של נכסי מידע רגיש על ידי הפרדת סביבות פיתוח, בדיקה וייצור באמצעות נהלים, בקרות ומדיניות מתאימים.

טבלת תכונות

בקרה 8.31 היא מונעת במהותה והיא דורשת מארגונים להקים וליישם מראש תהליכים ובקרות טכניות כדי להפריד בצורה מאובטחת בין סביבות הפיתוח, הבדיקות והייצור.

סוג הבקרה מאפייני אבטחת מידעמושגי אבטחת סייבר יכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ #סודיות
#יושרה
#זמינות		#לְהַגֵן #אבטחת יישומים
#אבטחת מערכת ורשת		#הֲגָנָה
קפוץ לנושא
קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

בעלות על שליטה 8.31

בהתחשב בכך שבקרה 8.31 כרוכה בהקמה והטמעה של תהליכים ובקרות כלל-ארגוניות להפרדת סביבות תוכנה שונות, קצין אבטחת מידע ראשי, בסיוע צוות הפיתוח, יהיה אחראי בסופו של דבר לתאימות.

הנחיות כלליות בנושא ציות

ארגונים צריכים לקחת בחשבון את בעיות הייצור הפוטנציאליות שיש למנוע בעת קביעת רמת ההפרדה הנדרשת בין שלוש הסביבות.

בפרט, Control 8.31 ממליץ לארגונים לשקול את שבעת הקריטריונים הבאים:

  1. הפרדה ותפעול מערכות פיתוח וייצור במידה נאותה. לדוגמה, השימוש בסביבות וירטואליות ופיזיות נפרדות לייצור יכול להיות שיטה יעילה.

  2. יש לקבוע, לתעד וליישם כללים ונהלי הרשאה מתאימים לשימוש בתוכנה בסביבת הייצור לאחר מעבר בסביבת הפיתוח.

  3. ארגונים צריכים לבדוק ולבדוק שינויים שבוצעו ביישומים ובמערכות ייצור בסביבת בדיקה נפרדת מסביבת הייצור לפני השימוש בשינויים אלו בסביבת הייצור.

  4. אין לאפשר בדיקות בסביבות ייצור אלא אם כן בדיקה כזו מוגדרת ומאושרת לפני הבדיקה.

  5. כלי פיתוח כגון מהדרים ועורכים אינם אמורים להיות נגישים מסביבות הייצור, אלא אם גישה זו נחוצה לחלוטין.

  6. כדי למזער שגיאות, תוויות זיהוי סביבה מתאימות צריכות להיות מוצגות בצורה בולטת בתפריטים.

  7. אין להעביר נכסי מידע רגיש לסביבות פיתוח ובדיקה, אלא אם כן מיושמים אמצעי אבטחה מקבילים במערכות הפיתוח והבדיקה.

הנחיות משלימות בנושא הגנה על סביבות פיתוח ובדיקה

ארגונים צריכים להגן על סביבות פיתוח ובדיקה מפני סיכוני אבטחה תוך התחשבות בדברים הבאים:

  • כל כלי הפיתוח, האינטגרציה והבדיקה כגון בונים, אינטגרטורים וספריות צריכים להיות מתוקנים ומתעדכנים באופן קבוע.

  • כל המערכות והתוכנות צריכות להיות מוגדרות בצורה מאובטחת.

  • הגישה לסביבות צריכה להיות כפופה לבקרות מתאימות.

  • יש לעקוב ולבדוק שינויים בסביבות ובקוד המאוחסן בה.

  • סביבות יש לנטר ולבדוק בצורה מאובטחת.

  • יש לגבות סביבות.

יתר על כן, אין לתת לאדם בודד את הפריבילגיה לבצע שינויים הן בסביבות הפיתוח והן בסביבות הייצור מבלי לקבל אישור קודם. כדי למנוע זאת, ארגונים יכולים להפריד זכויות גישה או להקים וליישם בקרות גישה.

בנוסף, ארגונים יכולים גם לשקול בקרות טכניות נוספות כגון רישום של כל פעילויות הגישה וניטור בזמן אמת של כל הגישה לסביבות אלו.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

הנחיות משלימות בקרה 8.31

אם ארגונים לא מצליחים ליישם את האמצעים הדרושים, מערכות המידע שלהם עלולות לעמוד בפני סיכוני אבטחה משמעותיים.

לדוגמה, מפתחים ובודקים בעלי גישה לסביבת הייצור עשויים לבצע שינויים לא רצויים בקבצים או בסביבות מערכת, לבצע קוד לא מורשה או לחשוף בטעות מידע רגיש.

לכן, ארגונים זקוקים לסביבה יציבה כדי לבצע בדיקות חזקות בקוד וכדי למנוע ממפתחים גישה לסביבות הייצור שבהן מתארחים ומעובדים נתונים רגישים בעולם האמיתי.

ארגונים צריכים גם ליישם אמצעים כגון תפקידים ייעודיים יחד עם דרישות הפרדת תפקידים.

איום נוסף על סודיות נתוני הייצור הוא אנשי הפיתוח והבדיקות. כאשר צוותי הפיתוח והבדיקה מבצעים את פעילותם באמצעות אותם מכשירי מחשוב, הם עלולים לבצע שינויים בטעות במידע רגיש או בתוכנות.

מומלץ לארגונים להקים תהליכים תומכים לשימוש בנתוני הייצור במערכות בדיקה ופיתוח בהתאם לבקרה 8.33.

יתרה מכך, ארגונים צריכים לקחת בחשבון את האמצעים הנזכרים בבקרה זו כאשר הם מבצעים הדרכת משתמשי קצה בסביבות הדרכה.

אחרון חביב, ארגונים עשויים לטשטש בכוונה את הגבול בין סביבות פיתוח, בדיקות וייצור. לדוגמה, ניתן לבצע בדיקות בסביבת פיתוח או לבצע בדיקות מוצר על ידי שימוש בפועל במוצר על ידי צוות בארגון.

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.31 מחליף את 27002:2013/(12.1.4 ו-14.2.6)

בעוד ששתי הגרסאות דומות במידה רבה, יש שני הבדלים שצריך להדגיש.

בקרה 14.2.6 בגרסת 2013 סיפקה הנחיות מפורטות יותר על סביבות פיתוח מאובטחות

Control 14.2.6 בגרסת 2013 מתייחס לסביבות פיתוח מאובטחות ומפרט 10 המלצות שעל ארגונים לקחת בחשבון בעת ​​בניית סביבת פיתוח.

גרסת 2022, לעומת זאת, לא הכילה חלק מההמלצות הללו כמו גיבוי במיקום מחוץ לאתר והגבלות על העברת נתונים.

בקרה 8.31 מתייחסת לבדיקות מוצרים ושימוש בנתוני ייצור

בניגוד לגרסת 2013, בקרה 8.31 בגרסת 2022 מספקת הנחיות כיצד יש לבצע בדיקות מוצר ולשימוש בנתוני ייצור בהתאם לבקרה 8.33.

כיצד ISMS.online עוזר

פלטפורמת ISMS.Online מסייעת בכל ההיבטים של יישום ISO 27002, מניהול פעילויות הערכת סיכונים ועד לפיתוח מדיניות, נהלים והנחיות לעמידה בדרישות התקן.

זה מספק דרך לתעד את הממצאים שלך ולתקשר אותם עם חברי הצוות שלך באינטרנט. ISMS.Online גם מאפשר לך ליצור ולשמור רשימות ביקורת עבור כל המשימות הכרוכות ביישום ISO 27002, כך שתוכל לעקוב בקלות אחר התקדמות תוכנית האבטחה של הארגון שלך.

עם ערכת הכלים האוטומטית שלה, ISMS.Online מקל על ארגונים להוכיח עמידה בתקן ISO 27002.

פנה אלינו עוד היום ל קבע הדגמה.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת
פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף