Куда я попал?
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022
Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А
А.8.31
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.6
ЖЦ.6 Контроль предоставления и обеспечение разграничения доступа в сегментах разработки и тестирования
3-О 2-О 1-О
3-О 2-О 1-О
ЖЦ.7
ЖЦ.7 Реализация запрета использования защищаемой информации в сегментах разработки и тестирования (за исключением конфигурационной информации, определяющей параметры работы АС)
3-О 2-О 1-О
3-О 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 2 п.п. 3
7.2.3. С целью предупреждения возникновения и снижения рисков нарушения ИБ не допускается совмещения в рамках одной роли следующих функций: разработки и сопровождения АБС/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в АБС и контроля их выполнения.
CIS Critical Security Controls v8 (The 18 CIS CSC):
16.1
16.1 Establish and Maintain a Secure Application Development Process
Establish and maintain a secure application development process. In the process, address such items as: secure application design standards, secure coding practices, developer training, vulnerability management, security of third-party code, and application security testing procedures. Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard.
Establish and maintain a secure application development process. In the process, address such items as: secure application design standards, secure coding practices, developer training, vulnerability management, security of third-party code, and application security testing procedures. Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard.
16.8
16.8 Separate Production and Non-Production Systems
Maintain separate environments for production and non-production systems.
Maintain separate environments for production and non-production systems.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
СМЭ.7
СМЭ.7 Реализация запрета сетевого взаимодействия сегмента разработки и тестирования и иных внутренних вычислительных сетей финансовой организации по инициативе сегмента разработки и тестирования
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.DS-7
PR.DS-7: Среда разработки и тестирования отделена от производственной среды
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
УИ.16.5
УИ.16.5 Раздельное управление стандартами конфигурирования (в том числе их раздельное использование) для сред разработки, тестирования и постоянной эксплуатации;
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
16.1
16.1 Реализован и поддерживается процесс безопасной разработки программного обеспечения
Описание процесса включает стандарты безопасного проектирования ПО, стандарты безопасного написания кода, регулярное обучение разработчиков, управление уязвимостями, контроль сторонней разработки и процедуры тестирования ПО.
Описание процесса включает стандарты безопасного проектирования ПО, стандарты безопасного написания кода, регулярное обучение разработчиков, управление уязвимостями, контроль сторонней разработки и процедуры тестирования ПО.
16.8
16.8 Реализовано разделение производственных и непроизводственных систем
Окружение систем, находящихся в эксплуатации отделено от окружения тестовых/испытываемых систем.
Окружение систем, находящихся в эксплуатации отделено от окружения тестовых/испытываемых систем.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.5.3
6.5.3
Defined Approach Requirements:
Pre-production environments are separated from production environments and the separation is enforced with access controls.
Customized Approach Objective:
Pre-production environments cannot introduce risks and vulnerabilities into production environments.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Pre-production environments are separated from production environments and the separation is enforced with access controls.
Customized Approach Objective:
Pre-production environments cannot introduce risks and vulnerabilities into production environments.
Defined Approach Testing Procedures:
- 6.5.3.a Examine policies and procedures to verify that processes are defined for separating the preproduction environment from the production environment via access controls that enforce the separation.
- 6.5.3.b Examine network documentation and configurations of network security controls to verify that the pre-production environment is separate from the production environment(s).
- 6.5.3.c Examine access control settings to verify that access controls are in place to enforce separation between the pre-production and production environment(s).
Purpose:
Purpose Due to the constantly changing state of preproduction environments, they are often less secure than the production environment.
Good Practice:
Organizations must clearly understand which environments are test environments or development environments and how these environments interact on the level of networks and applications.
Definitions:
Pre-production environments include development, testing, user acceptance testing (UAT), etc. Even where production infrastructure is used to facilitate testing or development, production environments still need to be separated (logically or physically) from preproduction functionality such that vulnerabilities introduced as a result of pre-production activities do not adversely affect production systems.
Purpose Due to the constantly changing state of preproduction environments, they are often less secure than the production environment.
Good Practice:
Organizations must clearly understand which environments are test environments or development environments and how these environments interact on the level of networks and applications.
Definitions:
Pre-production environments include development, testing, user acceptance testing (UAT), etc. Even where production infrastructure is used to facilitate testing or development, production environments still need to be separated (logically or physically) from preproduction functionality such that vulnerabilities introduced as a result of pre-production activities do not adversely affect production systems.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.1.4
A.12.1.4 Разделение сред разработки, тестирования и эксплуатации
Мера обеспечения информационной безопасности: Для снижения рисков несанкционированного доступа или изменений среды эксплуатации необходимо обеспечивать разделение сред разработки, тестирования и эксплуатации
Мера обеспечения информационной безопасности: Для снижения рисков несанкционированного доступа или изменений среды эксплуатации необходимо обеспечивать разделение сред разработки, тестирования и эксплуатации
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 18.1
CSC 18.1 Establish Secure Coding Practices
Establish secure coding practices appropriate to the programming language and development environment being used.
Establish secure coding practices appropriate to the programming language and development environment being used.
CSC 18.9
CSC 18.9 Separate Production and Non-Production Systems
Maintain separate environments for production and non-production systems. Developers should not have unmonitored access to production environments.
Maintain separate environments for production and non-production systems. Developers should not have unmonitored access to production environments.
CSC 20.5
CSC 20.5 Create Test Bed for Elements Not Typically Tested in Production
Create a test bed that mimics a production environment for specific penetration tests and Red Team attacks against elements that are not typically tested in production, such as attacks against supervisory control and data acquisition and other control systems.
Create a test bed that mimics a production environment for specific penetration tests and Red Team attacks against elements that are not typically tested in production, such as attacks against supervisory control and data acquisition and other control systems.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.5.3
6.5.3
Определенные Требования к Подходу:
Предпроизводственные среды отделены от производственных сред, и это разделение обеспечивается с помощью средств контроля доступа.
Цель Индивидуального подхода:
Предпроизводственная среда не может привносить риски и уязвимости в производственную среду.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Предпроизводственные среды отделены от производственных сред, и это разделение обеспечивается с помощью средств контроля доступа.
Цель Индивидуального подхода:
Предпроизводственная среда не может привносить риски и уязвимости в производственную среду.
Определенные Процедуры Тестирования Подхода:
- 6.5.3.a Изучите политики и процедуры, чтобы убедиться, что определены процессы для отделения среды подготовки производства от производственной среды с помощью средств управления доступом, которые обеспечивают разделение.
- 6.5.3.b Изучите сетевую документацию и конфигурации средств управления сетевой безопасностью, чтобы убедиться, что предпроизводственная среда отделена от производственной среды (ов).
- 6.5.3.c Проверьте настройки контроля доступа, чтобы убедиться, что средства контроля доступа установлены для обеспечения разделения между предварительной и производственной средой (средами).
Цель:
Среды разработки и тестирования из-за постоянно меняющегося состояния часто менее безопасны, чем производственная среда.
Надлежащая практика:
Организации должны четко понимать, какие среды являются средами тестирования или средами разработки, и как эти среды взаимодействуют на уровне сетей и приложений.
Определения:
Предпроизводственные среды включают разработку, тестирование, приемочное тестирование пользователей (UAT) и т.д. Даже в тех случаях, когда производственная инфраструктура используется для облегчения тестирования или разработки, производственные среды все равно должны быть отделены (логически или физически) от функциональных возможностей подготовки производства, чтобы уязвимости, возникающие в результате подготовительных действий, не оказывали негативного влияния на производственные системы.
Среды разработки и тестирования из-за постоянно меняющегося состояния часто менее безопасны, чем производственная среда.
Надлежащая практика:
Организации должны четко понимать, какие среды являются средами тестирования или средами разработки, и как эти среды взаимодействуют на уровне сетей и приложений.
Определения:
Предпроизводственные среды включают разработку, тестирование, приемочное тестирование пользователей (UAT) и т.д. Даже в тех случаях, когда производственная инфраструктура используется для облегчения тестирования или разработки, производственные среды все равно должны быть отделены (логически или физически) от функциональных возможностей подготовки производства, чтобы уязвимости, возникающие в результате подготовительных действий, не оказывали негативного влияния на производственные системы.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
9.3.1.2.
Осуществляется разделение сред для разработки, тестирования и развертывания приложений (DEV-TEST-PROD)
NIST Cybersecurity Framework (EN):
PR.DS-7
PR.DS-7: The development and testing environment(s) are separate from the production environment
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.31
А.8.31 Separation of development, test and production environments
Development, testing and production environments shall be separated and secured.
Development, testing and production environments shall be separated and secured.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.