Testavimo duomenų ir testavimo aplinkos politika – SVV

P29S – Testavimo duomenų ir testavimo aplinkos politika yra išsami politika, skirta spręsti saugų testavimo duomenų valdymą ir tinkamą testavimo aplinkų atskyrimą, ypač mažoms ir vidutinėms įmonėms (SVV). Ši politika parengta taip, kad organizacija nuosekliai užkirstų kelią atsitiktiniam duomenų atskleidimui, veiklos sutrikdymui ir atitikties nesėkmėms testavimo veiklų metu. Išskirtinai politika atsižvelgia į SVV realijas, priskirdama bendrą atsakomybę generaliniam direktoriui (GD), o ne specializuotoms IT funkcijoms, tokioms kaip Saugumo operacijų centras (SOC) ar vyriausiasis informacijos saugumo pareigūnas (CISO), todėl ji yra praktiška ir įgyvendinama ribotų išteklių sąlygomis. Politika taikoma visoje organizacijoje: visas personalas, dalyvaujantis programinės įrangos ir sistemų testavime, įskaitant darbuotojus, laisvai samdomus specialistus, rangovus, tiekėjus ir IT paslaugų teikėjus, privalo laikytis jos nuostatų. Apimami kontekstai: rankiniai ir automatizuoti funkciniai ar saugumo testai, sistemų atnaujinimai, svetainių ir programėlių kūrimas bei integracijų testavimo veiklos. Pagrindiniai ramsčiai: absoliutus realių, identifikuojamų klientų duomenų draudimas testavimo aplinkose, nebent jie anonimizuoti ir GD patvirtinti; privalomas loginis ir techninis testavimo ir gamybos sistemų atskyrimas; ir griežtos priemonės, skirtos apsaugoti testavimo duomenis nuo nesankcionuotos ar atsitiktinės prieigos, pakartotinio naudojimo ar atskleidimo. Valdymo vaidmenys aiškiai apibrėžti. Generalinis direktorius tvirtina visas išimtis, įskaitant realių duomenų naudojimą testavime, ir užtikrina išsamią dokumentaciją bei atitiktį. Projektų savininkai koordinuoja procesų parengimą ir validavimą, užtikrina komandos supratimą ir reagavimą į incidentus, o kūrėjai / IT paslaugų teikėjai įgyvendina, prižiūri ir izoliuoja testavimo aplinkas, prižiūri testavimo duomenų kūrimą ir stiprina sistemų kontrolės priemones. Valdysenos reikalavimai draudžia naudoti bet kokius asmens duomenis testuose, nebent jie anonimizuoti ir aiškiai patvirtinti, ir tik po dokumentuoto rizikos vertinimo, taip pat įtvirtina saugojimo, laikymo ir saugaus ištrynimo gerąsias praktikas visiems testavimo duomenims. Naudotojų prieigos valdymas yra ryški politikos dalis: prieiga griežtai ribojama, turi būti panaikinta pasibaigus testavimui, o unikalūs prisijungimo duomenys, skirti testavimo aplinkoms, negali būti naudojami kitur. Saugus registravimas audito žurnale ir peržiūros įpareigojimai dar labiau sumažina duomenų privatumo ar saugumo pažeidimų riziką dėl testavimo metu užfiksuotos informacijos. Politika aprašo privalomus audito pėdsakus, metines peržiūras, išimčių ir patvirtinimų saugojimą bei atitikties patikras, kurias prižiūri GD, siekiant užtikrinti pasirengimą vidaus ir išorės auditams. Pranešimo apie incidentus srautai yra integruoti, reikalaujant nedelsiant eskalavimo ir reagavimo, aptikus bet kokį kompromitavimą ar atskleidimą. Be to, P29S yra aiškiai suderinta su naujausiomis ISO/IEC 27001:2022 ir ISO/IEC 27002:2022 versijomis, atitinkamais BDAR straipsniais, NIST SP 800-53 Rev. 5, ES NIS2, ES DORA ir COBIT 2019. Politika taip pat pateikia kryžmines nuorodas ir remiasi kitomis pagrindinėmis SVV politikomis, įskaitant valdyseną, prieigos kontrolę, saugumo informuotumo mokymus, duomenų klasifikavimą, duomenų apsaugą, saugų kūrimą ir reagavimą į incidentus, kad būtų užtikrinta holistinė saugumo ir atitikties sistema. Šis dokumentas yra būtinas SVV, siekiančioms išlaikyti tvirtas testavimo apsaugos priemones, supaprastinti auditus ir užtikrinti reglamentavimo reikalavimų laikymąsi be sudėtingų IT vaidmenų.