Gegevensimport
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Verwante principes |
Toelichting
Softwarepakketten maken vrijwel altijd gebruik van upload- of download-mechanismen voor de import en export van (gebruikers)gegevens. In veel gevallen worden die gegevens verkregen vanuit niet vertrouwde cliënts, al dan niet gepositioneerd in niet vertrouwde zones, waarna de gegevens getransporteerd worden via niet vertrouwde netwerken.
Om risico’s voor de bedrijfsvoering te beperken, behoort hiervoor een samenhangende set van maatregelen te worden toegepast.
Schaalgrootte
Elke schaalgrootte.
Voor wie
Leverancier.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Structuur.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is OWASP Application Security Verification Standard 4.0.2 V12
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SWP_U.13.01 | Veilig te importeren en veilig op te slaan |
Het softwarepakket biedt een flexibel quotummechanisme voor het importeren van gegevens uit externe bronnen. |
SWP_U.13.02 | Veilig te importeren en veilig op te slaan |
Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, ‘ingesloten’ aanvallen te detecteren. |
SWP_U.13.03 | Veilig te importeren en veilig op te slaan |
Het softwarepakket accepteert geen extreem grote bestanden, die buffers of het werkgeheugen kunnen ‘overspoelen’ en daarmee een Denial-of-Service (DoS)-aanval kunnen veroorzaken. |