Home » Informatiebeveiliging » Domein 8: Systeemontwikkeling » Norm SD.02

Norm SD.02 Toegang productieomgeving door ontwikkelaars

Medewerkers en ontwikkelaars die betrokken zijn bij de ontwikkeling en implementatie van wijzigingen in applicaties en ondersteunende besturingssystemen en databases, hebben geen schrijftoegang tot de productieomgeving. Medewerkers en ontwikkelaars die verantwoordelijk zijn voor het vrijgeven van de broncode voor productie hebben geen schrijftoegang tot de test- of ontwikkelomgeving.

Waarom is dit nodig?

Scheiding van taken tussen ontwikkelaars voorkomt ongeoorloofde toegang tot programma’s en gegevens. Ook kunnen ontwikkelaars niet op eigen initiatief wijzigingen doorvoeren. Als er geen scheiding van taken is, kan een ontwikkelaar bijvoorbeeld zijn eigen geschreven code doorvoeren en is er geen controle op de kwaliteit van de software. Dit kan grote negatieve gevolgen hebben, en dat wil je voorkomen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen beleid voor toegangsrestricties tot de productieomgeving voor ontwikkelaars.

2 Herhaalbaar

Er is een beperkt beleid bepaald voor toegang tot productie voor ontwikkelaars.
Ontwikkelaars hebben geen schrijftoegang tot de productieomgeving.
Bij kritieke incidenten wordt aan ontwikkelaars schrijftoegang tot productie verleend.

3 Bepaald (streefniveau)

Een samenhangend beleid is bepaald, ingevoerd en goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
Ontwikkelaars hebben geen schrijftoegang tot productie, en systeembeheerders die software overzetten naar productie hebben geen schrijftoegang tot de ontwikkel-, test- en acceptatieomgeving.
Uitzonderingen op het beleid worden vooraf goedgekeurd door de systeem-/proceseigenaar en tijdens de tijdelijke schrijftoegang wordt gebruikgemaakt van logging en/of het vierogenprincipe.

4 Beheerst

Aanvullend op niveau 3:

De effectiviteit van de implementatie en de uitvoering van het beleid worden periodiek geëvalueerd en gedocumenteerd.
Verbeteringen worden bepaald op basis van de evaluatie.
De logs van bij uitzondering toegestane toegang worden periodiek beoordeeld.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Voor de schrijftoegang tot productie wordt gebruik gemaakt van realtime monitoring en detectie. Dit is ingevoerd door middel van geautomatiseerde detectietechnologie, bijvoorbeeld SIEM.
Uitzonderingen worden maandelijks aan het schoolbestuur of de schoolleiding gerapporteerd

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Stel een richtlijn op voor het gebruik van ontwikkel, test, acceptatie en productie omgevingen.

Gerelateerde wetten en normen

Norm SD.02 Toegang productieomgeving door ontwikkelaars is gerelateerd aan de ISO-standaard 27001/2:2022 en aan het certificeringsschema IBP ROSA.

ISO 27001/2:2022

A5.15
A8.2
A8.4
A8.25

Certificeringsschema IBP ROSA

Vertrouwelijkheid/Scheiding omgevingen

Afdrukken