Tuotanto-, testaus- ja kehitysympäristöjen erottaminen

Critical
High
Normal
Low

Kehitettävänä, testauksessa ja tuotannossa olevia ohjelmistoja ajetaan eriytetyissä teknisissä ympäristöissä, jotta kehitystyön laatu voidaan varmistaa tuotantoympäristöä mukailevassa ympäristössä ja toisaalta tuotantoympäristöä ei häiritä keskeneräisellä kehityksellä.

Käyttäjien arkaluonteisia tai henkilökohtaisia tietoja ei kopioida ja käytetä kehitysympäristössä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
14.2.6: Secure development environment
ISO 27001
12.1.4: Separation of development, testing and operational environments
ISO 27001

Valtuutettujen, koodimuutoksia julkaisevien käyttäjien listaus

Critical
High
Normal
Low

Vain ennalta määritellyt, valtuutetut käyttäjät saavat julkaista muutoksia koodiin.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12.5: Control of operational software
ISO 27001
12.5.1: Installation of software on operational systems
ISO 27001

Ohjelmistojen ja ohjelmistokirjastojen asentamiseen valtuutetut käyttäjät ja säännöt

Critical
High
Normal
Low

Ohjelmistojen hallinnoimattomat asennukset tietokoneille voivat johtaa haavoittuvuuksiin ja tietoturvahäiriöihin.

Organisaation olisi määriteltävä, minkä tyyppisiä ohjelmistoja tai päivityksiä kukin käyttäjä voi asentaa. Ohjeet voivat sisältää mm. seuraavia reunaviivoja:

  • vain erikseen nimetyt henkilöt saavat asentaa laitteille uusia ohjelmia
  • aiemmin erikseen turvalliseksi määriteltyjä ohjelmia saa asentaa kuka tahansa
  • tiettyjen ohjelmistojen käyttö voi olla mahdotonta kaikille
  • olemassa olevien ohjelmistojen päivitykset ja tietoturvakorjaukset ovat sallittuja asentaa kaikille
Liittyvät muut vaatimuskehikot ja vaatimukset:
12.6.2: Restrictions on software installation
ISO 27001
DE.CM-5: Unauthorized mobile code detection
NIST

Julkaisulokin ylläpitäminen

Critical
High
Normal
Low

Kaikista tuotanto- tai asiakaskäytössä oleviin ohjelmistoihin tai omiin IT-palveluihin tehdyistä päivityksistä olisi pidettävä tapahtumalokia.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12.5: Control of operational software
ISO 27001
12.5.1: Installation of software on operational systems
ISO 27001
No items found.