Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

CIS Critical Security Controls v7.1 (SANS Top 20)

Framework

CSC 18.9

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
16.8
16.8 Separate Production and Non-Production Systems
Maintain separate environments for production and non-production systems. 
NIST Cybersecurity Framework (RU):
PR.DS-7
PR.DS-7: Среда разработки и тестирования отделена от производственной среды 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗИС.1 ЗИС.1 Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.5.3
6.5.3
Defined Approach Requirements: 
Pre-production environments are separated from production environments and the separation is enforced with access controls. 

Customized Approach Objective:
Pre-production environments cannot introduce risks and vulnerabilities into production environments. 

Defined Approach Testing Procedures:
  • 6.5.3.a Examine policies and procedures to verify that processes are defined for separating the preproduction environment from the production environment via access controls that enforce the separation. 
  • 6.5.3.b Examine network documentation and configurations of network security controls to verify that the pre-production environment is separate from the production environment(s). 
  • 6.5.3.c Examine access control settings to verify that access controls are in place to enforce separation between the pre-production and production environment(s). 
Purpose:
Purpose Due to the constantly changing state of preproduction environments, they are often less secure than the production environment. 

Good Practice:
Organizations must clearly understand which environments are test environments or development environments and how these environments interact on the level of networks and applications. 

Definitions:
Pre-production environments include development, testing, user acceptance testing (UAT), etc. Even where production infrastructure is used to facilitate testing or development, production environments still need to be separated (logically or physically) from preproduction functionality such that vulnerabilities introduced as a result of pre-production activities do not adversely affect production systems. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.1.4
A.12.1.4 Разделение сред разработки, тестирования и эксплуатации 
Мера обеспечения информационной безопасности: Для снижения рисков несанкционированного доступа или изменений среды эксплуатации необходимо обеспечивать разделение сред разработки, тестирования и эксплуатации 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.5.3
6.5.3
Определенные Требования к Подходу:
Предпроизводственные среды отделены от производственных сред, и это разделение обеспечивается с помощью средств контроля доступа.

Цель Индивидуального подхода:
Предпроизводственная среда не может привносить риски и уязвимости в производственную среду.

Определенные Процедуры Тестирования Подхода:
  • 6.5.3.a Изучите политики и процедуры, чтобы убедиться, что определены процессы для отделения среды подготовки производства от производственной среды с помощью средств управления доступом, которые обеспечивают разделение.
  • 6.5.3.b Изучите сетевую документацию и конфигурации средств управления сетевой безопасностью, чтобы убедиться, что предпроизводственная среда отделена от производственной среды (ов).
  • 6.5.3.c Проверьте настройки контроля доступа, чтобы убедиться, что средства контроля доступа установлены для обеспечения разделения между предварительной и производственной средой (средами).
Цель:
Среды разработки и тестирования из-за постоянно меняющегося состояния часто менее безопасны, чем производственная среда.

Надлежащая практика:
Организации должны четко понимать, какие среды являются средами тестирования или средами разработки, и как эти среды взаимодействуют на уровне сетей и приложений.

Определения:
Предпроизводственные среды включают разработку, тестирование, приемочное тестирование пользователей (UAT) и т.д. Даже в тех случаях, когда производственная инфраструктура используется для облегчения тестирования или разработки, производственные среды все равно должны быть отделены (логически или физически) от функциональных возможностей подготовки производства, чтобы уязвимости, возникающие в результате подготовительных действий, не оказывали негативного влияния на производственные системы.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗИС.1 ЗИС.1 Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.1 ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями
NIST Cybersecurity Framework (EN):
PR.DS-7 PR.DS-7: The development and testing environment(s) are separate from the production environment
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.1 ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями

Связанные защитные меры

Ничего не найдено