Skip to main content

8.32 Zarządzanie zmianami

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczeństwo aplikacji, Systemy i bezpieczeństwo sieci, Ochrona
Obszary operacyjne: Ochrona

Kontrola

Zmiany w urządzeniach przetwarzających informacje i systemach informacyjnych powinny podlegać procedurom zarządzania zmianami.

Cel

Zachowanie bezpieczeństwa informacji podczas realizacji zmian.

Wytyczne

Wprowadzenie nowych systemów oraz większe zmiany w istniejących systemach powinny przebiegać zgodnie z uzgodnionymi zasadami i formalnym procesem dokumentacji, specyfikacji, testowania, kontroli jakości i zarządzanego wdrożenia. Odpowiedzialności zarządzające i procedury powinny być ustanowione, aby zapewnić odpowiednią kontrolę nad wszystkimi zmianami.

Procedury kontroli zmian powinny być udokumentowane i egzekwowane w celu zapewnienia poufności, integralności i dostępności informacji w urządzeniach przetwarzających informacje i systemach informacyjnych, przez cały cykl życia systemu, począwszy od wczesnych etapów projektowania po wszystkie późniejsze działania konserwacyjne.

Gdzie to możliwe, procedury kontroli zmian dla infrastruktury ICT i oprogramowania powinny być zintegrowane.

Procedury kontroli zmian powinny obejmować: a) planowanie i ocenę potencjalnego wpływu zmian, biorąc pod uwagę wszystkie zależności;
b) autoryzację zmian;
c) komunikowanie zmian do odpowiednich stron zainteresowanych;
d) testy i akceptację testów dla zmian (patrz 8.29);
e) wdrożenie zmian, w tym plany wdrożenia;
f) rozważania dotyczące sytuacji awaryjnych i awaryjnych procedur powrotu;
g) prowadzenie rejestrów zmian, które obejmują wszystkie powyższe;
h) zapewnienie, że dokumentacja operacyjna (patrz 5.37) i procedury użytkownika są zmieniane w razie potrzeby, aby pozostały odpowiednie;
i) zapewnienie, że plany ciągłości ICT oraz procedury reagowania i odzyskiwania (patrz 5.30) są zmieniane w razie potrzeby, aby pozostały odpowiednie.

Inne informacje

Niewłaściwa kontrola zmian w urządzeniach przetwarzających informacje i systemach informacyjnych jest częstą przyczyną awarii systemów lub bezpieczeństwa. Zmiany w środowisku produkcyjnym, szczególnie podczas transferu oprogramowania z rozwoju do środowiska operacyjnego, mogą wpłynąć na integralność i dostępność aplikacji.

Zmiany w oprogramowaniu mogą wpłynąć na środowisko produkcyjne i odwrotnie.

Dobrą praktyką jest testowanie komponentów ICT w środowisku oddzielonym zarówno od środowiska produkcyjnego, jak i rozwojowego (patrz 8.31). Zapewnia to kontrolę nad nowym oprogramowaniem i dodatkową ochronę informacji operacyjnych używanych do celów testowych. Powinno to obejmować poprawki, pakiety serwisowe i inne aktualizacje.

Środowisko produkcyjne obejmuje systemy operacyjne, bazy danych i platformy pośrednie. Kontrola ta powinna być stosowana do zmian aplikacji i infrastruktury.