Alle beveiligingsaspecten: verschil tussen versies

De structuur[bewerken]

De SIVA-methode beschrijft dat de structuur is opgebouwd uit een aantal lagen en waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele -, inrichting- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur SIVA SIVA lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

beleidscontext[bewerken]

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuur. Met behulp van de karakterisering van het auditobject (webapplicatie) en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

• Welke processen zouden moeten zijn ingericht?
• Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
• Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

uitvoeringscontext[bewerken]

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

• Welke webapplicatie-componenten spelen een rol?
• Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
• Hoe moeten de features van de objecten zijn geconfigureerd?
• Welke gedrag moeten de betrokken objecten en actoren vertonen?
• Welke functies dienen te zijn geleverd?
• Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
• Hoe moeten objecten zijn samengesteld en vormgegeven?

controlcontext[bewerken]

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

• Welke beheerprocessen zouden moeten zijn ingericht?
• Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
• Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
• Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

ISOR onderscheidt drie verschillende beveiligingsaspecten:

→ Beleid

→ Uitvoering

→ Control

Uitleg[bewerken]

Zie voor uitleg: SIVA-methodiek onderdeel Structuurdomeinen geïmplementeerd als beveiligingsaspecten.