BIO Thema Applicatieontwikkeling/Identificatie applicatieontwikkeling objecten: verschil tussen versies

Uit NORA Online
< BIO Thema-uitwerking ApplicatieontwikkelingBIO Thema Applicatieontwikkeling/Identificatie applicatieontwikkeling objecten
Naar navigatie springen Naar zoeken springen
k (tekst in lijn met v1.0 gebracht)
k (spelfout verwijderd)
(11 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 2: Regel 2:
|Elementtype=Hoofdstuk normenkader
|Elementtype=Hoofdstuk normenkader
|ID=APO_INL IAO
|ID=APO_INL IAO
|Titel=BIO Thema Applicatieontwikkeling - Identificatie applicatieontwikkeling objecten
|Titel=BIO Thema Applicatieontwikkeling - Beveiligingsobjecten applicatieontwikkeling
|Kent element met zelfde titel=Nee
|Kent element met zelfde titel=Nee
|Versieaanduiding=1.0
|Versieaanduiding=2.1
|Status actualiteit=Actueel
|Status actualiteit=Actueel
|Redactionele wijzigingsdatum=2021/06/29
|Redactionele wijzigingsdatum=2021/11/05
|Publicatiedatum=2019/02/01
|Publicatiedatum=2021/10/29
|Beschrijving=Objecten voor applicatieontwikkeling worden gerelateerd aan de ontwikkelfasen geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid van de invalshoek van de algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn:
|Beschrijving=Objecten voor applicatieontwikkeling worden gerelateerd aan de ontwikkelfasen en geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in het beleids-, uitvoerings- en control-domein.
* welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en -onderhoud en wat is de consequentie bij afwezigheid hiervan;
* welke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan;
* welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?


==De organisatie van applicatieontwikkelobjecten==
Zoals al in [[BIO Thema Applicatieontwikkeling/Inleiding#Ontwikkelcyclus van applicatieontwikkeling|Ontwikkelcyclus van applicatieontwikkeling]] is aangegeven worden de geïdentificeerde applicatie objecten op basis van de lagenstructuur: beleid-, uitvoering- en control domein georganiseerd. Hiermee worden deze aspecten in de juiste contextuele samenhang gepositioneerd. De betekenis die aan de lagen wordt toegekend, zijn:


Beleid: Binnen dit domein bevinden zich conditionele elementen over de applicatieontwikkeling. Hier zijn eisen opgenomen ten aanzien van ‘geboden’ en verboden’, zoals applicatiebeveiligingsbeleid, de te hanteren wet en regelgeving en andere vormen van reguleringen en beperkingen.
De vragen die hierbij een rol spelen, zijn:
# Welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?
# Welke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?
# Welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?


Uitvoering: Binnen dit domein bevinden zich:
==Organisatie van applicatieontwikkelingsobjecten==
* elementen die gerelateerd zijn aan operationele activiteiten ten aanzien van het ontwikkelen van applicaties;
Zoals in [[BIO Thema Applicatieontwikkeling/Inleiding#Ontwikkelcyclus van applicatieontwikkeling|Ontwikkelcyclus van applicatieontwikkeling]] is aangegeven, worden de geïdentificeerde applicatieontwikkelingsobjecten met het beleids-, uitvoerings- en control-domein georganiseerd. Hiermee worden deze aspecten in de juiste contextuele samenhang gepositioneerd. De betekenis die aan elk domein wordt toegekend, zijn:
* elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn; en
* elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen.


Control: Binnen dit domein bevinden zich elementen die zorg dragen voor de beheersing van het ontwikkelproces en/of het in standhouden van activiteiten die naar wens verlopen.


==Observatie bij de exercitie van het identificeren van objecten uit ISO==
*Beleid, Binnen dit domein bevinden zich conditionele elementen over de applicatieontwikkeling. Hier zijn eisen opgenomen over ‘geboden’ en ‘verboden’, zoals het applicatiebeveiligingsbeleid, de te hanteren wet- en regelgeving en andere vormen van reguleringen en beperkingen.
Uit observatie van de werkgroep blijkt dat bij het identificeren van objecten uit ISO27001 weinig controls te vinden zijn die direct gerelateerd zijn aan de ontwikkelstadia: analyseren, specificeren, ontwerpen en ontwikkelen. Dit komt door het feit dat binnen ISO niet is uitgegaan van de ontwikkelfasen van systeem ontwikkeling en wellicht ook door het feit dat de activiteiten binnen deze fasen gerelateerd zijn aan specifieke methoden en/of programmeertalen. In ISO27001 zijn wel security controls en bijbehorende maatregelen aangetroffen die indirect te maken hebben met de ontwikkelfasen.
*Uitvoering, Binnen dit domein bevinden zich:
**elementen die gerelateerd zijn aan operationele activiteiten over het ontwikkelen van applicaties;
**elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn;
**elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen.
*Control, Binnen dit domein bevinden zich elementen die zorgdragen voor de beheersing van het ontwikkelproces en/of het in standhouden van activiteiten die wel naar wens verlopen.


==Applicatieontwikkeling objecten geprojecteerd op BUC en gesorteerd naar IFGS==
==Observatie bij objectidentificatie==
Tabel 'Overzicht van applicatieontwikkeling objecten ingedeeld naar BUC' geeft een overzicht van de applicatie objecten en die in het [[ISOR:BIO Thema Applicatieontwikkeling Beleid|Beleid domein]], [[ISOR:BIO Thema Applicatieontwikkeling Uitvoering|Uitvoering domein]] en [[ISOR:BIO Thema Applicatieontwikkeling Control|Control domein]] nader zijn uitgewerkt. Eerst is door de werkgroepleden, vanuit een ‘baseline-based’ benadering, een lijst gemaakt van de relevante objecten uit verschillende baselines. Los van de baselines zijn enkele objecten door de werkgroep als relevant voor dit thema aangegeven (zie onderstaande tabel). We zijn ons ervan bewust dat deze zogenaamde ‘baseline-based’ benadering tot selectie van objecten leidt die niet allemaal in de huidig wereld van systeemontwikkelingsaanpak thuishoren. We hebben ervoor gekozen om een ‘baseline-based’ toe te passen, om zo de overgang naar de Agile benadering beter te kunnen maken.
Er is gebleken dat bij het identificeren van objecten uit de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO (Baseline Informatiebeveiliging Overheid)]] en de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]] weinig controls te vinden zijn die direct gerelateerd zijn aan de ontwikkelfases: analyseren, specificeren, ontwerpen en ontwikkelen. Dit komt doordat binnen deze ISO-standaard niet is uitgegaan van de ontwikkelfasen van systeemontwikkeling en wellicht ook doordat de activiteiten binnen deze fasen gerelateerd zijn aan specifieke methoden en/of programmeertalen. In de ISO 27002 zijn wel beveiligingscontrols en bijbehorende maatregelen aangetroffen die indirect te maken hebben met de ontwikkelfasen.


Uit de inhoudelijke bestudering van de objecten, vanuit de ‘baseline-based’ benadering, bleken toch doublures te zijn in de objecten; m.a.w. twee verschillende objecten die dezelfde inhoud kenden. Sommige objecten hebben we vooralsnog bewust achterwege gelaten vanwege het geringe belang van deze objecten in relatie tot de totale scope.
==Objecten geprojecteerd op domein en gesorteerd naar invalshoek==
[[BIO Thema Applicatieontwikkeling/Geïdentificeerde objecten ingedeeld naar IFGS|De pagina Objecten ingedeeld naar invalshoeken]] geeft een overzicht van de applicatieontwikkelingsobjecten die in het [[ISOR:BIO Thema Applicatieontwikkeling Beleid|Beleidsdomein]], [[ISOR:BIO Thema Applicatieontwikkeling Uitvoering|Uitvoeringsdomein]] en [[ISOR:BIO Thema Applicatieontwikkeling Control|Control-domein]] zijn uitgewerkt. Vanuit een baseline-gebaseerde benadering is een lijst gemaakt van relevante objecten uit verschillende baselines. Los van de baselines zijn enkele objecten als relevant voor dit thema aangegeven. Ervan bewust zijnde dat deze zogenaamde baseline-gebaseerde benadering tot selectie van objecten leidt die niet allemaal in de huidig wereld van systeemontwikkelingsaanpak thuishoren. Er is gekozen om een baseline-benadering toe te passen om zo de overgang naar de Agile-benadering beter te kunnen maken.


We willen opmerken dat er verschillende termen gehanteerd worden, zoals informatiesystemen, applicaties, systemen, toepassingen. Het op te leveren document moet qua gebruikte termen consistent zijn, daarom hebben wij ervoor gekozen om de term ‘systeem’ in de betiteling van de control (dus het object) aan te passen naar Applicatieontwikkeling.


''Beleid domein''
Uit de inhoudelijke bestudering van de objecten vanuit de baseline-gebaseerde benadering komt naar voren dat er doublures in de objecten zijn. Met andere woorden het aantreffen van twee verschillende objecten die dezelfde inhoud kennen. Sommige objecten zijn vooralsnog bewust achterwege gelaten vanwege het geringe belang van deze objecten in relatie tot de totale scope.


[[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Beleiddomein een rol spelen.png|thumb|none|350px|Onderwerpen die binnen het Beleid domein een rol spelen||alt=Beleid objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Beleidsobjecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm]]


''Uitvoeringdomein''
Opgemerkt wordt dat er verschillende termen gehanteerd worden voor hetzelfde, zoals: informatiesysteem, applicatie, systeem en toepassing. Voor de consistentie is gekozen om de term ‘systeem’ in de betiteling van de betreffende controls (dus het objecten) aan te passen naar applicatieontwikkeling.
[[Afbeelding:Thema Applicatieontwikkeling - Uitvoering objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Uitvoering objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Uitvoeringsobjecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm]]
 
''Control domein''
[[Afbeelding:Thema Applicatieontwikkeling - Control objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Control objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Control objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm]]
 
{{:ISOR:Applicatieontwikkeling Overzicht van applicatieontwikkeling objecten ingedeeld naar BUC}}
|Heeft bron=BIO Thema Applicatieontwikkeling
|Heeft bron=BIO Thema Applicatieontwikkeling
}}
}}

Versie van 5 nov 2021 17:38

Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: APO_INL IAO
Hoofdstuk normenkader
Status: Actueel
Publicatiedatum: 29-10-2021
Redactionele wijzigingsdatum: 21-1-2022
Alle hoofdstukken bij BIO Thema-uitwerking Applicatieontwikkeling:

Objecten voor applicatieontwikkeling worden gerelateerd aan de ontwikkelfasen en geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in het beleids-, uitvoerings- en control-domein.


De vragen die hierbij een rol spelen, zijn:

  1. Welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?
  2. Welke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?
  3. Welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?

Organisatie van applicatieontwikkelingsobjecten

Zoals in Ontwikkelcyclus van applicatieontwikkeling is aangegeven, worden de geïdentificeerde applicatieontwikkelingsobjecten met het beleids-, uitvoerings- en control-domein georganiseerd. Hiermee worden deze aspecten in de juiste contextuele samenhang gepositioneerd. De betekenis die aan elk domein wordt toegekend, zijn:


  • Beleid, Binnen dit domein bevinden zich conditionele elementen over de applicatieontwikkeling. Hier zijn eisen opgenomen over ‘geboden’ en ‘verboden’, zoals het applicatiebeveiligingsbeleid, de te hanteren wet- en regelgeving en andere vormen van reguleringen en beperkingen.
  • Uitvoering, Binnen dit domein bevinden zich:
    • elementen die gerelateerd zijn aan operationele activiteiten over het ontwikkelen van applicaties;
    • elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn;
    • elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen.
  • Control, Binnen dit domein bevinden zich elementen die zorgdragen voor de beheersing van het ontwikkelproces en/of het in standhouden van activiteiten die wel naar wens verlopen.

Observatie bij objectidentificatie

Er is gebleken dat bij het identificeren van objecten uit de BIO (Baseline Informatiebeveiliging Overheid) en de ISO 27002 weinig controls te vinden zijn die direct gerelateerd zijn aan de ontwikkelfases: analyseren, specificeren, ontwerpen en ontwikkelen. Dit komt doordat binnen deze ISO-standaard niet is uitgegaan van de ontwikkelfasen van systeemontwikkeling en wellicht ook doordat de activiteiten binnen deze fasen gerelateerd zijn aan specifieke methoden en/of programmeertalen. In de ISO 27002 zijn wel beveiligingscontrols en bijbehorende maatregelen aangetroffen die indirect te maken hebben met de ontwikkelfasen.

Objecten geprojecteerd op domein en gesorteerd naar invalshoek

De pagina Objecten ingedeeld naar invalshoeken geeft een overzicht van de applicatieontwikkelingsobjecten die in het Beleidsdomein, Uitvoeringsdomein en Control-domein zijn uitgewerkt. Vanuit een baseline-gebaseerde benadering is een lijst gemaakt van relevante objecten uit verschillende baselines. Los van de baselines zijn enkele objecten als relevant voor dit thema aangegeven. Ervan bewust zijnde dat deze zogenaamde baseline-gebaseerde benadering tot selectie van objecten leidt die niet allemaal in de huidig wereld van systeemontwikkelingsaanpak thuishoren. Er is gekozen om een baseline-benadering toe te passen om zo de overgang naar de Agile-benadering beter te kunnen maken.


Uit de inhoudelijke bestudering van de objecten vanuit de baseline-gebaseerde benadering komt naar voren dat er doublures in de objecten zijn. Met andere woorden het aantreffen van twee verschillende objecten die dezelfde inhoud kennen. Sommige objecten zijn vooralsnog bewust achterwege gelaten vanwege het geringe belang van deze objecten in relatie tot de totale scope.


Opgemerkt wordt dat er verschillende termen gehanteerd worden voor hetzelfde, zoals: informatiesysteem, applicatie, systeem en toepassing. Voor de consistentie is gekozen om de term ‘systeem’ in de betiteling van de betreffende controls (dus het objecten) aan te passen naar applicatieontwikkeling.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Applicatieontwikkeling/Identificatie_applicatieontwikkeling_objecten&oldid=57777"