BIO Thema Applicatieontwikkeling/Identificatie applicatieontwikkeling objecten: verschil tussen versies
k (tabel en afbeeldingen omgekeerd in lijn met v1.0) |
k (titel, status, versie en data aangepast) |
||
| Regel 2: | Regel 2: | ||
|Elementtype=Hoofdstuk normenkader | |Elementtype=Hoofdstuk normenkader | ||
|ID=APO_INL IAO | |ID=APO_INL IAO | ||
|Titel=BIO Thema Applicatieontwikkeling - | |Titel=BIO Thema Applicatieontwikkeling - Beveiligingsobjecten applicatieontwikkeling | ||
|Kent element met zelfde titel=Nee | |Kent element met zelfde titel=Nee | ||
|Versieaanduiding= | |Versieaanduiding=2.0 | ||
|Status actualiteit= | |Status actualiteit=Concept | ||
|Redactionele wijzigingsdatum=2021/06/29 | |Redactionele wijzigingsdatum=2021/06/29 | ||
|Publicatiedatum= | |Publicatiedatum=2021/02/22 | ||
|Beschrijving=Objecten voor applicatieontwikkeling worden gerelateerd aan de ontwikkelfasen geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid van de invalshoek van de algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn: | |Beschrijving=Objecten voor applicatieontwikkeling worden gerelateerd aan de ontwikkelfasen geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid van de invalshoek van de algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn: | ||
* welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en -onderhoud en wat is de consequentie bij afwezigheid hiervan; | * welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en -onderhoud en wat is de consequentie bij afwezigheid hiervan; | ||
Versie van 29 jun 2021 18:53
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Alle hoofdstukken bij BIO Thema-uitwerking Applicatieontwikkeling:
| ||||||||||
Objecten voor applicatieontwikkeling worden gerelateerd aan de ontwikkelfasen geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid van de invalshoek van de algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn:
- welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en -onderhoud en wat is de consequentie bij afwezigheid hiervan;
- welke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan;
- welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?
De organisatie van applicatieontwikkelobjecten
Zoals al in Ontwikkelcyclus van applicatieontwikkeling is aangegeven worden de geïdentificeerde applicatie objecten op basis van de lagenstructuur: beleid-, uitvoering- en control domein georganiseerd. Hiermee worden deze aspecten in de juiste contextuele samenhang gepositioneerd. De betekenis die aan de lagen wordt toegekend, zijn:
Beleid: Binnen dit domein bevinden zich conditionele elementen over de applicatieontwikkeling. Hier zijn eisen opgenomen ten aanzien van ‘geboden’ en verboden’, zoals applicatiebeveiligingsbeleid, de te hanteren wet en regelgeving en andere vormen van reguleringen en beperkingen.
Uitvoering: Binnen dit domein bevinden zich:
- elementen die gerelateerd zijn aan operationele activiteiten ten aanzien van het ontwikkelen van applicaties;
- elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn; en
- elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen.
Control: Binnen dit domein bevinden zich elementen die zorg dragen voor de beheersing van het ontwikkelproces en/of het in standhouden van activiteiten die naar wens verlopen.
Observatie bij de exercitie van het identificeren van objecten uit ISO
Uit observatie van de werkgroep blijkt dat bij het identificeren van objecten uit ISO27001 weinig controls te vinden zijn die direct gerelateerd zijn aan de ontwikkelstadia: analyseren, specificeren, ontwerpen en ontwikkelen. Dit komt door het feit dat binnen ISO niet is uitgegaan van de ontwikkelfasen van systeem ontwikkeling en wellicht ook door het feit dat de activiteiten binnen deze fasen gerelateerd zijn aan specifieke methoden en/of programmeertalen. In ISO27001 zijn wel security controls en bijbehorende maatregelen aangetroffen die indirect te maken hebben met de ontwikkelfasen.
Applicatieontwikkeling objecten geprojecteerd op BUC en gesorteerd naar IFGS
Tabel 'Overzicht van applicatieontwikkeling objecten ingedeeld naar BUC' geeft een overzicht van de applicatie objecten en die in het Beleid domein, Uitvoering domein en Control domein nader zijn uitgewerkt. Eerst is door de werkgroepleden, vanuit een ‘baseline-based’ benadering, een lijst gemaakt van de relevante objecten uit verschillende baselines. Los van de baselines zijn enkele objecten door de werkgroep als relevant voor dit thema aangegeven (zie onderstaande tabel). We zijn ons ervan bewust dat deze zogenaamde ‘baseline-based’ benadering tot selectie van objecten leidt die niet allemaal in de huidig wereld van systeemontwikkelingsaanpak thuishoren. We hebben ervoor gekozen om een ‘baseline-based’ toe te passen, om zo de overgang naar de Agile benadering beter te kunnen maken.
Uit de inhoudelijke bestudering van de objecten, vanuit de ‘baseline-based’ benadering, bleken toch doublures te zijn in de objecten; m.a.w. twee verschillende objecten die dezelfde inhoud kenden. Sommige objecten hebben we vooralsnog bewust achterwege gelaten vanwege het geringe belang van deze objecten in relatie tot de totale scope.
We willen opmerken dat er verschillende termen gehanteerd worden, zoals informatiesystemen, applicaties, systemen, toepassingen. Het op te leveren document moet qua gebruikte termen consistent zijn, daarom hebben wij ervoor gekozen om de term ‘systeem’ in de betiteling van de control (dus het object) aan te passen naar Applicatieontwikkeling.
| ID | Objecten | Referentie | IFGS | |
|---|---|---|---|---|
| Beleidsdomein | B.01 | Beleid voor (beveiligd)ontwikkelen | ISO27002: 14.2.1 | I |
| B.02 | Systeem ontwikkelmethode | SoGP | I | |
| B.03 | Classificatie van informatie | ISO27002: 8.2.1 | I | |
| B.04 | Engineeringprincipes voor beveiligde systemen | ISO27002: 14.2.5 | I | |
| B.05 | Business Impact Analyse(BIA) | SoGP/IR2.2 | I | |
| B.06 | Privacy en bescherming persoonsgegevens(GEB/DPIA) | ISO27002:18.2.4, CIP Domeingroep BIO | I | |
| B.07 | Kwaliteit managementsysteem | CIP Domeingroep BIO | F | |
| B.08 | Toegangsbeveiliging op programmacode | ISO27002: 9.4.5 | G | |
| B.09 | Projectorganisatie | CIP Domeingroep BIO | S | |
| Uitvoeringsdomein | U.01 | Procedures voor wijzigingsbeheer m.b.t. applicaties en systemen | ISO27002: 14.2.2 | I |
| U.02 | Beperkingen voor de installatie van software (richtlijnen) | ISO27002: 12.6.2 | I | |
| U.03 | Richtlijnen voor programmacode(best practices) | CIP Domeingroep BIO | I | |
| U.04 | Analyse en specificatie van informatiesystemen | Cobit | F | |
| U.05 | Analyse en specificatie van informatiebeveiligingseisen | ISO27002:14.1.1 | F | |
| U.06 | Applicatie ontwerp | SoGP | F | |
| U.07 | Applicatiefunctionaliteiten(invoer, verwerking, uitvoer) | ISO27002:12.2.1, 12.2.2, 12.2.4, BIR 1.0 | F | |
| U.08 | Applicatiebouw | SoGP | F | |
| U.09 | Testen van systeembeveiliging | ISO27002:14.2.8 | F | |
| U.10 | Systeemacceptatie tests | ISO27002:14.2.9 | F | |
| U.11 | Beschermen van testgegevens | ISO27002:14.3.1 | F | |
| U.12 | Beveiligde Ontwikkel- (en Test-)omgeving | ISO27002: 14.2.6 | G | |
| U.13 | Applicatiekoppelingen | ISO25010,NIST CA, CIP Domeingroep BIO | G | |
| U.14 | Logging en monitoring | CIP Domeingroep BIO | G | |
| U.15 | Applicatie architectuur | ISO25010, CIP Domeingroep BIO | S | |
| U.16 | Tooling ontwikkelmethode | ISO25010, CIP Domeingroep BIO | S | |
| Control-domein | C.01 | Richtlijnen evaluatie ontwikkelactiviteiten | ISO27002: 12.6.1, CIP Domeingroep BIO | I |
| C.02 | Versiebeheer | CIP Domeingroep BIO | F | |
| C.03 | Patchmanagement van externe programmacode | CIP Domeingroep BIO | F | |
| C.04 | (Software)configuratie beheer | CIP Domeingroep BIO | F | |
| C.05 | Quality management | CIP Domeingroep BIO | F | |
| C.06 | Compliance Assurance | CIP Domeingroep BIO | F | |
| C.07 | Technische beoordeling van informatiesystemen na wijziging besturingsplatform | ISO27002: 14.2.3 | F | |
| C.08 | Beheersing van softwareontwikkeling(sprojecten | CIP Domeingroep BIO | S |
Beleid domein
Uitvoeringdomein
Control domein
