Scheiding van ontwikkel-, test- en productieomgevingen

Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	APO_U.11
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Objectdefinitie

Identificatie en implementatie van het benodigde scheidingsniveau tussen ontwikkel-, test- en productieomgevingen om operationele problemen, ongeautoriseerde wijzigingen en beveiligingsincidenten te voorkomen.

Objecttoelichting

Het traject van ontwikkelen van een applicatie en het in productie nemen van de resultaten van dit ontwikkeltraject vindt gefaseerd plaats in specifieke omgevingen. Bij de ontwikkeling worden vier omgevingen onderscheiden:

Ontwikkelomgeving, Hierin wordt de programmacode ontwikkeld. Om te voorkomen dat ontwikkelingen het productieproces kunnen beïnvloeden, is deze omgeving gescheiden van de productie-omgeving.
Testomgeving, Hierin worden de uit de ontwikkelomgeving afkomstige producten getest door professionele testteams. In de testomgeving gesignaleerde onvolkomenheden in de software worden weer via ontwikkelomgeving aangepast. Dit is een iteratief proces totdat uit de test naar voren komt dat het product geschikt is om in productie te nemen.
Acceptatieomgeving, Hierin worden de software-producten (nog eenmaal) grondig getest en bij positief resultaat door de gebruikers en beheerders geaccepteerd. Bij eventuele onvolkomenheden worden de software-producten niet geaccepteerd (no-go) en teruggestuurd naar de test- of ontwikkelomgeving.
Productieomgeving, Hierin worden de nieuwe softwareproducten uitgerold. De Productie omgeving is de omgeving waarin de nieuwe softwareproducten functioneel en actief moeten zijn. De in de voorgaande omgevingen uitgevoerde stappen moeten zo veel mogelijk garanderen dat nieuw ontwikkelde software geen fouten bevat die de productiegegevens kunnen corrumperen.

In principe zijn alle omgevingen los van elkaar ingericht en vindt behalve via formele overdrachten geen contact plaats tussen de verschillende omgevingen.

Criterium

Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden en beveiligd.

Doelstelling

Het voorkomen dat door ontwikkelactiviteiten het productieproces negatief beïnvloed wordt.

Risico

Als ontwikkel-, test-, acceptatie- en productieomgevingen niet voldoende van elkaar zijn gescheiden, bestaat het risico dat ongeautoriseerde wijzigingen, testactiviteiten of fouten uit eerdere fasen invloed hebben op de productieomgeving, waardoor productiegegevens worden aangetast, beveiligingsincidenten ontstaan en de continuïteit van de dienstverlening wordt verstoord.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 8.31

Onderliggende normen

ID	Conformiteitsindicator	Stelling
APO_U.11.01	Ontwikkel-, test- en productieomgevingen	Het scheidingsniveau tussen de ontwikkel-, test- en productieomgevingen is geïdentificeerd en geïmplementeerd, waarbij rekening is gehouden met de volgende aspecten: fysieke of logische scheiding van omgevingen (bijv. verschillende domeinen); gedocumenteerde regels en autorisaties om software naar andere omgevingen te verplaatsen; geen toegang tot ontwikkelinstrumenten of systeemhulpmiddelen vanuit productie, tenzij noodzakelijk; duidelijke identificatielabels voor omgevingen om fouten te voorkomen; geen gevoelige informatie naar ontwikkel- of testomgevingen kopiëren zonder gelijkwaardige beveiliging; bescherming van ontwikkel- en testomgevingen door patching van tools en bibliotheken, beveiligde configuraties, toegangsbeveiliging, monitoring van veranderingen en omgevingen, alsmede regelmatige back-ups; scheiding van taken zodat één persoon niet zelfstandig wijzigingen in ontwikkeling én productie kan doorvoeren.
APO_U.11.02	Ontwikkel-, test- en productieomgevingen	In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de proceseigenaar kan hiervan worden afgeweken.
APO_U.11.03	Ontwikkel-, test- en productieomgevingen	Significante wijzigingen in de productieomgeving worden altijd getest voordat zij in productie gebracht worden. Alleen met voorafgaande goedkeuring door de proceseigenaar kan hiervan worden afgeweken.
APO_U.11.04	Ontwikkel-, test- en productieomgevingen	De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd volgens onderkende rollen.
APO_U.11.05	Ontwikkel-, test- en productieomgevingen	Voor remote-werkzaamheden is een werkwijze vastgelegd.
APO_U.11.06	Ontwikkel-, test- en productieomgevingen	Ontwikkelaars hebben geen toegang tot de productieomgeving.
APO_U.11.07	Ontwikkel-, test- en productieomgevingen	Voor het kopiëren/verplaatsen van configuratie-items tussen de omgevingen gelden overdrachtsprocedures.
APO_U.11.08	Ontwikkel-, test- en productieomgevingen	De overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan.
APO_U.11.09	Ontwikkel-, test- en productieomgevingen	De overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats.
APO_U.11.10	Ontwikkel-, test- en productieomgevingen	De overdracht naar de productie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats.