8.33 Testowanie informacji

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność, Ochrona
Koncepcje cyberbezpieczeństwa: Ochrona informacji

Kontrola

Informacje testowe powinny być odpowiednio selekcjonowane, chronione i zarządzane.

Cel

Zapewnienie adekwatności testów oraz ochrony informacji operacyjnych używanych w testach.

Wytyczne

Informacje testowe powinny być selekcjonowane w taki sposób, aby zapewnić rzetelność wyników testów oraz poufność odpowiednich informacji operacyjnych. Wrażliwe informacje (w tym dane osobowe) nie powinny być kopiowane do środowisk rozwojowych i testowych (patrz 8.31).

W celu ochrony kopii informacji operacyjnych, gdy są one wykorzystywane do celów testowych, niezależnie od tego, czy środowisko testowe jest tworzone wewnętrznie, czy na usłudze chmurowej, powinny być stosowane następujące zasady: a) stosowanie tych samych procedur kontroli dostępu do środowisk testowych, jak do środowisk operacyjnych;
b) posiadanie oddzielnej autoryzacji za każdym razem, gdy operacyjne informacje są kopiowane do środowiska testowego;
c) rejestrowanie kopiowania i używania operacyjnych informacji, aby zapewnić ślad audytu;
d) ochrona wrażliwych informacji poprzez ich usunięcie lub maskowanie (patrz 8.11), jeśli są wykorzystywane w testach;
e) właściwe usunięcie (patrz 8.10) informacji operacyjnych ze środowiska testowego natychmiast po zakończeniu testów, aby zapobiec nieautoryzowanemu użyciu testowych informacji.

Informacje testowe powinny być przechowywane w sposób zapewniający ich bezpieczeństwo (aby zapobiec manipulacjom, które mogłyby prowadzić do nieważnych wyników) i powinny być wykorzystywane wyłącznie do celów testowych.

Inne informacje

Testowanie systemów i akceptacji może wymagać znacznych ilości informacji testowych, które powinny być jak najbardziej zbliżone do informacji operacyjnych.