BIO Thema Applicatieontwikkeling - Beveiligingsobjecten applicatieontwikkeling

Uit NORA Online
< BIO Thema-uitwerking ApplicatieontwikkelingBIO Thema Applicatieontwikkeling/Identificatie applicatieontwikkeling objecten /
Versie door Hasan ALkhatib (overleg | bijdragen) op 5 aug 2021 om 21:15 (Tekst redactie 2.0)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken
Versie 1.0 van 1 februari 2019 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.0 van 22 februari 2021.
Voor de actuele versie van deze BIO Thema-uitwerking in pdf-formaat ga naar de website BIO-overheid/producten.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Objecten voor applicatieontwikkeling worden gerelateerd aan de ontwikkelfasen en geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in drie domeinen: beleid, uitvoering en control.


De vragen die hierbij een rol spelen, zijn:

  1. Welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?
  2. Welke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?
  3. Welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?

Organisatie van applicatieontwikkelingsobjecten

Zoals in Ontwikkelcyclus van applicatieontwikkeling is aangegeven, worden de geïdentificeerde applicatieontwikkelingsobjecten met het beleids-, uitvoerings- en control-domein georganiseerd. Hiermee worden deze aspecten in de juiste contextuele samenhang gepositioneerd. De betekenis die aan elk domein wordt toegekend, zijn:


1.Beleid, Binnen dit domein bevinden zich conditionele elementen over de applicatieontwikkeling. Hier zijn eisen opgenomen over ‘geboden’ en ‘verboden’, zoals het applicatiebeveiligingsbeleid, de te hanteren wet- en regelgeving en andere vormen van reguleringen en beperkingen.

2.Uitvoering, Binnen dit domein bevinden zich:

  • elementen die gerelateerd zijn aan operationele activiteiten over het ontwikkelen van applicaties;
  • elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn;
  • elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen.

3.Control, Binnen dit domein bevinden zich elementen die zorgdragen voor de beheersing van het ontwikkelproces en/of het in standhouden van activiteiten die wel naar wens verlopen.


Observatie bij identificeren van objecten

Er is gebleken dat bij het identificeren van objecten uit de BIO (Baseline Informatiebeveiliging Overheid) en de ISO 27002 weinig controls te vinden zijn die direct gerelateerd zijn aan de ontwikkelfases: analyseren, specificeren, ontwerpen en ontwikkelen. Dit komt doordat binnen deze ISO-standaard niet is uitgegaan van de ontwikkelfasen van systeemontwikkeling en wellicht ook doordat de activiteiten binnen deze fasen gerelateerd zijn aan specifieke methoden en/of programmeertalen. In de ISO 27002 zijn wel beveiligingscontrols en bijbehorende maatregelen aangetroffen die indirect te maken hebben met de ontwikkelfasen.

Objecten geprojecteerd op domein en gesorteerd naar invalshoek

De pagina Objecten ingedeeld naar invalshoeken geeft een overzicht van de applicatieontwikkelingsobjecten die in het Beleidsdomein, Uitvoeringsdomein en Control-domein zijn uitgewerkt. Vanuit een baseline-gebaseerde benadering is een lijst gemaakt van relevante objecten uit verschillende baselines. Los van de baselines zijn enkele objecten als relevant voor dit thema aangegeven. Ervan bewust zijnde dat deze zogenaamde baseline-gebaseerde benadering tot selectie van objecten leidt die niet allemaal in de huidig wereld van systeemontwikkelingsaanpak thuishoren. Er is gekozen om een baseline-benadering toe te passen om zo de overgang naar de Agile-benadering beter te kunnen maken.


Uit de inhoudelijke bestudering van de objecten vanuit de baseline-gebaseerde benadering komt naar voren dat er doublures in de objecten zijn. Met andere woorden het aantreffen van twee verschillende objecten die dezelfde inhoud kennen. Sommige objecten zijn vooralsnog bewust achterwege gelaten vanwege het geringe belang van deze objecten in relatie tot de totale scope.


Opgemerkt wordt dat er verschillende termen gehanteerd worden voor hetzelfde, zoals: informatiesysteem, applicatie, systeem en toepassing. Voor de consistentie is gekozen om de term ‘systeem’ in de betiteling van de betreffende controls (dus het objecten) aan te passen naar applicatieontwikkeling.