Testdaten werden in Entwicklungs-, Test- und Abnahmeprozessen eingesetzt, um Funktionen, Änderungen oder neue Systeme zu prüfen. Werden dabei produktive oder schützenswerte Informationen unzureichend geschützt oder unkontrolliert verwendet, kann dies zu Datenschutzverletzungen, Informationsabfluss oder Compliance-Verstößen führen. Dieses Control stellt sicher, dass Testdaten angemessen geschützt und sicher verwendet werden.
Zweck des Controls
A 8.33 soll gewährleisten, dass Testdaten so ausgewählt, erstellt, genutzt und geschützt werden, dass keine unzulässigen Risiken für die Informationssicherheit entstehen. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen auch in Entwicklungs- und Testumgebungen sicherzustellen.
Anforderungen und Maßnahmen
1. Festlegung von Regeln für die Nutzung von Testdaten
Organisationen müssen verbindliche Regeln für den Umgang mit Testdaten definieren, insbesondere:
zulässige Arten von Testdaten
Nutzung produktiver oder sensibler Daten
Verantwortlichkeiten für Erstellung und Freigabe
Anforderungen an Schutzmaßnahmen
Die Regeln müssen dokumentiert und bekannt sein.
2. Vermeidung produktiver und sensibler Daten
Produktive oder personenbezogene Daten sollen möglichst nicht verwendet werden:
Einsatz synthetischer oder fiktiver Testdaten
Nutzung anonymisierter oder pseudonymisierter Daten
Einschränkung des Umfangs sensibler Informationen
Nutzung produktiver Daten nur bei zwingender Notwendigkeit
So werden Datenschutz- und Sicherheitsrisiken minimiert.
3. Schutz von Testdaten
Testdaten müssen entsprechend ihrem Schutzbedarf geschützt werden:
Zugriffsbeschränkungen auf Testumgebungen
Verschlüsselung sensibler Testdaten
Schutz vor unbefugter Weitergabe
sichere Speicherung
Dies stellt die Vertraulichkeit sicher.
4. Kontrolle des Zugriffs auf Testumgebungen
Der Zugriff auf Testdaten und -umgebungen muss kontrolliert werden:
Zugriff nur für berechtigte Personen
Trennung von Rollen und Verantwortlichkeiten
zeitlich begrenzte Zugriffsrechte
Protokollierung von Zugriffen
So wird Missbrauch verhindert.
5. Nutzung von Testdaten in ausgelagerten Entwicklungs- oder Testprozessen
Bei Nutzung externer Parteien müssen zusätzliche Maßnahmen greifen:
vertragliche Regelungen zum Umgang mit Testdaten
Vorgaben zu Schutz und Löschung
Kontrolle des Zugriffs externer Parteien
Überprüfung der Einhaltung
Dies reduziert Risiken durch Dritte.
6. Löschung oder Rückgabe von Testdaten
Nach Abschluss von Tests müssen Testdaten behandelt werden:
Löschung nicht mehr benötigter Testdaten
Rückgabe produktiver Daten
Dokumentation der Maßnahmen
Kontrolle der vollständigen Entfernung
So wird unnötige Datenhaltung vermieden.
7. Berücksichtigung rechtlicher und regulatorischer Anforderungen
Der Umgang mit Testdaten muss rechtliche Vorgaben erfüllen:
Datenschutz- und Compliance-Anforderungen
branchenspezifische Vorgaben
Nachweisbarkeit gegenüber Prüfern
Dokumentation von Freigaben und Ausnahmen
Dies unterstützt Rechtskonformität.
8. Dokumentation und kontinuierliche Verbesserung
Regelungen zum Umgang mit Testdaten müssen dokumentiert und überprüft werden:
Richtlinien und Verfahren
Nachweise über Schutz- und Löschmaßnahmen
Erkenntnisse aus Vorfällen
regelmäßige Anpassung der Regelungen
Die Dokumentation unterstützt Audits und Wirksamkeit.
Zusammenfassung
A 8.33 fordert, dass Organisationen Testdaten systematisch und sicher handhaben. Durch klare Regeln zur Nutzung von Testdaten, Vermeidung produktiver Daten, angemessene Schutzmaßnahmen, kontrollierten Zugriff sowie geregelte Löschung wird sichergestellt, dass Entwicklungs- und Testprozesse keine Risiken für die Informationssicherheit oder den Datenschutz darstellen. Das Control ist ein wichtiger Bestandteil sicherer Entwicklungs- und Testprozesse im Informationssicherheitsmanagementsystem.
