Testēšanas datu un testēšanas vides politika – MVU

P29S – Testēšanas datu un testēšanas vides politika ir visaptveroša politika, kas izstrādāta, lai risinātu testēšanas datu drošu pārvaldību un testēšanas vides pareizu nodalīšanu, īpaši mazajiem un vidējiem uzņēmumiem (MVU). Šī politika ir izstrādāta, lai nodrošinātu, ka organizācija testēšanas darbību laikā konsekventi novērš nejaušu datu ekspozīciju, darbības traucējumus un atbilstības neveiksmes. Unikāli, politika ņem vērā MVU realitāti, piešķirot vispārējo atbildību Galvenajam izpilddirektoram (GM), nevis specializētām IT funkcijām, piemēram, Drošības operāciju centram (SOC) vai Galvenajam informācijas drošības vadītājam (CISO), padarot to praktisku un izpildāmu ierobežotu resursu apstākļos. Politika ir piemērojama visā organizācijā: viss personāls, kas iesaistīts programmatūras un sistēmu testēšanā, tostarp darbinieki, ārštata speciālisti, līgumslēdzēji, piegādātāji un IT pakalpojumu sniedzēji, ir pakļauti tās noteikumiem. Aptvertie konteksti ietver manuālus un automatizētus funkcionālos vai drošības testus, sistēmu jauninājumus, tīmekļa vietņu un lietotņu izstrādi un integrācijas testēšanas darbības. Galvenie pīlāri ir absolūts aizliegums izmantot reālus, identificējamus klientu datus testēšanas vidēs, ja vien tie nav anonimizēti un GM apstiprināti; obligāta loģiska un tehniska testēšanas un ražošanas sistēmu nodalīšana; un stingri pasākumi, lai aizsargātu testēšanas datus no nesankcionētas vai nejaušas piekļuves, atkārtotas izmantošanas vai izpaušanas. Vadības lomas ir skaidri noteiktas. Galvenais izpilddirektors apstiprina visus izņēmumus, tostarp reālu datu izmantošanu testēšanā, un nodrošina pilnīgu dokumentēšanu un atbilstību. Projektu īpašnieki koordinē procesu izstrādi un validāciju, nodrošinot komandas izpratni un reaģēšanu uz incidentiem, savukārt izstrādātāji/IT pakalpojumu sniedzēji ievieš, uztur un izolē testēšanas vides, pārrauga testēšanas datu izveidi un stiprina sistēmu kontroles pasākumus. Pārvaldības prasības aizliedz jebkādu personas datu izmantošanu testos, ja vien tie nav anonimizēti un skaidri apstiprināti, un tikai pēc dokumentēta riska novērtējuma, vienlaikus ieviešot uzglabāšanas, glabāšanas un drošas dzēšanas labāko praksi visiem testēšanas datiem. Piekļuves pārvaldība ir būtiska politikas daļa: piekļuve ir stingri ierobežota, tā jāanulē pēc testēšanas pabeigšanas, un unikāli akreditācijas dati testēšanas vidēm nedrīkst tikt atkārtoti izmantoti citur. Droša audita žurnālu veidošana un pārskatīšanas pienākumi vēl vairāk samazina datu privātuma vai drošības pārkāpumu risku no testēšanas laikā iegūtās informācijas. Politika apraksta obligātas audita pēdas, ikgadējo pārskatīšanu, izņēmumu un apstiprinājumu glabāšanu un atbilstības pārbaudes, ko uzrauga GM, lai atbalstītu gan iekšējo, gan ārējo audita gatavību. Incidentu ziņošana ir integrēta, pieprasot tūlītēju eskalāciju un reaģēšanu jebkādas konstatētas kompromitācijas vai ekspozīcijas gadījumā. Turklāt P29S ir skaidri saskaņota ar jaunākajām ISO/IEC 27001:2022 un ISO/IEC 27002:2022 versijām, attiecīgajiem GDPR pantiem, NIST SP 800-53 Rev. 5, ES NIS2, ES DORA un COBIT 2019. Politika arī sniedz savstarpējas atsauces un balstās uz citām būtiskām MVU politikām, tostarp pārvaldību, piekļuves kontroli, drošības izpratnes apmācībām, datu klasifikāciju, datu aizsardzību, drošu izstrādi un reaģēšanu uz incidentiem, lai nodrošinātu holistisku drošības un atbilstības ietvaru. Šis dokuments ir būtisks MVU, kas vēlas uzturēt stingrus testēšanas drošības pasākumus, vienkāršot auditus un nodrošināt regulatīvo prasību ievērošanu bez sarežģītām IT lomām.