Beveiligde ontwikkel- (en test) omgeving
Verwante principes | ||||||||||||||||||
Het traject van ontwikkelen van een applicatie en het in productie nemen van de resultaten van dit ontwikkeltraject vindt gefaseerd plaats in specifieke omgevingen. Bij de ontwikkeling worden vier omgevingen onderscheiden:
- 'Ontwikkelomgeving'
Hierin wordt de programmacode ontwikkeld. Om te voorkomen dat ontwikkelingen het productieproces kunnen beïnvloed is deze omgeving gescheiden van de productie omgeving.
- 'Testomgeving'
Hierin worden de uit de ontwikkelomgeving afkomstige producten getest door professionele testteams. Aanwezige, in de testomgeving gesignaleerde, onvolkomenheden in de software worden weer via ontwikkelomgeving aangepast. Dit is een iteratief proces totdat uit de test naar voren komt dat het product geschikt is om in productie te nemen;
- 'Acceptatieomgeving'
Hierin worden de softwareproducten (nog éénmaal grondig) getest en bij positief resultaat door de gebruikers en beheerders geaccepteerd. Bij eventuele onvolkomenheden worden de softwareproducten niet geaccepteerd (no-go) en terug gestuurd naar de testomgeving of ontwikkelomgeving;
- 'Productieomgeving'
Hierin worden de nieuwe softwareproducten uitgerold. De Productie omgeving is de omgeving waarin de nieuwe softwareproducten functioneel en actief moeten zijn. De in de voorgaande omgevingen uitgevoerde stappen moeten zo veel mogelijk garanderen dat nieuw ontwikkelde software geen fouten bevat die de productiegegevens kunnen corrumperen.
In principe zijn alle omgevingen los van elkaar ingericht en vindt behalve via formele overdrachten geen contact plaats tussen de verschillende omgevingen.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op Beveiligingsaspect Uitvoering
- valt binnen de IFGS-indeling IFGS Gedrag
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is NEN-ISO/IEC 27002 14.2.6
Onderliggende normen
| ID | Conformiteitsindicator | Stelling |
|---|---|---|
| AppO_U.12.01 | beveiligde ontwikkelomgevingen |
Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. |
| AppO_U.12.02 | beveiligde ontwikkelomgevingen |
De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces. |
| AppO_U.12.03 | beveiligde ontwikkelomgevingen |
De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen. |
| AppO_U.12.04 | beveiligde ontwikkelomgevingen |
Voor remote werkzaamheden is een werkwijze vastgelegd. |
| AppO_U.12.05 | beveiligde ontwikkelomgevingen |
Ontwikkelaars hebben geen toegang tot de Productie-omgeving. |
| AppO_U.12.06 | beveiligde ontwikkelomgevingen |
T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures. |
| AppO_U.12.07 | beveiligde ontwikkelomgevingen |
De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats. |
| AppO_U.12.08 | beveiligde ontwikkelomgevingen |
De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats. |
