Beveiligingsaspect Control: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
(tabellen gesplitst en direct stelling/criterium weergegeven. Link naar uitleg ID toegevoegd)
(met normen in tabel principes)
Regel 8: Regel 8:
| ?=Principe
| ?=Principe
| ?Criterium
| ?Criterium
| ?-Realiseert=Onderliggende normen
| sort=ID
| sort=ID
| link=all
| link=all

Versie van 8 feb 2018 17:46

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Alle Normen) binnen het Beveiligingsaspect Control weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool

Paars vierkant kader met daarin in wit de eerste letter van Beveiligingsaspect Control

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Principes[bewerken]

IDPrincipeCriteriumOnderliggende normen
PRIV_C.01Intern toezichtDoor of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond.Aantoonbaar behoorlijke verwerking
Aantoonbaar transparante verwerking
Compliancy en compleetheid aantonen met het gegevensregister
Compliancydossier
Evaluatierapportage bij niet voldoen
Gewaarborgde bescherming
Juiste en actuele gegevens
Planmatige controle op compliancy
Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte
Rechtmatigheid aangetoond, toereikende verwerking
Rechtmatigheid aantonen
Rechtmatigheid van de verwerking aantonen
Toezien op het voldoen aan de wettelijke verplichtingen
PRIV_C.02Toegang gegevensverwerking voor betrokkenenDe verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG Art. 12, tenzij er een specifieke uitzonderingsgrond geldt.Geen afbreuk aan rechten en vrijheden van anderen
Gegevens ter identificatie van de betrokkene
Informatie aan betrokkene over de verwerking van persoonsgegevens
Informatie wordt schriftelijk en/of elektronisch verstrekt
Kosteloos, tenzij onredelijk
Mondelinge informatieverstrekking
Passende, begrijpelijke en toegankelijke wijze van informeren
Specifieke uitzonderingsgronden
Tijdig informeren bij geen gevolg aan verzoek van betrokkene
Tijdige verstrekking op verzoek van betrokkene
Welke informatie wordt verstrekt
PRIV_C.03Meldplicht DatalekkenDe verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de Autoriteit Persoonsgegevens, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.Datalek melden aan betrokkene
Datalek melden aan de AP
Directe melding aan betrokkene
Duidelijke en eenvoudige taal
Eisen aan de melding aan AP
Eisen aan de melding aan betrokkene
Inbreuk melden aan verwerkingsverantwoordelijke
Kennisgeving vastleggen
Motivering bij vertraagde melding
Naleving controleren op basis van documentatie
Noodzakelijke gegevens in de documentatie
Registratie en documentatie van de inbreuken
Termijn voor melden aan AP
Uitzondering op meldplicht aan AP
Uitzondering op meldplicht aan betrokkene

Normen[bewerken]

IDNormStelling
APO_C.01.01Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeienDe projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software.
APO_C.01.02Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven codeDe projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode.
APO_C.01.03Controle richtlijnen die binnen de relevante beheerprocessen worden toegepastDe projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten.
APO_C.01.04Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnenDe projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten.
APO_C.01.05De Quality Assurance methodiek wordt conform de richtlijnen nageleefdDe quality assurance-methodiek wordt conform de richtlijnen nageleefd.
APO_C.01.06Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenDe projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.
APO_C.01.07Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeldPeriodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.
APO_C.02.01Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionarisHet versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.
APO_C.02.02Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegdIn het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd.
APO_C.02.03Versiemanagement wordt ondersteund met procedures en werkinstructiesHet versiebeheerproces wordt ondersteund met procedures en werkinstructies.
APO_C.02.04Ondersteuning vanuit het toegepaste versiebeheertoolEen versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals Ontwikkel, Test, Acceptatie en Productie (OTAP)) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
APO_C.03.01Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaaktHet patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.
APO_C.03.02Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkhedenDe ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement.
APO_C.03.03Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerdHet al dan niet uitvoeren van patches voor programmacode is geregistreerd.
APO_C.03.04Het beheer van technische kwetsbaarheden in code uit externe bibliothekenHet beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.
APO_C.03.05Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixesBij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.
APO_C.03.06Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog isUpdates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd.
APO_C.04.01Software configuratiescomponenten worden conform procedures vastgelegdSoftwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd.
APO_C.04.02De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeelDe configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.
APO_C.04.03Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDBWijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB).
... meer resultaten

Uitleg Beveiligingsaspecten[bewerken]

Beveiligingsaspect BeleidBeveiligingsaspect UitvoeringBeveiligingsaspect ControlAlle beveiligingsaspectenDrie paarse rechthoeken met in wit de teksten Beleid, Uitvoering en Control, met daarnaast een kleiner paars vierkant met de eerste letter van deze drie beveiligingsaspecten.

De Information Security Object Repository (ISOR) onderscheidt drie verschillende beveiligingsaspecten:

  1. Beleid
  2. Uitvoering
  3. Control


Benamingen en uitleg binnen de SIVA-methodiek

De SIVA-methodiek beschrijft dat de structuur is opgebouwd uit een aantal lagen waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichtings- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. De afbeelding SIVA-lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

SIVA lagenstructuur en kenmerken.

Beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuur. Met behulp van de karakterisering van het auditobject en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

  • Welke processen zouden moeten zijn ingericht?
  • Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
  • Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

Uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

  • Welke webapplicatie-componenten spelen een rol?
  • Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
  • Hoe moeten de features van de objecten zijn geconfigureerd?
  • Welke gedrag moeten de betrokken objecten en actoren vertonen?
  • Welke functies dienen te zijn geleverd?
  • Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
  • Hoe moeten objecten zijn samengesteld en vormgegeven?

Control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

  • Welke beheerprocessen zouden moeten zijn ingericht?
  • Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
  • Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
  • Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Beveiligingsaspect_Control&oldid=26453"