TISAX® Kapitel 5.2.2
Inwieweit sind Entwicklungs- und Testumgebungen von Produktivumgebungen getrennt?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser Vorlagenpaket für TISAX®.
Ziel
Das Ziel einer Trennung der Entwicklungs-, Test- und Produktivumgebungen ist es sicherzustellen, dass die Verfügbarkeit, Vertraulichkeit und Integrität von produktiven Daten aufrechterhalten werden.
Anforderungen
- Muss
- Die IT-Systeme wurden einer Risikobewertung unterzogen, um zu ermitteln, inwiefern deren Trennung in Entwicklungs-, Test- und Produktivsysteme notwendig ist.
- Muss
- Eine Segmentierung ist auf Basis der Ergebnisse der Risikoanalyse umgesetzt.
- Sollte
- Die Anforderungen an Entwicklungs
- Sollte
- und Testumgebungen sind ermittelt und umgesetzt. Die folgenden Aspekte werden berücksichtigt:
- Sollte
- Trennung von Entwicklungs-, Test
- Sollte
- und Produktivsystemen
- Sollte
- Keine Entwicklungs
- Sollte
- und Systemwerkzeuge auf Produktivsystemen (außer solchen, die für den Betrieb notwendig sind)
- Sollte
- Verwendung von unterschiedlichen Benutzerprofilen für Entwicklungs-, Test
- Sollte
- und Produktivsysteme.
Umsetzung
Umsetzung der Trennung von Entwicklungs-, Test- und Produktivumgebungen gemäß TISAX
Die Trennung der IT-Systeme in Entwicklungs-, Test- und Produktivsysteme beginnt unweigerlich mit einer umfassenden Risikobewertung. Diese Analyse soll identifizieren, welche Trennung erforderlich ist, um Sicherheit und Integrität der Daten zu gewährleisten. Im Anschluss an die Risikoanalyse muss eine Segmentierung der Systeme durchgeführt werden, basierend auf den identifizierten Risiken.
Zur effektiven Umsetzung dieser Trennung sollten spezifische Anforderungen an Entwicklungs- und Testumgebungen definiert und implementiert werden. Dazu gehört in erster Linie, dass keine Entwicklungswerkzeuge und Systemtools, die nicht zwingend für den Betrieb notwendig sind, auf den Produktivsystemen installiert sein dürfen. Ferner ist es ratsam, unterschiedliche Benutzerprofile für die Entwicklungs-, Test- und Produktivsysteme einzurichten. Dies trägt dazu bei, dass eine klare Zugriffssteuerung und damit eine höhere Sicherheitsstufe gewährleistet werden kann.
Die praktische Umsetzung der Segmentierung kann durch physische oder virtuelle Trennung der Systemumgebungen erfolgen. Bei einer physischen Trennung werden separate Hardware-Ressourcen für die Entwicklung, das Testing und den Produktiveinsatz verwendet. Bei einer virtuellen Trennung hingegen werden die verschiedenen Systeme auf derselben physischen Hardware betrieben, jedoch durch den Einsatz von Virtualisierungstechnologien voneinander isoliert.
Zusätzlich sollte ein regelmäßiges Review der Trennungsmaßnahmen stattfinden, um sicherzustellen, dass diese weiterhin den Anforderungen entsprechen und etwaige neue Risiken frühzeitig erkannt und adressiert werden können. Hierbei ist eine enge Zusammenarbeit zwischen den IT-Sicherheitsbeauftragten, den Entwicklern und der Systemadministration von essenzieller Bedeutung, um sowohl Compliance als auch effektive Sicherheit kontinuierlich aufrechtzuerhalten.
Verwandte TISAX-Kapitel
- Kapitel 5.2.1 – Änderungsmanagement – Change Management für IT-Systeme.
- Kapitel 5.3.1 – Neue IT-Systeme – Sicherheit in der Systementwicklung.
