Beveiligingsaspect Control

Uit NORA Online
Naar navigatie springen Naar zoeken springen
De printervriendelijke versie wordt niet langer ondersteund en kan weergavefouten bevatten. Werk uw browserbladwijzers bij en gebruik de gewone afdrukfunctie van de browser.

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Alle Normen) binnen het Beveiligingsaspect Control weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het onderstaande symbool.

Paars vierkant kader met daarin in wit de eerste letter van Beveiligingsaspect Control

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Uitleg Beveiligingsaspecten[bewerken]

Beveiligingsaspect BeleidBeveiligingsaspect UitvoeringBeveiligingsaspect ControlAlle beveiligingsaspectenDrie paarse rechthoeken met in wit de teksten Beleid, Uitvoering en Control, met daarnaast een kleiner paars vierkant met de eerste letter van deze drie beveiligingsaspecten.

De Information Security Object Repository (ISOR) onderscheidt drie verschillende beveiligingsaspecten:

  1. Beleid
  2. Uitvoering
  3. Control


Benamingen en uitleg binnen de SIVA-methodiek

De SIVA-methodiek beschrijft dat de structuur is opgebouwd uit een aantal lagen waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichtings- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. De afbeelding SIVA-lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

SIVA lagenstructuur en kenmerken.

Beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuur. Met behulp van de karakterisering van het auditobject en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

  • Welke processen zouden moeten zijn ingericht?
  • Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
  • Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

Uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

  • Welke webapplicatie-componenten spelen een rol?
  • Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
  • Hoe moeten de features van de objecten zijn geconfigureerd?
  • Welke gedrag moeten de betrokken objecten en actoren vertonen?
  • Welke functies dienen te zijn geleverd?
  • Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
  • Hoe moeten objecten zijn samengesteld en vormgegeven?

Control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

  • Welke beheerprocessen zouden moeten zijn ingericht?
  • Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
  • Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
  • Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Control[bewerken]

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect. In onderstaande tabel is dit weergegeven.

Overzichtspagina ControlNormenkader
Applicatieontwikkeling ControlBIO Thema-uitwerking Applicatieontwikkeling
Clouddiensten ControlBIO Thema-uitwerking Clouddiensten
Communicatievoorzieningen ControlBIO Thema-uitwerking Communicatievoorzieningen
Huisvesting Informatievoorzieningen ControlBIO Thema-uitwerking Huisvesting Informatievoorzieningen
Middleware ControlBIO Thema-uitwerking Middleware
Privacy Control: het control- of beheerdomeinDe Privacy Baseline
Serverplatform ControlBIO Thema-uitwerking Serverplatform
Softwarepakketten ControlBIO Thema-uitwerking Softwarepakketten
Toegangsbeveiliging ControlBIO Thema-uitwerking Toegangsbeveiliging

Alle Principes binnen Beveiligingsaspect Control[bewerken]

IDPrincipeCriteriumOnderliggende normen
APO_C.01Richtlijn evaluatie-ontwikkelactiviteitenDe projectorganisatie behoort richtlijnen voor de controle-activiteiten en rapportages te hebben geformuleerd, gericht op de evaluaties van ontwikkelactiviteiten, zoals requirements, specificaties en programmacode.Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast
Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
De Quality Assurance methodiek wordt conform de richtlijnen nageleefd
Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen
APO_C.02Versiebeheer applicatieontwikkkelingDe projectorganisatie behoort in het systeem-ontwikkeltraject versiebeheer procesmatig en efficiënt ingericht te hebben.Ondersteuning vanuit het toegepaste versiebeheertool
Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris
Versiemanagement wordt ondersteund met procedures en werkinstructies
APO_C.03Patchmanagement applicatieontwikkelingPatchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
Het beheer van technische kwetsbaarheden in code uit externe bibliotheken
Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes
Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt
Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
APO_C.04(Software)configuratiebeheerDe inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
Software configuratiescomponenten worden conform procedures vastgelegd
Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB
APO_C.05Quality assuranceDe projectorganisatie behoort een quality assurance-proces te hebben ingericht, waarmee zij de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling kan vaststellen.De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
Het compliance management proces is gedocumenteerd en vastgesteld
Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken
Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
APO_C.06Compliance-managementDe projectorganisatie behoort een compliance-managementproces ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
APO_C.07Technische beoordeling informatiesystemenBij veranderingen van besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.Testen bij verandering van besturingssystemen
APO_C.08Beheersorganisatie applicatieontwikkelingDe projectverantwoordelijke behoort voor de software-ontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen en van de betrokken functionarissen de taken, verantwoordelijkheden en bevoegdheden zijn vastgesteld.De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk
De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd
De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven
De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
CLD_C.01Servicemanagementbeleid en evaluatierichtlijnDe Cloud Service Provider (CSP) heeft voor clouddiensten een servicemanagementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controle-activiteiten en rapportages.Beschikken over richtlijnen voor inrichting van service-management-organisatie
Beschrijven en inrichten relevante beheerprocessen
Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties
CLD_C.02Risico-controlRisicomanagement en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.Adresseren diverse elementen bij monitoring en reviewen
Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen
Richten op diverse zaken met betrekking tot monitoren van risico
Uitvoeren monitoringsactiviteiten en mitigeren risico’s
Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria
CLD_C.03Compliance en assuranceDe CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.Aansluiten compliance-proces op ISMS
Aansluiten uitkomsten uit diverse rapportages e.d.
Betrekken cloud-omgeving en administratie bij assessment
Inrichten compliance-proces voor governance van clouddienstverlening
Registreren reguliere rapportages in administratie
Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten
CLD_C.04Technische kwetsbaarhedenbeheer clouddienstenInformatie over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden dienen te worden geëvalueerd en passende maatregelen dienen te worden genomen om het risico dat ermee samenhangt aan te pakken.Beschikbaar stellen informatie over beheer van technische kwetsbaarheden
Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken
Definiëren en vaststellen rollen en verantwoordelijkheden
Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid
Installeren patches en treffen mitigerende maatregelen
Registreren en rapporteren evaluaties van technische kwetsbaarheden
Uitvoeren penetratietests op ICT-componenten
Verhelpen technische zwakheden door patchmanagement
CLD_C.05Security-monitoringsrapportageDe performance van de informatiebeveiliging van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan verschillende stakeholders.Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken
Analyseren informatiebeveiligingsrapportages in samenhang
Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten
Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht
Opvolgen verbeteringsvoorstellen uit analyse-rapportages
Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren
CLD_C.06Beheersorganisatie clouddienstenDe CSP heeft een beheersorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties
Beschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden
Vastleggen samenhang van processen in processtructuur
CVZ_C.01Naleving richtlijnen netwerkbeheer en evaluatiesRichtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
CVZ_C.02Compliance-toets netwerkbeveiligingDe naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijke management (compliancy-toetsen).Checklist voor veilige inrichting van netwerk(diensten)
Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s
Resultaten worden gerapporteerd aan het verantwoordelijke management
CVZ_C.03Evalueren robuustheid netwerkbeveiligingDe robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
CVZ_C.04Evalueren netwerkgebeurtenissen (monitoring)Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging.Continue bewaking via monitoring
Zeer belangrijke onderdelen van netwerkbeveiliging
CVZ_C.05Beheersorganisatie netwerkbeveiligingAlle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie
De communicatievoorzieningen worden geïdentificeerd en gedefinieerd
HVI_C.01Controle-richtlijnen huisvesting IVBedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
Er zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatie
Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
... meer resultaten

Alle onderliggende Normen binnen Beveiligingsaspect Control[bewerken]

IDNormStelling
APO_C.01.01Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeienDe projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software.
APO_C.01.02Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven codeDe projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode.
APO_C.01.03Controle richtlijnen die binnen de relevante beheerprocessen worden toegepastDe projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten.
APO_C.01.04Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnenDe projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten.
APO_C.01.05De Quality Assurance methodiek wordt conform de richtlijnen nageleefdDe quality assurance-methodiek wordt conform de richtlijnen nageleefd.
APO_C.01.06Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenDe projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.
APO_C.01.07Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeldPeriodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.
APO_C.02.01Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionarisHet versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.
APO_C.02.02Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegdIn het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd.
APO_C.02.03Versiemanagement wordt ondersteund met procedures en werkinstructiesHet versiebeheerproces wordt ondersteund met procedures en werkinstructies.
APO_C.02.04Ondersteuning vanuit het toegepaste versiebeheertoolEen versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals Ontwikkel, Test, Acceptatie en Productie (OTAP)) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
APO_C.03.01Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaaktHet patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.
APO_C.03.02Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkhedenDe ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement.
APO_C.03.03Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerdHet al dan niet uitvoeren van patches voor programmacode is geregistreerd.
APO_C.03.04Het beheer van technische kwetsbaarheden in code uit externe bibliothekenHet beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.
APO_C.03.05Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixesBij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.
APO_C.03.06Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog isUpdates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd.
APO_C.04.01Software configuratiescomponenten worden conform procedures vastgelegdSoftwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd.
APO_C.04.02De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeelDe configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.
APO_C.04.03Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDBWijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB).
... meer resultaten

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Betekenisvolle gegevens.

Betekenisvolle gegevens.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Beveiligingsaspect_Control&oldid=58291"