Testavimo duomenų ir testavimo aplinkos politika

Testavimo duomenų ir testavimo aplinkos politika (P29) nustato išsamius reikalavimus saugiam, atitiktį užtikrinančiam testavimo duomenų ir neprodukcinės aplinkos valdymui per visą programinės įrangos kūrimo ir testavimo gyvavimo ciklą. Pagrindinis tikslas – apsaugoti konfidencialumą, vientisumą ir operacinį saugumą tiek testavimo duomenų, tiek aplinkų, užkertant kelią nesankcionuotai prieigai, duomenų nutekėjimui ir rizikai užteršti gamybos sistemas dėl netinkamai valdomų testavimo veiklų. Ši politika taikoma plačiai: visoms aplinkoms, duomenims, įrankiams ir procesams, naudojamiems bet kokio tipo testavimui – funkciniam, regresiniam, našumo ar saugumo – ir nepriklausomai nuo to, ar testavimas vykdomas vietoje, debesijoje ar per trečiųjų šalių platformas. Visi dalyvaujantys asmenys, įskaitant vidinius naudotojus, rangovus ar tiekėjus, privalo laikytis šios politikos nuostatų. Aiškios kontrolės priemonės draudžia naudoti produkcinius duomenis, jautrius ar reglamentuojamus asmens duomenis (pvz., PII ar kortelių turėtojų informaciją), nebent jie būtų anonimizuoti, pseudonimizuoti arba konkrečiai patvirtinti vyriausiojo informacijos saugumo pareigūno (CISO), pateikiant aiškų pagrindimą ir taikant kompensacines kontrolės priemones. Be to, tinklo ir prieigos atskyrimas tarp testavimo ir gamybos sistemų yra privalomas, užtikrinamas atskiru autentifikavimu, tinklo segmentavimu ir ribojančiomis ugniasienės taisyklėmis. Šifravimas, sintetinių duomenų generavimas arba patikimas duomenų maskavimas yra privalomi, kai reikalingi realistiški testavimo duomenys. Griežta vaidmenimis pagrįsta prieigos kontrolė (RBAC) valdo prieigą prie visų testavimo aplinkų. Prieiga turi būti registruojama, audituojama ir kas ketvirtį peržiūrima, o pasibaigus projektui – taikomas nedelstinas prieigos atšaukimas. Aplinkos turi atitikti saugaus diegimo bazinius lygius, įskaitant įrenginių saugumo stiprinimą, reguliariai atnaujinamą programinę įrangą, galinių įrenginių apsaugą ir griežtus nuotolinio administravimo apribojimus. Automatinė stebėsena ir įvykių žurnalinimas yra būtini, kad būtų aptikti politikos pažeidimai, pvz., prieiga iš neleistinų IP diapazonų ar nepagrįstas kredencialų naudojimas. Atsarginių kopijų praktikos turi atitikti Atsarginių kopijų ir atkūrimo politiką (P15), užtikrinant, kad testavimo duomenų saugojimas būtų minimizuotas ir tinkamai atskirtas nuo gamybos ciklų. Išimčių valdymas vykdomas griežtai: prašymai dėl nukrypimų turi turėti verslo pagrindimą, nurodyti rizikos mažinimo kontrolės priemones ir būti aiškiai patvirtinti vyriausiojo informacijos saugumo pareigūno (CISO) ir, jei taikoma, duomenų apsaugos pareigūno bei teisininko. Kiekviena suteikta išimtis registruojama, periodiškai atliekamas kasmetinis pakartotinis patvirtinimas, ir jai taikoma sustiprinta stebėsena bei griežtesnės kontrolės priemonės. Reguliarios peržiūros ir auditai, kuriuos atlieka informacijos saugos komanda, įtraukiant QA, DevOps ir kitus suinteresuotuosius asmenis, užtikrina nuolatinę atitiktį, o reikšmingi incidentai ar reglamentavimo pokyčiai suaktyvina tarpines politikos peržiūras. Glaudžiai integruota su susijusiomis organizacijos politikomis, įskaitant pokyčių valdymą (P5), duomenų klasifikavimą (P13), duomenų saugojimo politiką (P14), kriptografines kontrolės priemones (P18), žurnalinimo ir stebėsenos politiką (P22) ir reagavimo į incidentus politiką (P30), ši politika taip pat suderinta su pagrindiniais standartais ir reglamentais. Tai apima ISO/IEC 27001:2022, saugių testavimo aplinkų ir duomenų reikalavimus (ISO/IEC 27002 kontrolės 8.28–8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), ES BDAR (5, 25, 32 straipsniai), ES NIS2, ES DORA ir COBIT 2019. Pažeidimai gali lemti drausmines priemones, sutarties nutraukimą arba pareigą teikti ataskaitas, pabrėžiant šios politikos kritiškumą saugumui ir atitikčiai.