Beveiligingsaspect Beleid

Uit NORA Online
Versie door M.M.Vos (overleg | bijdragen) op 4 jun 2018 om 13:10 (met overzichten binnen normenkaders, koppen aangepast, uitleg omhoog)
Naar navigatie springen Naar zoeken springen

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Alle Normen) binnen het Beveiligingsaspect Beleid weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool

Paars vierkant kader met daarin in wit de eerste letter van Beveiligingsaspect Beleid

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Uitleg Beveiligingsaspecten[bewerken]

Beveiligingsaspect BeleidBeveiligingsaspect UitvoeringBeveiligingsaspect ControlAlle beveiligingsaspectenDrie paarse rechthoeken met in wit de teksten Beleid, Uitvoering en Control, met daarnaast een kleiner paars vierkant met de eerste letter van deze drie beveiligingsaspecten.

De Information Security Object Repository (ISOR) onderscheidt drie verschillende beveiligingsaspecten:

  1. Beleid
  2. Uitvoering
  3. Control


Benamingen en uitleg binnen de SIVA-methodiek

De SIVA-methodiek beschrijft dat de structuur is opgebouwd uit een aantal lagen waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichtings- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. De afbeelding SIVA-lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

SIVA lagenstructuur en kenmerken.

Beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuur. Met behulp van de karakterisering van het auditobject en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

  • Welke processen zouden moeten zijn ingericht?
  • Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
  • Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

Uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

  • Welke webapplicatie-componenten spelen een rol?
  • Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
  • Hoe moeten de features van de objecten zijn geconfigureerd?
  • Welke gedrag moeten de betrokken objecten en actoren vertonen?
  • Welke functies dienen te zijn geleverd?
  • Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
  • Hoe moeten objecten zijn samengesteld en vormgegeven?

Control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

  • Welke beheerprocessen zouden moeten zijn ingericht?
  • Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
  • Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
  • Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Beleid[bewerken]

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect:

Overzichtspagina ControlNormenkader
Applicatieontwikkeling Control
Clouddiensten Control
Communicatievoorzieningen Control
Huisvesting Informatievoorzieningen Control
Middleware Control
Privacy Control: het control- of beheerdomein
Serverplatform Control
Softwarepakketten Control
Toegangsbeveiliging Control

Alle Principes binnen Beveiligingsaspect Beleid[bewerken]

IDPrincipeCriterium
APO_B.01Beleid voor (beveiligd) ontwikkelenVoor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
APO_B.02Systeem-ontwikkelmethodeOntwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd.
APO_B.03Classificatie van informatieInformatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
APO_B.04Engineeringsprincipe voor beveiligde systemenPrincipes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
APO_B.05Business Impact Analyse (BIA)De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid hebben op de organisatie.
APO_B.06Privacy en bescherming persoonsgegevens applicatieontwikkelingBij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd volgens relevante wet- en regelgeving.
APO_B.07KwaliteitsmanagementsysteemDe doelorganisatie behoort conform een uitgestippeld ontwikkel- en onderhoudsbeleid een kwaliteitsmanagementsysteem in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.
APO_B.08Toegangsbeveiliging op programmacodeToegang tot de programmabroncodebibliotheken behoren te worden beperkt.
APO_B.09ProjectorganisatieBinnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem-ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.
CLD_B.01Wet- en regelgeving ClouddienstenAlle relevante wettelijke, statutaire, regelgevende, contractuele eisen en de aanpak van de CSP om aan deze eisen te voldoen behoren voor elke clouddienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
CLD_B.02CloudbeveiligingsstrategieDe CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
CLD_B.03Exit-strategie clouddienstenIn de clouddienstenovereenkomst tussen de CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen1 over exit zijn opgenomen, als een aantal condities1 die aanleiding kunnen geven tot een exit.
CLD_B.04ClouddienstenbeleidDe CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een cloud-beveiligingsbeleid om de voorzieningen en het gebruik van cloud-services te adresseren.
CLD_B.05TransparantieDe CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
CLD_B.06RisicomanagementDe Cloud Service Provider (CSP) behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van clouddiensten te hebben opgezet en onderhouden.
CLD_B.07IT-functionaliteitIT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van de Cloud Service Provider (CSP) naar de Cloud Service Consumer (CSC).
CLD_B.08BedrijfscontinuïteitsmanagementDe CSP behoort haar BCM-proces adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
CLD_B.09Privacy en bescherming persoonsgegevens clouddienstenDe Cloud Service Provider (CSP) behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
CLD_B.10Beveiligingsorganisatie clouddienstenDe CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
CLD_B.11ClouddienstenarchitectuurDe CSP heeft een actuele architectuur vastgelegd die voorziet in een raamwerk voor de onderlinge samenhang en afhankelijkheden van de IT-functionaliteiten.
... meer resultaten

Alle onderliggende Normen binnen Beveiligingsaspect Beleid[bewerken]

IDNormStelling
APO_B.01.01De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkelingDe gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.
APO_B.01.02Grip op Secure Software Development' als uitgangspunt voor softwareontwikkelingDe handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.
APO_B.01.03Overwegingen bij het beleid voor beveiligd ontwikkelen van softwareIn het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  • beveiliging van de ontwikkelomgeving;
  • richtlijnen over de beveiliging in de levenscyclus van softwareontwikkeling:
    • beveiliging in de software-ontwikkelmethodologie;
    • beveiligde coderingsrichtlijnen voor elke gebruikte programmeertaal;
  • beveiligingseisen in de ontwikkelfase;
  • beveiligingscontrolepunten binnen de mijlpalen van het project;
  • beveiliging van de versiecontrole;
  • vereiste kennis over toepassingsbeveiliging;
  • het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
APO_B.01.04Technieken voor beveiligd programmerenTechnieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen.
APO_B.02.01Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologieEen formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling).
APO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passenSoftwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.
APO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitordAdoptie van ontwikkelmethodologie wordt gemonitord.
APO_B.02.04Software wordt ontwikkelen conform standaarden en proceduresStandaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van de ontwikkelde applicatie naar de productie-omgeving;
  • de training van softwareontwikkelaars.
    • APO_B.02.05De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereistenDe systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet- en regelgeving inclusief privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit de business;
  • het classificatiemodel van de organisatie.
    • APO_B.02.06Het softwareontwikkeling wordt projectmatig aangepaktHet ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van een assessment voor beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid;
  • het creëren van een risicoregister;
  • het registreren van belangrijke details in een bedrijfsapplicatieregister.
    • APO_B.03.01Dataclassificatie als uitgangspunt voor softwareontwikkelingDe handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen.
    APO_B.03.02Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerdDe informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.
    APO_B.03.03Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschemaBij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.
    APO_B.03.04Verplichtingen uit wet en regelgeving en organisatorische en technische requirementsIn het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements.
    APO_B.04.01Security by Design als uitgangspunt voor softwareontwikkelingDe gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.
    APO_B.04.02Principes voor het beveiligen van informatiesystemenVoor het beveiligen van informatiesystemen zijn de volgende principes van belang:
  • Defence in depth (beveiliging op verschillende lagen)
  • Secure by default
  • Default deny
  • Fail secure
  • Input van externe applicaties wantrouwen
  • Secure in deployment
  • Bruikbaarheid en beheersbaarheid
    • APO_B.04.03Beveiliging is integraal onderdeel van systeemontwikkelingBeveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld.
    APO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelenOntwikkelaars zijn getraind om veilige software te ontwikkelen.
    APO_B.05.01Perspectieven bij de Business Impact AnalyseBij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners, business- en IT-specialisten);
  • de scope van de risico-assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving.
    • APO_B.05.02Scenario's voor de Business Impact AnalyseDe business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
    • ... meer resultaten

    Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

    Betekenisvolle gegevens.

    Betekenisvolle gegevens.

    Het informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.

    Overgenomen van "https://www.noraonline.nl/index.php?title=Beveiligingsaspect_Beleid&oldid=30685"