Beveiligingsaspect Uitvoering

Uit NORA Online
Versie door Jdirks2 (overleg | bijdragen) op 22 dec 2017 om 20:19 (1 versie: Import teksten Privacy)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Alle Normen) binnen het Beveiligingsaspect Uitvoering weer.

Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool

Paars vierkant kader met daarin in wit de eerste letter van Beveiligingsaspect Uitvoering



 IDTitel
Applicatieontwikkeling ControlAPO_CApplicatieontwikkeling Control
Richtlijn evaluatie-ontwikkelactiviteitenAPO_C.01Richtlijn evaluatie-ontwikkelactiviteiten
Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeienAPO_C.01.01Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven codeAPO_C.01.02Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
Controle richtlijnen die binnen de relevante beheerprocessen worden toegepastAPO_C.01.03Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast
Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnenAPO_C.01.04Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen
De Quality Assurance methodiek wordt conform de richtlijnen nageleefdAPO_C.01.05De Quality Assurance methodiek wordt conform de richtlijnen nageleefd
Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenAPO_C.01.06Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeldAPO_C.01.07Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
Versiebeheer applicatieontwikkkelingAPO_C.02Versiebeheer applicatieontwikkkeling
Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionarisAPO_C.02.01Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris
Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegdAPO_C.02.02Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
Versiemanagement wordt ondersteund met procedures en werkinstructiesAPO_C.02.03Versiemanagement wordt ondersteund met procedures en werkinstructies
Ondersteuning vanuit het toegepaste versiebeheertoolAPO_C.02.04Ondersteuning vanuit het toegepaste versiebeheertool
Patchmanagement applicatieontwikkelingAPO_C.03Patchmanagement applicatieontwikkeling
Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaaktAPO_C.03.01Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt
Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkhedenAPO_C.03.02Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerdAPO_C.03.03Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
Het beheer van technische kwetsbaarheden in code uit externe bibliothekenAPO_C.03.04Het beheer van technische kwetsbaarheden in code uit externe bibliotheken
Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixesAPO_C.03.05Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes
... meer resultaten

Uitleg Beveiligingsaspecten[bewerken]

Beveiligingsaspect BeleidBeveiligingsaspect UitvoeringBeveiligingsaspect ControlAlle beveiligingsaspectenDrie paarse rechthoeken met in wit de teksten Beleid, Uitvoering en Control, met daarnaast een kleiner paars vierkant met de eerste letter van deze drie beveiligingsaspecten.

De Information Security Object Repository (ISOR) onderscheidt drie verschillende beveiligingsaspecten:

  1. Beleid
  2. Uitvoering
  3. Control

Benamingen en uitleg binnen de SIVA-methodiek

De SIVA-methodiek beschrijft dat de structuur is opgebouwd uit een aantal lagen waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichtings- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. De afbeelding SIVA-lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

SIVA lagenstructuur en kenmerken.

Beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuur. Met behulp van de karakterisering van het auditobject en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

  • Welke processen zouden moeten zijn ingericht?
  • Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
  • Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

Uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

  • Welke webapplicatie-componenten spelen een rol?
  • Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
  • Hoe moeten de features van de objecten zijn geconfigureerd?
  • Welke gedrag moeten de betrokken objecten en actoren vertonen?
  • Welke functies dienen te zijn geleverd?
  • Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
  • Hoe moeten objecten zijn samengesteld en vormgegeven?

Control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

  • Welke beheerprocessen zouden moeten zijn ingericht?
  • Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
  • Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
  • Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Beveiligingsaspect_Uitvoering&oldid=24085"