ISOR/totaaltabel

Uit NORA Online
Naar navigatie springen Naar zoeken springen 
Tabel met alle elementen in het normenkader BIO_Thema-uitwerking_Softwarepakketten.
Een element kan zijn: Beveiligingsprincipe, Hoofdstuk normenkader, Norm, Normenkader, Normenkader-aspect, Privacyprincipe
Tip: klik op het pijltje naast 'ID' voor een logische volgorde.
IDElementtypeDeze speciale eigenschap maakt deel uit van SmartCore. Gebruik deze eigenschap niet voor andere doeleinden.VersieaanduidingStatus actualiteitRedactionele wijzigingsdatumPublicatiedatumBeschrijvingToelichtingConformiteitsindicatorCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekGrondslagStellingGrondslag opmerkingenRealiseertAfbeeldingOnderschriftPxAlt-tekstWijzigingsdatum“Wijzigingsdatum <span style="font-size:small;">(Modification date)</span>” is een voorgedefinieerde eigenschap die overeenkomt met de datum van de laatste wijziging van een onderwerp. Deze eigenschap wordt geleverd door Semantic MediaWiki. 
SWP_U.05Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft een instandhoudingsproces voor het tot stand brengen, het onderhouden en het beëindigen van sessies van softwarepakketten.

Objecttoelichting

Na de authenticatie moet een sessiemanager-component vanuit de server acties van gebruikers op een veilige manier volgen. Hiervoor zijn bewezen raamwerken en bibliotheken beschikbaar. Meestal gebeurt dit met een beveiligde sessietoken. Deze token moet op een veilige manier worden gecreëerd en verlopen. Tokens mogen geen misleidbare of gevoelige informatie bevatten.

Schaalgrootte

Groot.

Voor wie

Leverancier.		Sessies behoren authentiek te zijn voor elke gebruiker en behoren ongeldig gemaakt te worden na een time-out of perioden van inactiviteit.Het voorkomen dat onbevoegden zich via kwetsbaarheden toegang verschaffen tijdens langdurig openstaande sessies.Onbevoegden maken via kwetsbaarheden gebruik van openstaande sessies en krijgen toegang krijgen tot gevoelige data. Het ontstaan van zwakheden als Cross-Site Request Forgery (CSRF) en Clickjacking.UitvoeringFunctie
  • Grip op Secure Software Development: SSD-12 en SSD-14
30019 november 2021 11:20:46Sessiebeheer
SWP_U.08Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft de controle of een gebruiker van een softwarepakket daadwerkelijk is wie hij beweert te zijn.

Objecttoelichting

Toegang tot softwarepakketten door gebruikers wordt gereguleerd door het toegangsmechanisme gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie (zoals een wachtwoord). Het softwarepakket stelt specifieke eisen aan de authenticatie van gebruikers. Het authenticatiemechanisme moet voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot softwarepakketten ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hier vertrouwelijk mee om te gaan.


NB Dit object en de set van maatregelen is voor softwarepakketten relevant als de onderliggende infrastructuur geen toereikende set van maatregelen bevat, waarmee aan de control kan worden voldaan.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Leverancier.		Softwarepakketten behoren de identiteiten van gebruikers vast te stellen met een mechanisme voor identificatie en authenticatie.Het vaststellen van de identiteit van een gebruiker van een softwarepakket.Onbevoegde personen krijgen toegang tot de data in het softwarepakket.UitvoeringGedrag
  • Grip op Secure Software Development: SSD-5
  • SIG Evaluation Criteria Security - Guidance for producers: 3.2.3
30019 november 2021 11:23:42Authenticatie
SWP_B.06Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft een modelmatige beschrijving van de technische en organisatorische samenhang van onderdelen van softwarepakketten.

Objecttoelichting

Op het hoogste niveau beschrijft een zogenaamde enterprise-architectuur de context van de organisatie en op hoofdlijnen het geheel aan organisatorische en functionele activiteiten en tot welke bedrijfsoutput dit resulteert.


De beveiligingsarchitectuur beschrijft met het beveiligingsbeleid in samenhang welke organisatorische en technische beveiligingsmaatregelen de beoogde bedrijfsfunctionaliteit en dienstverlening ondersteunen voor eindgebruikers en klanten.

Schaalgrootte

Middel en groot.

Voor wie

Klant.		De klant behoort het architectuurlandschap in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en beveiligingsprincipes te hebben ontwikkeld.Het effectief sturen en beheersen van veranderingen in het applicatielandschap.Onvoldoende mogelijkheid om sturing te geven op de beveiligingsmaatregelen van softwarepakketten die in de architectuur zijn opgenomen.BeleidStructuurCIP-netwerk30019 november 2021 10:34:31Beveiligingsarchitectuur
SWP_U.10Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft een instandhoudingsproces voor de toegangsverlening tot softwarepakketten.

Objecttoelichting

De toegang tot gebruikersfunctionaliteiten worden georganiseerd met autorisatiebeheer en de toewijzing van een gebruikersaccount. Het softwarepakket moet technische invoermogelijkheden bieden om via gebruikersrechten de toegang tot functionaliteiten te kunnen organiseren. Dit houdt in dat toegangsrechten tot functionaliteiten met gebruikersprofielen vanuit autorisatiebeheer toegekend dan wel ingetrokken kunnen worden.

Schaalgrootte

Groot.

Voor wie

Klant en leverancier.		De rechten die gebruikers hebben binnen een softwarepakket (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is.Bewerkstelligen dat de juiste mensen op het juiste moment om de juiste redenen toegang krijgen tot het softwarepakket.Misbruik van gegevens in een softwarepakket.UitvoeringGedrag
  • Grip op Secure Software Development: SSD-7
30019 november 2021 11:27:21Autorisatiebeheer
SWP_C.01Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft een beoordeling van de levering van de overeengekomen kwaliteit van dienstverlening.

Objecttoelichting

Het overeengekomen niveau van de informatiebeveiliging en dienstverlening met de leverancier dient te worden gehandhaafd. De operationele beheersing daarvan wordt met leveranciersovereenkomsten geregeld via het proces ‘Levenscyclusmanagement voor softwarepakketten’. Monitoring en beoordeling van prestaties en auditing is nodig om de naleving van overeenkomsten vast te stellen en om vastgestelde problemen in de operationele lijn op te lossen en te beheren.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Klant.		De klant behoort regelmatig de dienstverlening van softwarepakketleveranciers te monitoren, te beoordelen en te auditen.Het bepalen/vaststellen in hoeverre de leveranciersovereenkomst wordt nageleefd.De leverancier levert niet hetgeen is opgenomen in de overeenkomst.ControlIntentieBIO (Baseline Informatiebeveiliging Overheid): 15.2.130019 november 2021 10:41:41Evaluatie leveranciersdienstverlening
SWP_U.01Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft de besturing en het beheer van de opeenvolgende fases van de initiële installatie tot en met de uitfasering van een softwarepakket.

Objecttoelichting

Verwerving van software is geen enkelvoudige gebeurtenis. Na het verwerven van een softwarepakket blijft de klant tijdens de levenscyclus afhankelijk van de leverancier en heeft verschillende contactmomenten. Interactie met de leverancier blijft nodig tijdens de levensduur van het product, voor ingebruikname, actualisaties, innovaties en het uitfaseren.


De klant dient inzicht en overzicht te verschaffen aan de leverancier over de technische omgeving, de technische stack en de gewenste interoperabiliteit tussen de diverse softwarecomponenten behorende tot het softwarepakket. Het doel daarvan is de continuïteit van de beschikbaarheid van de bedrijfsfuncties zeker te stellen. Cruciaal daarbij is het tijdig upgraden van de software tijdens de levensduur van het product. Wanneer het softwarepakket niet langer door de leverancier wordt ondersteund, kan dit beveiligingsrisico’s voor de klant opleveren.


De ISO 27034-5 ‘Protocols and application security controls data structure’ uit 2017 beschrijft onderstaand referentiemodel, waarin de levenscyclus van software is gedefinieerd, vanaf de voorbereiding van de verwerving tot en met de uitfasering van het product. Het is een model dat verschillende aspecten in beeld brengt. In deze BIO Thema-uitwerking ligt de focus op het verwervingsproces en de fase van een software die equivalent is aan het verwerven van een softwarepakket.


”Dit schema geeft voor softwarepakketten de levenscyclus in de vorm van een referentiemodel weer”
Referentiemodel levenscyclus softwarebeveiliging

Schaalgrootte

Middel en groot.

Voor wie

Klant en leverancier.		De leverancier behoort de klant te adviseren met marktontwikkelingen en kennis van (de leeftijd van) applicaties en technische softwarestack over strategische ontwikkeling en innovatieve keuzes voor het ontwikkelen en onderhouden van informatiesystemen in het applicatielandschap.Het zorgen dat informatiebeveiliging deel uitmaakt van de levenscyclus van software.De continuïteit van de bedrijfsprocessen kan niet gewaarborgd worden.UitvoeringIntentieCIP-netwerk30019 november 2021 10:56:20Levenscyclusmanagement softwarepakketten
SWP_U.11Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Omvat het vastleggen van informatiebeveiligingsgerelateerde gebeurtenissen.

Objecttoelichting

Logging is een proces voor het registreren van activiteiten en gebeurtenissen in systemen om achteraf de rechtmatigheid van de resourcebenadering en vroegtijdige ongeautoriseerde toegangspogingen van systemen en netwerken te kunnen signaleren.


Voorkomen moet worden dat (te) grote hoeveelheden logdata ontstaan. Logdata dient van hoge kwaliteit te zijn met relevante gebeurtenissen. Logdata bevat doorgaans gevoelige, persoonsgebonden en/of financiële gegevens en moet worden beschermd volgens de lokale privacywetgeving of richtlijnen.

Schaalgrootte

Middel en groot.

Voor wie

Klant en leverancier.		Het softwarepakket biedt signaleringsfuncties voor registratie en detectie die beveiligd zijn ingericht.Het bieden van signaleringsfuncties voor registratie en detectie.Afwijkingen van normaal gedrag binnen het softwarepakket zijn niet zichtbaar.UitvoeringGedrag
  • Grip op Secure Software Development: SSD-30
30019 november 2021 11:29:23Logging
SWP_B.01Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft het resultaat van een besluitvorming, in welk tijdbestek en met welke middelen de verwervingsdoelstellingen voor softwarepakketten bereikt moeten worden.

Objecttoelichting

Een randvoorwaarde voor een succesvolle implementatie van informatievoorzieningen is inzicht hebben in de businessrisico’s en het regelmatig beoordelen van businessrisico’s gerelateerd aan applicatiesoftware zoals een softwarepakket. De business case onderzoekt de kosten en de baten.


De context- en risicoanalyse 1 onderzoekt informatieveiligheid, bedrijfscontinuïteit en privacybescherming. Beveiligingsrisico’s hebben zowel betrekking op de kennis van medewerkers als op de match van de software of IT-diensten met de bestaande bedrijfsprocessen en voldoende kennis van de techniek. Beleid is nodig om deze risico’s in kaart te brengen en mee te nemen in de besluitvorming voor de wijze van uitvoering.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Klant.		regelsVoor het verwerven van software behoren regels te worden vastgesteld en op verwervingsactiviteiten binnen de organisatie te worden toegepast.Het beheersen van het verwerven van softwarepakketten.Onvoldoende mogelijkheid om sturing te geven aan het verwerven van softwarepakketten.BeleidIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 14.2.1
30019 november 2021 10:16:40Verwervingsbeleid softwarepakketten
SWP_C.02Beveiligingsprincipe1.2Actueel25 november 202129 oktober 2021==Objectdefinitie==

Betreft een instandhoudingsproces voor de registratie van verschillende fases van een document, programma of andere informatie.

Objecttoelichting

Versiebeheer is een beheerproces dat voor softwarepakketten verantwoordelijk is voor het beheren van softwareversies tijdens de levenscyclus van het product. Het vindt zowel bij de klant als bij de leverancier plaats. Dit geldt zowel voor lokale toepassingen als voor clouddiensten. Versiebeheer omvat het beheer van documenten die functionele en technische specificaties bevatten. Bij de leverancier borgt versiebeheer tijdens de levensduur van het softwarepakket de beschikbaarheid van de juiste versies van programmacode voor het onderhoud tijdens de levenscyclus tot en met uitfasering.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Klant en leverancier.		Wijzigingen aan het softwarepakket binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.Gemachtigden kunnen op ieder moment beschikken over de juiste versie van een softwarepakket.Werken met verouderde versies van een softwarepakket.ControlFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 14.2.2
30025 november 2021 15:32:27Versiebeheer softwarepakketten
SWP_U.02Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft regels voor het inperken van programmacode-wijzigingen aan een softwarepakket die door derden in opdracht van gebruikersorganisaties worden aangebracht.

Objecttoelichting

Bij voorkeur dient een geleverd softwarepakket ongewijzigd te worden toegepast. Wijzigingen van de applicatiecode die niet door de leverancier zijn aangebracht, leveren bij actualisaties van het onderliggende serverplatform en interactie met andere platformen vaak technische problemen op. Ze veroorzaken daarbij mogelijk beveiligingsrisico’s. Eventuele wijzigingen dienen onder strikte voorwaarden, met goedkeuring van de leverancier plaats te vinden. Anderzijds worden organisaties die clouddiensten gebruiken soms geconfronteerd met nieuwe versies, die ze nog niet hebben kunnen testen voordat ze in de organisatie worden toegepast.

Schaalgrootte

Middel en groot.

Voor wie

Klant en leverancier.		Wijzigingen aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden gecontroleerd.Wijzigingen aan softwarepakketten gecontroleerd laten verlopen.Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van de data.UitvoeringIntentie
  • ISO 27002 2017: 14.2.4
30019 november 2021 11:03:44Beperking wijziging softwarepakket
SWP_U.12Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Omvat een verzameling van definities, waarmee programmaonderdeel A kan communiceren met programmaonderdeel B.

Objecttoelichting

Een API is te beschouwen als een soort digitale stekkerdoos, die externe diensten of personen gecontroleerde toegang kan verschaffen tot interne diensten, algoritmes, apparaten en/of informatiebronnen.


De eigenschappen van een API maakt een algoritme, dienst, apparaat of data programmeerbaar en daarmee ook gevoelig voor aanvallen. De maatregelen hieronder zijn beperkt tot generieke eisen. Zie voor specifieke eisen over JavaScript Object Notation (JSON), Extensible Markup Language (XML) of Graph Query Language (GraphQL) en de Application Security Verification Standard (ASVS) van Open Source Foundation for Application Security (OWASP).


Bij cloud-toepassingen speelt de HyperText Markup Language (HTML)-5 ondersteuning van bepaalde browsers en de versie van die browser een belangrijke rol, onder andere voor de ondersteuning van bepaalde office-versies.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Leverancier.		Softwarepakketten behoren veilige API’s te gebruiken voor import en export van gegevens.Het bieden van veilige mechanismen voor onder andere import en export van gegevens.Gegevens kunnen niet uitgewisseld worden.UitvoeringGedrag
  • OWASP Application Security Verification Standard 4.0.2: V13
30019 november 2021 11:31:03Application Programming Interface (API)
SWP_B.02Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft het resultaat van een besluitvorming, in welk tijdbestek en met welke middelen de doelstellingen voor informatiebeveiliging voor de relatie met leveranciers bereikt moeten worden.

Objecttoelichting

De kwaliteit die een klant als geheel ervaart van een softwarepakket wordt in belangrijke mate bepaald door de ondersteuning die de leverancier biedt gedurende de levenscyclus van een product in zowel goede als slechte tijden. Hiervoor is het nodig dat een passende leverancier wordt gekozen. Dit maakt onderdeel uit van het selectieproces. Randvoorwaardelijk is het maken van goede contractuele afspraken.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Klant.		Met de leverancier behoren de informatiebeveiligingseisen en een periodieke actualisering daarvan te worden overeengekomen.Het beheersen van de leveranciersrelatie specifiek gericht op informatiebeveiliging.Onvoldoende mogelijkheid om sturing te geven aan leveranciersrelaties specifiek voor informatiebeveiliging.BeleidIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 15.1.1
30019 november 2021 10:19:37Informatiebeveiligingsbeleid voor leveranciersrelaties
SWP_U.03Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Omvat maatregelen waarmee de toepassing van softwarepakketten voor bedrijfskritische processen doorgang kan vinden, ondanks incidenten en uitval van leveranciersondersteuning.

Objecttoelichting

Omdat de klant voor de continuïteit van haar bedrijfsvoering in hoge mate afhankelijk kan zijn van de beschikbare functionaliteit van softwarepakketten zijn maatregelen voor calamiteiten van essentieel belang. De beoogde continuïteit kan daarbij bepaald worden door externe factoren, zoals het ‘omvallen’ van cloud-leveranciers of de hostingproviders.


Bedrijfscontinuïteit omvat een set van maatregelen, die tijdens calamiteiten, zoals natuurrampen, binnen de overeengekomen maximale uitvalsduur (Recovery Time Objective (RTO)), zorgt voor het herstel van data en de kritische dienstverlening, waarbij dataverlies beperkt blijft tot het maximaal toegestane dataverlies. Bekende continuïteitsmaatregelen zijn: redundantie, disaster recovery en het periodiek aantonen dat herstelfuncties werken.

Schaalgrootte

Middel en groot.

Voor wie

Klant en leverancier.		De leverancier behoort processen, procedures en beheersmaatregelen te documenteren, te implementeren en te handhaven.Het waarborgen van het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie.Onnodig lange uitval van bedrijfsactiviteiten na calamiteiten waardoor bedrijfsdoelstellingen niet worden gehaald.UitvoeringIntentieBIO (Baseline Informatiebeveiliging Overheid): 17.1.230019 november 2021 11:14:43Bedrijfscontinuïteit
SWP_C.03Beveiligingsprincipe1.2Actueel25 november 202129 oktober 2021==Objectdefinitie==

Betreft een besturingsproces voor het verwerven, testen en installeren van patches voor softwarepakketten.

Objecttoelichting

Adequaat uitgevoerd patchmanagement draagt voor een heel groot deel bij aan de informatieveiligheid als het gaat om de weerbaarheid tegen aanvallen. Betrouwbare leveranciers monitoren voortdurend of hun producten in exploitatie kwetsbaar zijn en reageren op het bekend worden van geslaagde aanvallen door snel verbeterde code uit te brengen in de vorm van patches of compleet nieuwe releases.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Klant en leverancier.		Patchmanagement behoort procesmatig en procedureel uitgevoerd te worden, dat tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden van de gebruikte code, zodat zo snel mogelijk de laatste (beveiligings-)patches kunnen worden geïnstalleerd.Zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.Kwetsbaarheden brengen de stabiliteit en betrouwbaarheid van systemen in gevaar.ControlFunctie
  • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.09
30025 november 2021 15:56:48Patchmanagement softwarepakketten
SWP_U.13Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft het van buitenaf veilig invoeren van gegevens in het softwarepakket.

Objecttoelichting

Softwarepakketten maken vrijwel altijd gebruik van upload- of download-mechanismen voor de import en export van (gebruikers)gegevens. In veel gevallen worden die gegevens verkregen vanuit niet vertrouwde clients, al dan niet gepositioneerd in niet vertrouwde1 zones, waarna de gegevens getransporteerd worden via niet vertrouwde netwerken.


Om risico’s voor de bedrijfsvoering te beperken, behoort hiervoor een samenhangende set van maatregelen te worden toegepast.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Leverancier.		Softwarepakketten behoren mechanismen te bieden om niet-vertrouwde bestandsgegevens uit niet-vertrouwde omgevingen veilig te importeren en veilig op te slaan.Bewerkstelligen dat niet-vertrouwde omgevingen bestandsgegevens uit niet vertrouwde omgevingen veilig geïmporteerd en veilig opgeslagen worden.De beschikbaarheid, integriteit en vertrouwelijkheid van de data wordt geschaad.UitvoeringStructuur
  • OWASP Application Security Verification Standard 4.0.2: V12
30019 november 2021 11:32:41Gegevensimport
SWP_B.03Beveiligingsprincipe1.2Actueel25 november 202129 oktober 2021==Objectdefinitie==

Omvat het plan van handelen, inclusief voorwaarden voor de beëindiging van de dienstverlening bij een bestaande leverancier en het kunnen overzetten van data naar een nieuwe leverancier van softwarepakketten.

Objecttoelichting

Aan het einde van de levenscyclus van een softwarepakket (met name software in de cloud) moeten er mogelijkheden bestaan om bestaande contracten te ontbinden en een nieuwe leverancier te kiezen. Vendor lock-in moet worden voorkomen. Voor de transitiefase en een probleemloze overdracht van bedrijfsgegevens moeten vooraf bindende afspraken worden gemaakt tussen de klant en de leverancier.

Schaalgrootte

Middel of groot.

Voor wie

Klant.		In de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal bepalingen over exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit.Het voorkomen van discontinuïteit en het kunnen overgaan tot exit bij vooraf bepaalde condities.Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.BeleidIntentieCIP-netwerk30025 november 2021 15:34:15Exit-strategie softwarepakketten
SWP_U.07Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft het transport van gegevens van en naar het softwarepakket.

Objecttoelichting

Om getransporteerde gegevens te beschermen, moeten deze worden beveiligd met een voldoende sterke beveiligingsmethode.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Leverancier.		Het softwarepakket past versleuteling toe op de communicatie van gegevens die passend bij het classificatieniveau is van de gegevens en controleert hierop.Het beschermen van getransporteerde gegevens passend bij het classificatieniveau.Onbevoegden krijgen toegang tot getransporteerde gegevens.UitvoeringFunctie
  • Grip op Secure Software Development: SSD-4
30019 november 2021 11:22:39Communicatie
SWP_U.06Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft het veilig opslaan van gegeven binnen of buiten het softwarepakket.

Objecttoelichting

De door softwarepakketten opgeslagen gegevens worden logisch beschermd tegen ongeoorloofde toegang door deze te versleutelen. Als logische toegang tot de oorspronkelijke gegevens niet vereist is, zoals bij wachtwoorden, dan moet de leesbaarheid onmogelijk worden gemaakt met hashing.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Leverancier.		Te beschermen gegevens worden veilig opgeslagen in databases of bestanden, waarbij zeer gevoelige gegevens worden versleuteld. Opslag vindt alleen plaats als noodzakelijk.Toegang tot opgeslagen gegevens door onbevoegden wordt verhinderd.Opgeslagen gegevens worden ongeautoriseerd ingezien, aangepast of verwijderd door ontoereikende versleuteling.UitvoeringFunctie
  • Grip op Secure Software Development: SSD-2
30019 november 2021 11:21:54Gegevensopslag
SWP_U.04Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft een syntaxvalidatie van de input- en outputdata van een softwarepakket.

Objecttoelichting

Het softwarepakket ontvangt invoer van de gebruiker en van andere applicaties. Deze invoer kan verschillende vormen hebben. Het softwarepakket dient eerst de invoer te normaliseren, voordat een validatie van de invoer kan worden uitgevoerd via mechanismen voor filtering.


Om de integriteit van de informatievoorziening te kunnen waarborgen, zijn inputvalidaties onmisbaar. Dit geldt ook voor elektronische berichten, zoals een E-factuur, loonaangifte etc.


Een bekende kwetsbaarheid van applicaties en dus ook van softwarepakketten is de zogenaamde SQL-injection. Als een applicatie de syntax van gebruikersinput niet of onvoldoende controleert op datgene wat nodig is voor de ontworpen applicatiefuncties, maar naar gebruikers toe bijvoorbeeld ook systeemcommando’s reageert, dan is de kans groot dat het softwarepakket gehackt kan worden.


Deze kwetsbaarheden zijn door inputvalidatie relatief eenvoudig te voorkomen. Input-/outputcontroles verdienen extra aandacht bij softwarepakketten die worden gebruikt via openbare netwerken als internet, om zo het lagere beheersingsniveau van die omgeving te compenseren.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Leverancier.		Het softwarepakket behoort mechanismen te bevatten voor normalisatie en validatie van invoer en voor schoning van de uitvoer.Het beschermen van bedrijfsprocessen door zekerheid te verschaffen over de integriteit van de verwerkte data.Misbruiken van softwarepakketten en ongemerkt toegang krijgen tot gegevens en de beschikbaarheid, integriteit en vertrouwelijkheid van de data schaden.UitvoeringFunctie
  • Grip op Secure Software Development: SSD-19 en SSD-20
30019 november 2021 11:16:45Input-/output-validatie
SWP_B.05Beveiligingsprincipe1.2Actueel22 november 202129 oktober 2021==Objectdefinitie==

Betreft een coderingstechniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie.

Objecttoelichting

Cryptografie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie. Een solide cryptografiebeleid is daarbij een randvoorwaarde om de vertrouwelijkheid van informatie te kunnen garanderen. Met dit beleid geeft de organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten voor versleuteling van gegevens.

Schaalgrootte

Groot.

Voor wie

Klant.		Ter bescherming van de communicatie en opslag van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.Het beheersen van cryptografie binnen softwarepakketten om de vertrouwelijkheid van informatie te kunnen garanderen.Onvoldoende mogelijkheid om sturing te geven aan de effectieve en betrouwbare inrichting van cryptografische beheersmaatregelen binnen softwarepakketten.BeleidStructuur
  • BIO (Baseline Informatiebeveiliging Overheid): 10.1.1
30022 november 2021 08:31:30Cryptografie Softwarepakketten
SWP_B.04Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Omvat eindgebruikersfuncties voor het bedrijfsproces en de functionele ondersteuning van informatiebeveiliging die daarvoor nodig wordt geacht.

Objecttoelichting

De eigenschappen van het softwarepakket voldoen aan de businessbehoefte van de klant en ondersteunt daarmee op een veilige manier het bedrijfsproces. Het softwarepakket bevat goed-gedefinieerde mogelijkheden en interfaces.


Integratie en mogelijke koppelingen spelen daarbij een belangrijke rol. Het is zinvol na te gaan welke (open) standaarden een softwarepakket ondersteunt en in hoeverre deze in de toekomst actueel gehouden worden. Denk daarbij aan een standaard als Pan-European Public Procurement OnLine (PEPPOL) voor E-factureren.


Het softwarepakket dient de klant naast businessfuncties ook voldoende ‘digitale behendigheid’ te leveren, waardoor de organisatie componenten kan veranderen, naar behoefte kan uitbreiden en het softwarepakket aan het einde van de levenscyclus kan vervangen onafhankelijk van de belendende systemen.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Klant.		De noodzakelijke bedrijfs- en beveiligingsfuncties binnen het veranderingsgebied behoren te worden vastgesteld met organisatorische en technisch uitgangspunten.Het voldoen aan de businesseisen van de organisatie en de beoogde, veilige ondersteuning van het bedrijfsproces.Datalekken en de continuïteit niet kunnen waarborgen.BeleidFunctieCIP-netwerk30019 november 2021 10:28:38Bedrijfs- en beveiligingsfuncties
SWP_U.09Beveiligingsprincipe1.2Actueel19 november 202129 oktober 2021==Objectdefinitie==

Betreft het verlenen van toegang aan gebruikers voor softwarepakketten.

Objecttoelichting

Na verkregen toegang met de identificatie en authenticatie ontvangen gebruikers (eindgebruikers en beheerders) autorisaties voor het gebruik van bedrijfs- en beheerfunctionaliteiten van softwarepakketten. De autorisatie zorgt ervoor dat gebruikers uitsluitend toegang krijgen tot die functionaliteit waartoe zij vanuit hun takenpakket recht op hebben.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Klant en leverancier.		Het softwarepakket behoort een autorisatiemechanisme te bieden.Toegang tot bedrijfs- en beheerfuncties toe te kennen en te beperken volgens het vereiste gebruikersprofiel.Het toegang krijgen tot gegevens die niet noodzakelijk zijn voor het uitvoeren van de rol/functie.UitvoeringGedrag
  • Grip op Secure Software Development: SSD-8
30019 november 2021 11:25:46Toegangsautorisatie
SWP_VWHoofdstuk normenkader1.2Actueel16 november 202129 oktober 2021Deze BIO Thema-uitwerking is door het Centrum Informatiebeveiliging en Privacybescherming (CIP) opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen, met name voor de verwerving van standaard software. Daarmee wordt bestaande software bedoeld, die als product op de markt is gebracht om binnen een groot aantal organisaties te kunnen worden gebruikt. Voor algemene informatie over diverse soorten softwarepakketten zie: www.softwarepaketten.nl 1.


De belangrijkste aanleiding voor het opstellen van deze BIO Thema-uitwerking is dat de Baseline Informatiebeveiliging Overheid (BIO) de overheden weinig concrete handvatten biedt voor het verwerven van standaard softwarepakketten. Daarnaast is er de visie dat de complexiteit van de IT verschuift van infrastructuur naar applicaties. Daarom behandelt deze thema-uitwerking in samenhang de beveiligingseisen voor de verwerving van softwarepakketten.


Het kiezen van een softwarepakket blijkt in de praktijk vooral een integratievraagstuk. Hoe past de technologie en het gebruik van een softwarepakket (of dienst) veilig binnen de bestaande bedrijfsvoering? Dit is vooral een taak van de klantorganisatie. De verwervingseisen voor een softwarepakket zijn daarom geënt op zowel de noodzakelijke bedrijfs- en beveiligingsfunctionaliteiten als integratie of koppelingsmogelijkheden.		16 november 2021 12:03:32BIO Thema Softwarepakketten - Voorwoord en motivatie
SWP_INLHoofdstuk normenkader1.2Actueel19 november 202129 oktober 2021Deze BIO Thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Softwarepakketten. Het is geënt op controls uit de Baseline Informatiebeveiliging Overheid (BIO) die gebaseerd is op NEN-EN-ISO/IEC 27002: 2017 (hierna genoemd ISO 27002). Er is bij de samenstelling van dit thema tevens gebruik gemaakt van andere normenkaders en internationale standaarden zoals Application Security Verification Standard (ASVS) van Open Source Foundation for Application Security (OWASP), de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC), SIG Evaluation Criteria Security: Guidance for producers en The Standard of Good Practice (SoGP) 2018. Voor het concretiseren van de controls uit de BIO zijn deze eisen tevens gerelateerd aan normen uit de CIP (Centrum Informatiebeveiliging en Privacybescherming)-publicatie Secure Software Development (SSD). Hoewel SSD zich specifiek richt op softwareontwikkeling zijn bepaalde objecten en hieraan gerelateerde controls ook van toepassing op de aanschaf van standaard softwarepakketten.


Het landschap van softwarepakketten is zeer divers qua functionaliteit en schaalgrootte. Daarom is het onmogelijk om daarvoor één dekkende lijst van beveiligingseisen op te stellen. Wel is aan te geven welke onderwerpen tijdens het verwervingsproces van belang zijn en waar beveiligingseisen uit afgeleid kunnen worden. Daarom wordt specifiek gericht op objecten die bij het verwerven van belang zijn. Om de juiste objecten te identificeren, wordt uitgegaan van de fases van het verwervingsproces. Hierbij wordt gericht op de fases plannen en selecteren waarin een business case en het stellen van Programma van Eisen (PvE) een onderdeel zijn. Binnen de business case wordt met name aandacht besteed aan objecten gerelateerd aan informatieveiligheid en privacybescherming.


In deze thema-uitwerking wordt een softwarepakket beschouwd als een bestaand softwarepakket dat op de markt is gebracht door een leverancier en kan in verschillende organisaties worden toegepast. Het betreft standaard softwarepakketten die gebaseerd zijn op best practices binnen een bepaalde sector en op een verzameling van op elkaar afgestemde computerprogramma’s, die bepaalde bedrijfsfunctionaliteiten bieden. Voorbeelden van softwarepakketten zijn Enterprise Resource Planning (ERP)-pakket en Office-suites.


Softwarepakketten kunnen na verwerving in een eigen rekencentrum geïnstalleerd worden, maar ook afgenomen worden als een standaard clouddienst of als een hybride vorm hiervan. Dat wil zeggen: in eigen rekencentrum en in de cloud. Web-gebaseerde toepassingen kunnen ook op een lokale server draaien.

Levenscyclus softwarepakket

De ISO 27034-5 ‘Protocols and application security controls data structure’ uit 2017 beschrijft een referentiemodel, waarin de levenscyclus van software is gedefinieerd, vanaf de voorbereiding via de verwerving tot en met de uitfasering van het product. Onderstaande afbeelding is daarvan afgeleid en wordt gebruikt bij de uitleg van beveiligingseisen.

”Dit schema geeft de fases van een softwarepakket aan, waarbij implementeren en gebruiken en onderhouden buiten scope is”
Levenscyclus softwarepakket

Voorbereiding vanuit klantorganisatie

Voordat de werving en selectie van een softwarepakket start, worden de onderstaande stappen doorlopen, waarmee belangrijke vraagstukken worden ingevuld. De output van deze stappen maakt onderbouwing van keuzes mogelijk en maakt deze transparant en traceerbaar voor bestuurders en de inhoudelijke functies in zowel de business- als de informatievoorzieningsketen.

Stap 1. Inventariseren

De uitgangssituatie wordt in kaart gebracht, zowel van de organisatie als de techniek. Onderzocht wordt welke functionele behoeften er precies bestaan binnen de klantorganisatie (hierna genoemd klant) en welke afhankelijkheden verwacht worden tussen de al beschikbare bedrijfsfuncties en de beoogde nieuwe functionaliteit.

Stap 2. Onderbouwen

Een business case omschrijft de noodzaak voor een nieuw softwarepakket en de verwachte resultaten en voordelen daarvan. Binnen een business case worden ook de nieuwe IT-functionaliteiten vastgesteld waarin de kosten-baten worden geanalyseerd.

Stap 2a. en 2b. Contextanalyse en scenario-ontwikkeling

Na of tijdens de uitwerking van de business case wordt met een risicoanalyse (zie ISO 27005 ‘Information security risk management’ uit 2018) de in- en externe context vastgesteld. Dus in welke omgeving moet het pakket kunnen functioneren? Vanuit de business case en contextanalyse worden doelscenario’s ter besluitvorming uitgewerkt. Enkele vraagstukken daarbij zijn hieronder belicht.


Cloud of on-premise Voor standaard softwarepakketten wordt door leveranciers steeds meer overgegaan naar clouddiensten. Sommige software is zelfs alleen nog als clouddienst af te nemen. Business drivers als kosten/baten, ‘time-to-market’ en ‘wendbaarheid’ kunnen functionaliteit, geleverd als clouddienst heel aantrekkelijk maken. Organisaties die zijn overgestapt naar clouddiensten hebben ervaren dat die keuze een grote impact heeft op de bedrijfsvoering zoals men die gewend was met een eigen rekencentrum. Die impact geldt zowel voor de afnemende gebruikersorganisatie als voor de vorm van IT-dienstverlening.


Inpasbaarheid Er bestaat vrijwel altijd een bestaande IT-omgeving waarin het softwarepakket moet passen. Dat geldt tot op zekere hoogte ook voor clouddiensten. Dit zijn technische integratievraagstukken. Daarom is het van belang om voldoende IT-deskundigheid in te zetten bij een context- en risicoanalyse en bij het opstellen van een globaal ontwerp, Programma van Eisen (PvE) en de vaststelling van de technische randvoorwaarden. Raadpleeg daarbij de actuele vakliteratuur voor de te nemen technische maatregelen.


Risico’s De uit te voeren risicoanalyses zijn onder andere gericht op de vereiste bedrijfscontinuïteit, informatieveiligheid en privacyaspecten van de voorgenomen nieuwe bedrijfsfunctionaliteit. Daarvoor wordt onder andere een Business Impact Assessment (BIA), een risicoanalyse en indien nodig een Data Protection Impact Assessment (DPIA) uitgevoerd. Mede met de uitkomsten van deze analyses kan het meest geschikte implementatiescenario worden gekozen.


Continuïteit Continuïteitsvraagstukken zijn: wat is de maximaal toelaatbare uitvalduur van het softwarepakket en wat is het maximaal toelaatbare dataverlies? Beide factoren kunnen cruciaal zijn voor het voortbestaan van een bedrijf en maken onderdeel uit van Bedrijfscontinuïteitsmanagement (BCM).


Classificatie De classificatie van de data die door het pakket verwerkt zal worden, vormt eveneens een belangrijke input, zowel voor de BIA als voor de DPIA, maar ook voor beveiligingseisen gericht op de transport en opslag van gegevens.

Stap 3. en 4. Ontwerpen en conditioneren

Als de scenariokeuze is gemaakt, wordt een functioneel ontwerp opgesteld. Hierin worden de bedrijfsfuncties uitgewerkt tot een PvE. Dit PvE dient als basis voor de selectie van IT-diensten zoals een softwarepakket.


Bij het vaststellen van een PvE wordt aandacht besteed aan zowel bedrijfsfuncties als aan informatieveiligheid en privacybescherming, waarvoor een set van functionele en non-functionele eisen wordt opgesteld.


In deze BIO Thema-uitwerking zijn de objecten geïdentificeerd en de hieraan gerelateerde BIO-controls gedefinieerd die voor het ontwerp van bedrijfsfuncties en vanuit de verwervingsoptiek noodzakelijk kunnen zijn. Het gaat hier zowel om de organisatie als de techniek.


De objecten zijn conform de standaard opzet van BIO Thema-uitwerkingen uitgewerkt in twee onderdelen: structuur en objecten. De structuur van elk thema is een indeling van objecten op basis van het beleids-, uitvoerings- en control-domein. De objecten representeren de inhoudelijke informatiebeveiligingsonderwerpen, die bij voorkeur uit de BIO-/ISO 27002-controls en -maatregelen zijn geadopteerd. Zoals bij de inleiding is aangegeven, zijn sommige controls voor concretisering gerelateerd aan andere baselines zoals SSD-controls en -maatregelen.

Scope en begrenzing softwarepakketten

Deze BIO Thema-uitwerking is voornamelijk gericht op conditionele, beveiligings- en beheersingsaspecten en generieke beveiligingseisen die gerelateerd zijn aan de verwerving van softwarepakketten. Buiten scope van deze thema-uitwerking vallen:

  1. operationele implementatie en configuratie van het verworven softwarepakket;
  2. activiteiten die specifiek gaan over de infrastructuur van externe hosting en generieke clouddiensten; zie daarvoor de BIO Thema-uitwerkingen Clouddiensten, Serverplatform en Communicatievoorzieningen.
  3. specifieke gebruikers- en businesseisen omdat deze eisen organisatieafhankelijk zijn.
  4. applicatieontwikkelingseisen, zie daarvoor de BIO Thema-uitwerking Applicatieontwikkeling.


De begrenzing van dit document is in onderstaande afbeelding weergegeven.

”Dit schema geeft aan hoe de relatie is tussen deze en andere BIO Thema-uitwerkingen, documenten op normatief niveau en de ISOR waarin de thema's worden ontsloten.”
Relatie BIO Thema-uitwerkingen met aanpalende documenten


De relatie tussen de verschillende BIO Thema-uitwerkingen is in onderstaande afbeelding weergegeven.

”Dit schema geeft aan hoe de relatie is tussen deze en alle andere BIO Thema-uitwerkingen.”
Postitionering thema Softwarepakketten in relatie tot andere thema-uitwerkingen

Relaties tussen beveiligingsobjecten

De objecten in het beleidsdomein, sturen de objecten in het uitvoeringsdomein aan en worden uiteindelijk getoetst via beheersingsobjecten of het beleid in de uitvoering wordt gehanteerd, zie onderstaande afbeelding. De BIO Thema-uitwerking Softwarepakketten omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen, registraties etc. in de vorm van objecten voor het betrouwbaar functioneren van softwarepakketten. De essentiële objecten voor softwarepakketten, die onder andere betrekking hebben op gebruikers, functionaliteiten en centrale database (zie onderstaande afbeelding) zijn in het beleidsdomein, uitvoeringsdomein en control-domein uitgewerkt.

”Dit schema geeft de relatie tussen deze en alle andere BIO Thema-uitwerkingen weer.”
Softwarepakketten in het beleids-, uitvoerings- en control-domein

Beleidsdomein

Dit zijn de randvoorwaarden, conditionele aspecten en constraints die bij de verwerving van softwarepakketten in acht moeten worden genomen.

Uitvoeringsdomein

De control-keuze uit de BIO voor deze BIO Thema-uitwerking vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan software:

  • Beveiligings- en beheerfuncties, Het softwarepakket beschikt over beveiligingsfuncties en beschermingsmechanismen die de beveiliging van softwarepakketten moeten bevorderen, zoals virusprotectie en mogelijkheden om tekortkomingen in de beveiliging achteraf te kunnen corrigeren, zoals patchmanagement.
  • Configuratie van features, Het softwarepakket beschikt over features om een adequaat niveau van beveiliging te kunnen bereiken.
  • Structuur en ontwerp, De samenhang tussen de modules binnen het softwarepakket, de geboden koppelingsmogelijkheden met een externe applicatie en de faciliteiten voor import en export zijn inzichtelijk gemaakt met een softwarearchitectuur.

Control-domein

Voor het evalueren van de effectiviteit van de genomen controls en maatregelen uit het beleids- en uitvoeringsdomein zijn in dit domein de daarvoor benodigde objecten, controls en maatregelen bepaald.		19 november 2021 09:51:09BIO Thema Softwarepakketten - Inleiding
SWP_U.08.02Norm1.2Actueel4 november 202129 oktober 2021Mechanisme voor identificatie en authenticatieUitvoeringGedrag
  • Grip op Secure Software Development: SSD-5/02.02
De configuratie van de identificatie- en authenticatievoorziening waarborgt dat de geauthentiseerde persoon inderdaad de geïdentificeerde persoon is.Authenticatie4 november 2021 07:55:36Waarborgen dat geauthentiseerde persoon de geïdentificeerde persoon is
SWP_B.01.02Norm1.2Actueel3 november 202129 oktober 2021RegelsBeleidIntentie
  • CIP-netwerk
De verwerving van een softwarepakket vindt plaats met een business case, waarbij verschillende toepassingsscenario’s worden overwogen:
  • bedrijfsfuncties vanuit een softwarepakket in een eigen rekencentrum;
  • bedrijfsfuncties als Software as a Service (SaaS) aangeboden;
  • hybridevorm van IT-dienstverlening, waarbij SaaS-dienstverlening wordt aangevuld door diensten vanuit het eigen rekencentrum.
Verwervingsbeleid softwarepakketten3 november 2021 11:14:14Verwerven softwarepakket met business case
SWP_U.04.03Norm1.2Actueel3 november 202129 oktober 2021ValidatieUitvoeringFunctie
  • OWASP Application Security Verification Standard 4.0.2: V12
    		• Het softwarepakket (of Software as a Service (SaaS)) valideert alle invoer die de gebruiker aan het softwarepakket verstrekt.Input-/output-validatie3 november 2021 13:44:56Valideren verstrekte invoer aan softwarepakket
    SWP_C.01.02Norm1.2Actueel15 november 202129 oktober 2021BeoordelenControlIntentieISO 27002 2017: 15.2.1bDe door leveranciers opgestelde rapporten over de dienstverlening worden beoordeeld en zijn de basis voor besprekingen met de leveranciers voor zover dit is opgenomen in de overeenkomst.Evaluatie leveranciersdienstverlening15 november 2021 14:58:08Beoordelen rapporten over dienstverlening
    SWP_U.05.01Norm1.2Actueel16 november 202129 oktober 2021AuthentiekUitvoeringIntentie
    • Grip op Secure Software Development: SSD-14/01.02
    		Softwarepakketten hergebruiken nooit sessie-tokens in URL-parameters of foutberichten.Sessiebeheer16 november 2021 13:58:12Niet hergebruiken token-sessies
    SWP_U.07.02Norm1.2Actueel16 november 202129 oktober 2021VersleutelingUitvoeringFunctie
    • Grip op Secure Software Development: SSD-4/01.02
    		Het platform waarop het softwarepakket draait, zorgt voor de versleuteling van communicatie tussen de applicatieserver en webserver en tussen de applicatie en database. De webserver forceert versleuteling tussen de webserver en client.Communicatie16 november 2021 13:50:28Versleutelen communicatie tussen applicatie- en webserver
    SWP_U.12.01Norm1.2Actueel4 november 202129 oktober 2021Veilige API’sUitvoeringGedrag
    • SIG Evaluation Criteria Security - Guidance for producers: 3.3.6
    		Het softwarepakket maakt tijdens verwerking gebruik van veilige API’s op basis waarvan additionele gegevens uit externe bronnen kunnen worden ingelezen en verwerkt.Application Programming Interface (API)4 november 2021 08:17:30Gebruik maken van veilige API's tijdens verwerking
    SWP_B.05.01Norm1.2Actueel3 november 202129 oktober 2021Communicatie en opslagBeleidGedrag
    • CIP-netwerk
    		Communicatie en opslag van informatie door softwarepakketten is passend bij de classificatie van de gegevens, al dan niet beschermd door versleuteling.Cryptografie Softwarepakketten3 november 2021 12:35:25Passende gegevensclassificatie bij informatiecommunicatie en -opslag
    SWP_U.01.03Norm1.2Actueel3 november 202129 oktober 2021InnovatieveUitvoeringIntentie
    • CIP-netwerk
    		Technologische innovaties van softwarepakketten worden aan de klant gecommuniceerd en de toepassing daarvan wordt afgestemd met de klant voor implementatie.Levenscyclusmanagement softwarepakketten3 november 2021 12:47:19Communiceren technologische innovaties van softwarepakketten
    SWP_U10.03Norm1.2Actueel4 november 202129 oktober 2021Scheiding van niet verenigbare autorisatiesUitvoeringGedrag
    • Grip op Secure Software Development: SSD-7/03.04
    		Er bestaat een proces voor het definiëren en onderhouden van de autorisaties.Autorisatiebeheer4 november 2021 08:05:21Proces voor definiëren en onderhouden van autorisaties
    SWP_B.04.01Norm1.2Actueel3 november 202129 oktober 2021Bedrijfs- en beveiligingsfunctiesBeleidFunctie
    • CIP-netwerk
    		Bij de afleiding van de bedrijfsfuncties worden stakeholders uit het veranderingsgebied betrokken.Bedrijfs- en beveiligingsfuncties3 november 2021 12:27:56Betrekken stakeholders bij afleiden bedrijfsfuncties
    SWP_U.13.03Norm1.2Actueel16 november 202129 oktober 2021Veilig te importeren en veilig op te slaanUitvoeringGedrag
    • OWASP Application Security Verification Standard 4.0.2: V12.1
    		Het softwarepakket accepteert geen extreem grote bestanden, die buffers of het werkgeheugen kunnen ‘overspoelen’ en daarmee een Denial-of-Service (DoS)-aanval kunnen veroorzaken.Gegevensimport16 november 2021 12:15:57Geen grote bestanden accepteren
    SWP_C.03.01Norm1.2Actueel4 november 202129 oktober 2021Procesmatig en procedureelControlFunctie
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.09.01
    		Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.Patchmanagement softwarepakketten4 november 2021 09:04:53Beschrijven, vaststellen en bekendmaken patchmanagementproces en -procedures
    SWP_U.06.02Norm1.2Actueel3 november 202129 oktober 2021Te beschermen gegevensUitvoeringFunctie
    • Grip op Secure Software Development: SSD-2/01.02
    		Indien van een gegeven niet de classificatie van vertrouwelijkheid is vastgesteld, wordt het gegeven per default veilig opgeslagen.Gegevensopslag3 november 2021 14:02:08Per default velig opslaan gegeven
    SWP_U.08.03Norm1.2Actueel4 november 202129 oktober 2021Mechanisme voor identificatie en authenticatieUitvoeringGedrag
    • Grip op Secure Software Development: SSD-5/02.04
    		Het inlogmechanisme is robuust tegen herhaaldelijke, geautomatiseerde of verdachte pogingen om wachtwoorden te raden (brute-forcing of password spraying en hergebruik van gelekte wachtwoorden).Authenticatie4 november 2021 07:56:40Robuust zijn tegen wachtwoorden raden
    SWP_B.01.03Norm1.2Actueel3 november 202129 oktober 2021RegelsBeleidIntentie
    • CIP-netwerk
    		Verwerving van een softwarepakket vindt plaats met een functioneel ontwerp, waarin de beoogde functionele en niet-functionele requirements zijn uitgewerkt in een op te stellen softwarepakket van eisen en wensen.Verwervingsbeleid softwarepakketten3 november 2021 11:15:17Verwerven softwarepakket met functioneel ontwerp
    SWP_U.04.04Norm1.2Actueel3 november 202129 oktober 2021ValidatieUitvoeringFunctie
    • OWASP Application Security Verification Standard 4.0.2: V12
    		Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, zogenaamde ‘ingesloten’ aanvallen te detecteren.Input-/output-validatie3 november 2021 13:51:22Ingebouwde mechnismen om aanvallen te detecteren
    SWP_C.01.03Norm1.2Actueel4 november 202129 oktober 2021AuditenControlIntentie
    • ISO 27002 2017: 15.2.1c
    		Leveranciersaudits worden uitgevoerd in samenhang met rapportages over de dienstverlening.Evaluatie leveranciersdienstverlening4 november 2021 08:46:40Uitvoeren leveranciersaudits
    SWP_U.05.02Norm1.2Actueel3 november 202129 oktober 2021AuthentiekUitvoeringFunctie
    • Grip op Secure Software Development: SSD-14/01.02
    		Softwarepakketten genereren alleen nieuwe sessies met een gebruikersauthenticatie.Sessiebeheer3 november 2021 13:57:01Genereren nieuwe sessie met gebruikersauthenticatie
    SWP_U.07.03Norm1.2Actueel3 november 202129 oktober 2021Passend bij het classificatie-niveauUitvoeringFunctie
    • Grip op Secure Software Development: SSD-4/02.01
    		De opdrachtgever specificeert de classificatie van de gegevens die worden uitgewisseld en waarvoor versleuteling plaatsvindt.Communicatie3 november 2021 14:46:06Specificeren classificatie van uit te wisselen gegevens
    SWP_U.12.02Norm1.2Actueel4 november 202129 oktober 2021Veilige API’sUitvoeringGedrag
    • OWASP Application Security Verification Standard 4.0.2: V13.1.3
    		Application Programming Interface (API)-URL’s geven geen gevoelige informatie, zoals de API-sleutel, sessie-tokens enz. weer.Application Programming Interface (API)4 november 2021 08:18:17Niet weergegeven van gevoelige informatie
    SWP_B.05.02Norm1.2Actueel3 november 202129 oktober 2021Cryptografische beheersmaatregelenBeleidGedragBIO (Baseline Informatiebeveiliging Overheid): 10.1.1.1In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
    • Wie verantwoordelijkheid is voor de implementatie en het sleutelbeheer.
    • Het bewaren van geheime authenticatie-informatie tijdens verwerking, transport en opslag.
    • De wijze waarop de normen van het Forum Standaardisatie worden toegepast.
    		Cryptografie Softwarepakketten3 november 2021 12:36:23Uitwerken cryptografiebeleid
    SWP_U.02.01Norm1.2Actueel3 november 202129 oktober 2021WijzigingenUitvoeringIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 14.1.1.1
    		• Bij nieuwe softwarepakketten en bij wijzigingen op bestaande softwarepakketten moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO).Beperking wijziging softwarepakket3 november 2021 12:49:54Uitvoeren expliciete risicoafweging bij nieuwe software
    SWP_U.11.01Norm1.2Actueel4 november 202129 oktober 2021Registratie en detectieUitvoeringGedrag
    • Grip op Secure Software Development: SSD-30/01.03
    		In de architectuur van het softwarepakket zijn detectiemechanismen actief voor het detecteren van aanvallen.Logging4 november 2021 08:09:35Actief zijn van detectiemechanismen
    SWP_B.04.02Norm1.2Actueel3 november 202129 oktober 2021Bedrijfs- en beveiligingsfunctiesBeleidFunctie
    • CIP-netwerk
    		Voor het afleiden van bedrijfs- en beveiligingsfuncties worden formele methoden voor een gegevensimpactanalyse toegepast, zoals een (Business Impact Analyse) BIA en Data Protection Impact Assessment (DPIA) en wordt rekening gehouden met het informatieclassificatie-beleid.Bedrijfs- en beveiligingsfuncties3 november 2021 12:28:44Toepassen methoden voor gegevensimpactanalyse
    SWP_C.03.02Norm1.2Actueel4 november 202129 oktober 2021Technische kwetsbaarhedenControlFunctie
    • CIP-netwerk
    		Het beheer van technische kwetsbaarheden in code omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.Patchmanagement softwarepakketten4 november 2021 09:05:51Technisch kwetsbaarheden beheer omvat minimaal risicoanalyse
    SWP_U.06.03Norm1.2Actueel3 november 202129 oktober 2021VersleuteldUitvoeringFunctie
    • Grip op Secure Software Development: SSD-2/03.01
    		Het softwarepakket voorkomt dat wachtwoorden in leesbare vorm worden opgeslagen door gebruik van hashing in combinatie met salts en minimaal 10.000 rounds of hashing.Gegevensopslag3 november 2021 14:03:05Voorkomen opslag wachtwoorden in leesbare vorm
    SWP_U.09.01Norm1.2Actueel4 november 202129 oktober 2021AutorisatiemechanismeUitvoeringGedrag
    • BIO (Baseline Informatiebeveiliging Overheid): 9.4.1.2
    • Grip op Secure Software Development: SSD-8/01.03
    		Het softwarepakket biedt mechanismen, waarmee gebruikers, overeenkomstig hun verleende rechten en rollen, alleen informatie met specifiek belang kunnen inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.Toegangsautorisatie4 november 2021 07:59:55Bieden mechnismen om informatie in te zien en verwerken voor uitoefening taak
    SWP_B.01.04Norm1.2Actueel3 november 202129 oktober 2021RegelsBeleidIntentie
    • CIP-netwerk
    		Leveranciers zijn ISO 27001-gecertificeerd.Verwervingsbeleid softwarepakketten3 november 2021 11:16:11Leveranciers zijn gecertificeerd
    SWP_U.04.05Norm1.2Actueel3 november 202129 oktober 2021SchoningUitvoeringFunctie
    • Grip op Secure Software Development: SSD-20/01.01
    		Alle uitvoer wordt naar een veilig formaat geconverteerd.Input-/output-validatie3 november 2021 13:52:43Uitvoer naar veilig formaat converteren
    SWP_C.01.04Norm1.2Actueel4 november 202129 oktober 2021AuditenControlIntentieISO 27002 2017: 15.2.1dEr wordt inzicht gegeven in de complete verslaglegging van leveranciersaudits.Evaluatie leveranciersdienstverlening4 november 2021 08:47:49Geven inzicht in verslaglegging leveranciersaudits
    SWP_U.05.03Norm1.2Actueel3 november 202129 oktober 2021Time-outUitvoeringFunctie
    • Grip op Secure Software Development: SSD-12/02.01
    		Sessies hebben een specifiek einde en worden automatisch ongeldig gemaakt wanneer:
    • ze niet langer nodig zijn;
    • gebruikers hun sessie expliciet hebben laten verlopen;
    • de limiet voor het verlopen van de harde sessies is bereikt.
    		Sessiebeheer3 november 2021 13:57:46Automatisch ongeldig maken sessies
    SWP_U.07.04Norm1.2Actueel3 november 202129 oktober 2021ControleertUitvoeringFunctie
  • Grip op Secure Software Development: SSD-4/03.01, SSD-4/03.02 en SSD-4/03.03
    		• Het softwarepakket zorgt waar mogelijk voor verificatie dat het certificaat:
    • is ondertekend door een vertrouwde Certificate Authority (CA);
    • een valide geldigheidsduur heeft;
    • nog geldig is en niet is ingetrokken.
    		Communicatie3 november 2021 14:47:08Zorgen voor certificaatverificatie
    SWP_U.12.03Norm1.2Actueel4 november 202129 oktober 2021Veilige API'sUitvoeringGedrag
  • SIG Evaluation Criteria Security - Guidance for producers: 3.3.6
    		• Het softwarepakket maakt gebruik van veilige Application Programming Interfaces (API’s), die (automatisch) gebruikersdata scheiden van applicatiecode, waarmee injectie kwetsbaarheden zoals Structured Query Language (SQL) injection en Cross-Site Scripting (XSS) te voorkomen.Application Programming Interface (API)4 november 2021 08:19:02Gebruik maken van veilige API's die gebruikersdata scheiden
    SWP_B.06.01Norm1.2Actueel3 november 202129 oktober 2021ArchitectuurlandschapBeleidStructuurThe Standard of Good Practice for Information Security 2018: TS1.1.7De beveiligingsarchitectuur ondersteunt een bedrijfsbreed proces voor het implementeren van samenhangende beveiligingsmechanismen en tot stand brengen van gemeenschappelijke gebruikersinterfaces en Application Programming Interfaces (API’s), als onderdeel van softwarepakketten.Beveiligingsarchitectuur3 november 2021 12:41:32Ondersteunen proces voor beveilgingsmechnismen
    SWP_U.02.02Norm1.2Actueel3 november 202129 oktober 2021WijzigingenUitvoeringIntentie
    • NEN-ISO/IEC 27007:2017 (Guidelines for information security management systems auditing): 14.2.4
    		Wijzigingen in, door leveranciers geleverde, softwarepakketten worden, voor zover mogelijk en haalbaar, ongewijzigd gebruikt.Beperking wijziging softwarepakket3 november 2021 12:50:53Ongewijzigd gebruiken gewijzigde softwarepakketten
    SWP_U.11.02Norm1.2Actueel4 november 202129 oktober 2021Registratie en detectieUitvoeringGedrag
    • Grip op Secure Software Development: SSD-30/01.01
    		De te registreren acties worden centraal opgeslagen.Logging4 november 2021 08:10:26Centraal opslaan te registreren acties
    SWP_B.04.03Norm1.2Actueel16 november 202129 oktober 2021Bedrijfs- en beveiligingsfunctiesBeleidFunctie
    • CIP-netwerk
    		Het softwarepakket dekt de eisen van de organisatie zodanig dat geen maatwerk noodzakelijk is. Wanneer de functionaliteit door een SaaS (Software as a Service)-leverancier wordt aangeboden via een app-centre, dan wordt het volgende onderzocht en overeengekomen:
    • Wie zijn de leveranciers of contractpartners van apps?
    • Wie is verantwoordelijk voor het goed functioneren van de app en de continuïteit?
    		Bedrijfs- en beveiligingsfuncties16 november 2021 10:56:21Afdekken organisatie-eisen voor softwarepakketten
    SWP_C.03.03Norm1.2Actueel4 november 202129 oktober 2021Zo snel mogelijkControlFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 12.6.1.1
    		• Actualisaties/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo snel mogelijk geïnstalleerd.Patchmanagement softwarepakketten4 november 2021 09:06:57Installeren patches voor kwetsbaarheden
    SWP_U.06.04Norm1.2Actueel3 november 202129 oktober 2021VersleuteldUitvoeringFunctie
    • Grip op Secure Software Development: SSD-2/03.02
    • BIO (Baseline Informatiebeveiliging Overheid): 10.1.1.2
    		Gegevens worden door het softwarepakket deugdelijk versleuteld opgeslagen met passende standaarden voor cryptografie, tenzij door de gegevenseigenaar is gedocumenteerd dat dit niet noodzakelijk is. Cryptografische toepassingen voldoen aan passende standaarden.Gegevensopslag3 november 2021 14:03:52Versleuteld opslaan van gegevens met cryptografiestandaarden
    SWP_U.10.01Norm1.2Actueel4 november 202129 oktober 2021AutorisatiesUitvoeringGedrag
    • Grip op Secure Software Development: SSD-7/01.01
    		De rechten voor toegang tot gegevens en functies in het softwarepakket zijn op een beheersbare wijze geordend, gebruik makend van autorisatiegroepen.Autorisatiebeheer4 november 2021 08:03:58Ordenen rechten voor toegang tot gegevens en functies
    SWP_B.02.01Norm1.2Actueel3 november 202129 oktober 2021InformatiebeveiligingseisenBeleidIntentie
    • The Standard of Good Practice for Information Security 2018: SC1.1.1b, j en k
    		De overeenkomsten en documentatie omvatten afspraken over:
    • procedures voor levenscyclusmanagement, actualisaties en patches;
    • beveiligingseisen voor fysieke toegang, monitoring en beheer op afstand;
    • verplichtingen voor leveranciers om vertrouwelijke informatie van de klant te beschermen;
    • het bepalen van aanvullende beveiligingseisen zoals het recht op een audit;
    • de bewaking van informatiebeveiligingsprestaties met overeengekomen beveiligingsafspraken voor externe leveranciers;
    • het vaststellen van een methode voor het afsluiten, beëindigen, verlengen en heronderhandelen van contracten met externe leveranciers (exit-strategie);
    • de wijze van rapportage over de dienstverlening.
    		Informatiebeveiligingsbeleid voor leveranciersrelaties3 november 2021 11:19:31Overeenkomsten en documentatie omvatten afspraken
    SWP_U.12.04Norm1.2Actueel4 november 202129 oktober 2021Veilige API'sUitvoeringGedrag
  • SIG Evaluation Criteria Security - Guidance for producers: 3.3.6
    		• Het softwarepakket gebruikt veilige Application Programming Interfaces (API’s) die bufferlengtes controleren, waarmee kwetsbaarheden als Buffer- en Integer overflow worden voorkomen.Application Programming Interface (API)4 november 2021 08:19:46Veilige API's gebruiken
    SWP_C.01.05Norm1.2Actueel4 november 202129 oktober 2021AuditenControlIntentie
    • ISO 27002 2017: 15.2.1f
    		Vastgestelde problemen worden opgelost en beheerd.Evaluatie leveranciersdienstverlening4 november 2021 08:48:36Oplossen en beheren problemen
    SWP_U.04.01Norm1.2Actueel3 november 202129 oktober 2021NormalisatieUitvoeringFunctie
    • Grip op Secure Software Development: SSD-19/01.01
    		Het softwarepakket zorgt dat de invoer in een gestandaardiseerde vorm komt, zodat deze herkend en gevalideerd kan worden.Input-/output-validatie3 november 2021 13:36:44Zorgen voor gestandaardiseerde vorm
    SWP_U.07.05Norm1.2Actueel16 november 202129 oktober 2021ControleertUitvoeringFunctie
    • Grip op Secure Software Development: SSD-4/03.04
    		De versleutelde communicatie van het softwarepakket kan zodanig worden geconfigureerd, dat er geen terugval naar niet of onvoldoende versleutelde communicatie ontstaat.Communicatie16 november 2021 13:52:46Configureren versleutelde communicatie softwarepakket
    SWP_U.03.01Norm1.2Actueel16 november 202129 oktober 2021ProceduresUitvoeringIntentie
    • CIP-netwerk
    		Een adequate risicobeheersing bij de klant impliceert een voorbereiding op het voor korte of lange termijn wegvallen van leveranciersondersteuning:
    • met disaster recovery procedures voor herstel van de applicatie-functionaliteit en data;
    • door een contractuele uitwijklocatie;
    • door de mogelijkheid van dataconversie naar alternatieve IT-systemen.
    		Bedrijfscontinuïteit16 november 2021 14:32:33Adequate risicobeheersing
    SWP_B.06.02Norm1.2Actueel16 november 202129 oktober 2021BeveiligingsprincipesBeleidStructuur
  • The Standard of Good Practice for Information Security 2018: TS1.1.6
    		• Er zijn beveiligingsprincipes voorgeschreven waaraan een te verwerven softwarepakket getoetst moet worden, zoals:
    • Security by default, Standaard instellingen van beveiligingsparameters.
    • Fail secure, Tijdens systeemstoringen in het softwarepakket is informatie daarover niet toegankelijk voor onbevoegde personen.
    • Defence in depth, Gelaagde, diepgaande bescherming, die niet afhankelijk is van één beveiligingsmethode).
    • Default deny, Het voorkomen van ongeautoriseerde toegang.
    		Beveiligingsarchitectuur16 november 2021 12:08:22Voorschrijven beveiligingsprincipes
    SWP_U.02.03Norm1.2Actueel3 november 202129 oktober 2021GecontroleerdUitvoeringIntentie
  • ISO 27002 2017: 14.2.4
    		• Indien vereist worden de wijzigingen door een onafhankelijke beoordelingsinstantie getest en gevalideerd (dit geldt waarvoor mogelijk ook voor software in de cloud).Beperking wijziging softwarepakket3 november 2021 12:51:40Testen en valideren van wijzigingen
    SWP_U.11.03Norm1.2Actueel4 november 202129 oktober 2021Registratie en detectieUitvoeringGedrag
    • Grip op Secure Software Development: SSD-30/03.01
    		Er is vooraf bepaald wat te doen bij het uitvallen van loggingsmechanismen (alternatieve paden).Logging4 november 2021 08:11:14Bepalen acties bij uitval loggingsmechanismen
    SWP_B.04.04Norm1.2Actueel3 november 202129 oktober 2021Bedrijfs- en beveiligingsfunctiesBeleidFunctie
    • CIP-netwerk
    		Het softwarepakket biedt de noodzakelijke veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties, bij voorkeur gerelateerd aan open standaarden.Bedrijfs- en beveiligingsfuncties3 november 2021 12:30:45Bieden veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties
    SWP_U.01.01Norm1.2Actueel3 november 202129 oktober 2021AdviserenUitvoeringIntentie
    • CIP-netwerk
    		Tussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack.Levenscyclusmanagement softwarepakketten3 november 2021 12:45:43Afspreken procedure voor tijdig actualiseren verouderde software
    SWP_U.06.05Norm1.2Actueel3 november 202129 oktober 2021NoodzakelijkUitvoeringFunctie
    • Grip op Secure Software Development: SSD-2/04.01
    		Te beschermen gegevens worden door het softwarepakket alleen opgeslagen als dat nodig is voor het doel en voor de kortst mogelijke tijd, zijnde de kortste periode tussen het vervullen van de toepassing en de door wet- of regelgeving verplichte periode.Gegevensopslag3 november 2021 14:04:49Opslag gegevens als nodig voor doel en korste tijd
    SWP_U.09.02Norm1.2Actueel4 november 202129 oktober 2021AutorisatiemechanismeUitvoeringGedrag
    • CIP-netwerk
    		Beheer(ders)functies van softwarepakketten worden extra beschermd, waarmee misbruik van rechten wordt voorkomen.Toegangsautorisatie4 november 2021 08:00:49Beschermen beheer(ders)functies
    SWP_B.03.01Norm1.2Actueel15 november 202129 oktober 2021BepalingenBeleidIntentie
    • Cloud Computing Compliance Criteria Catalogue - C5:2020: PI-02
    		De klant legt in de overeenkomst bepalingen over exit vast dat:
    • De exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de klant (zie norm B.03.02 bij conformiteitsindicator Condities).
    • De overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd.
    • De opzegtermijn voldoende tijd geeft om te kunnen migreren.
    • Data en configuratiegegevens (indien relevant) pas na succesvolle migratie verwijderd mogen worden.
    • Door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd.
    • De exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
    		Exit-strategie softwarepakketten15 november 2021 15:59:27Vastleggen exit-bepalingen in overeenkomst
    SWP_U.13.01Norm1.2Actueel16 november 202129 oktober 2021Veilig te importeren en veilig op te slaanUitvoeringGedrag
  • OWASP Application Security Verification Standard 4.0.2: V12.1
    		• Het softwarepakket biedt een flexibel quotummechanisme voor het importeren van gegevens uit externe bronnen.Gegevensimport16 november 2021 12:13:35Bieden flexibel quotummechanisme
    SWP_C.02.01Norm1.2Actueel4 november 202129 oktober 2021ProceduresControlFunctie
    • CIP-netwerk
    		De leverancier heeft versiebeheer adequaat geregeld en stelt de klant tijdig op de hoogte van de actueel te gebruiken versies.Versiebeheer softwarepakketten4 november 2021 08:51:36Regelen adequaat versiebeheer
    SWP_U.04.02Norm1.2Actueel16 november 202129 oktober 2021ValidatieUitvoeringFunctie
    • Grip op Secure Software Development: SSD-31/01.02
    		Foute, ongeldige of verboden invoer wordt geweigerd of onschadelijk gemaakt. Het softwarepakket (of Software as a Service (SaaS)) voert deze controle van de invoer uit aan de serverzijde en vertrouwt niet op maatregelen aan de clientzijde.Input-/output-validatie16 november 2021 14:03:02Weigeren foute, ongeldige of verboden invoer
    SWP_U.08.01Norm1.2Actueel4 november 202129 oktober 2021Mechanisme voor identificatie en authenticatieUitvoeringGedrag
    • SIG Evaluation Criteria Security - Guidance for producers: 3.2.3
    		De authenticiteit wordt bereikt bij het zekerstellen van de volgende twee activiteiten:
    • Alle gebruikers zijn juist geauthentiseerd voordat ze toegang krijgen tot (modulen van) het softwarepakket.
    • Gebruikers kunnen veilig worden toegevoegd, verwijderd en/of geüpdatet in functies/functionaliteiten.
    		Authenticatie4 november 2021 07:54:45Bereiken authenticiteit
    SWP_B.01.01Norm1.2Actueel3 november 202129 oktober 2021RegelsBeleidIntentie
  • CIP-netwerk
    		• In het verwervingsbeleid voor softwarepakketten zijn regels vastgesteld die bij de verwerving van softwarepakketten in acht dienen te worden genomen. De regels kunnen onder andere betrekking hebben op:
    • analyse van de context waarin het softwarepakket moet functioneren;
    • mobiliseren van kennis die bij het verwerven van belang is;
    • vaststelling van de eigenaarschap van data;
    • tijdige scholing van de betrokken medewerkers;
    • naleven van contractuele verplichtingen.
    		Verwervingsbeleid softwarepakketten3 november 2021 11:10:43Regels voor beleid bij verwerving softwarepakketten
    SWP_U.03.03Norm1.2Actueel16 november 202129 oktober 2021HandhavenUitvoeringIntentie
  • CIP-netwerk
    		• Periodiek wordt de beoogde werking van de disaster recovery herstelprocedures in de praktijk getest. Met cloud-leveranciers worden continuïteitsgaranties overeengekomen.Bedrijfscontinuïteit16 november 2021 14:34:18Testen werking herstelprocedures voor disaster recovery
    SWP_C.01.01Norm1.2Actueel4 november 202129 oktober 2021MonitorenControlIntentie
    • ISO 27002 2017: 15.2.1a
    		De mate waarin de leveranciersovereenkomsten worden nageleefd, wordt geverifieerd.Evaluatie leveranciersdienstverlening4 november 2021 08:43:14Verifiëren mate van naleving leveranciersovereenkomsten
    SWP_U.03.02Norm1.2Actueel16 november 202129 oktober 2021HandhavenUitvoeringIntentie
    • CIP-netwerk
    		De data behorende bij het softwarepakket en de beoogde bedrijfsmatige bewerking van de gegevens kan worden hersteld binnen de overeengekomen maximale uitvalsduur.Bedrijfscontinuïteit16 november 2021 14:33:32Herstellen data softwarepakket en bedrijfsmatige bewerking gegevens
    SWP_U.11.04Norm1.2Actueel4 november 202129 oktober 2021BeveiligdUitvoeringGedrag
    • Grip op Secure Software Development: SSD-30/03.02
    		De (online of offline) bewaartermijn voor logging is vastgesteld en komt tot uitdrukking in de configuratie-instellingen van binnen het softwarepakket.Logging4 november 2021 08:12:03Vaststellen bewaartermijn voor logging
    SWP_B.04.05Norm1.2Actueel3 november 202129 oktober 2021Bedrijfs- en beveiligingsfunctiesBeleidFunctie
    • CIP-netwerk
    		De documentatie van het softwarepakket beschrijft alle componenten voor de beveiligingsfuncties die ze bevatten.Bedrijfs- en beveiligingsfuncties3 november 2021 12:31:59Beschrijven componenten voor beveiligingsfuncties
    SWP_U.01.02Norm1.2Actueel3 november 202129 oktober 2021Strategische ontwikkelingUitvoeringIntentie
    • CIP-netwerk
    		De leverancier onderhoudt een registratie van de gebruikte softwarestack. Hierin is de vermelding van de uiterste datum dat ondersteuning plaatsvindt opgenomen, waardoor inzicht bestaat in de door de leverancier ondersteunde versies van de software.Levenscyclusmanagement softwarepakketten3 november 2021 12:46:31Onderhouden registratie gebruikte softwarestack
    SWP_U.07.01Norm1.2Actueel3 november 202129 oktober 2021VersleutelingUitvoeringFunctieBIO (Baseline Informatiebeveiliging Overheid): 10.1.1.2Cryptografische toepassingen voldoen aan passende standaarden.Communicatie3 november 2021 14:44:37Voldoen aan passende standaarden
    SWP_U.10.02Norm1.2Actueel4 november 202129 oktober 2021Scheiding van niet verenigbare autorisatiesUitvoeringGedrag
    • Grip op Secure Software Development: SSD-7/03.01
    		Met taken, verantwoordelijkheden en bevoegdheden zijn verenigbare taken en autorisaties geïdentificeerd.Autorisatiebeheer4 november 2021 08:04:39Identificeren verenigbare taken en autorisaties
    SWP_B.03.02Norm1.2Actueel3 november 202129 oktober 2021ConditiesBeleidIntentie
    • CIP-netwerk
    		De klant kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
    • Contracten:
      • niet beschikbaar zijn van de afgesproken prestatie;
      • eenzijdige wijziging door de leverancier van het Service Level Agreement (SLA);
      • prijsverhoging.
    • Geleverde prestatie/ondersteuning:
      • onvoldoende compensatie voor storingen;
      • niet leveren van de afgesproken beschikbaarheid of prestatie;
      • gebrekkige ondersteuning.
    • Clouddienst(en):
      • nieuwe eigenaar of nieuwe strategie;
      • einde van de levensduur van clouddiensten als softwarepakket;
      • achterwege blijvende features.
    		Exit-strategie softwarepakketten3 november 2021 12:25:04Besluiten over te gaan tot exit
    SWP_U.13.02Norm1.2Actueel16 november 202129 oktober 2021Veilig te importeren en veilig op te slaanUitvoeringGedrag
  • OWASP Application Security Verification Standard 4.0.2: V12.3
    		• Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, ‘ingesloten’ aanvallen te detecteren.Gegevensimport16 november 2021 12:14:21Beveiligingsmechanismen inbouwen voor detectie ingesloten aanvallen
    SWP_C.02.02Norm1.2Actueel4 november 202129 oktober 2021ProceduresControlFunctie
    • CIP-netwerk
    		Het versiebeheerproces wordt ondersteund met procedures en werkinstructies.Versiebeheer softwarepakketten4 november 2021 08:52:34Ondersteunen versiebeheer met procedures en werkinstructies
    SWP_U.06.01Norm1.2Actueel3 november 202129 oktober 2021Te beschermen gegevensUitvoeringFunctie
    • Grip op Secure Software Development: SSD-2/01.01
    		De opdrachtgever specificeert de classificatie van gegevens.Gegevensopslag3 november 2021 14:01:17Specificeren gegevensclassificatie
    SWP_UNormenkader-aspect1.2Actueel30 november 202129 oktober 2021==Objecten, controls en maatregelen==

    Onderstaande afbeelding geeft de ordening van beveiligingsobjecten in het uitvoeringsdomein weer met invalshoeken voor deze BIO Thema-uitwerking. Elk objectblok bevat de objectnaam, het basiselement en het objectnummer. Oranjegekleurde objecten zijn afgeleid van de Baseline Informatiebeveiliging Overheid (BIO). De witte objecten zijn afgeleid van overige best practices.


    ”Dit schema geeft alle beveiligingsobjecten weer voor softwarepakketten die horen in het uitvoeringdomein”
    Overzicht objecten voor softwarepakketten in het uitvoeringsdomein


    De objecten zijn in de volgende paragrafen uitgewerkt. Echter niet elk object is van toepassing voor elke softwarepakketselectie. Dit hangt af van verschillende factoren zoals: schaalgrootte, hostingslocatie, soort en integreerbaarheid met de bestaande IT. Anders dan in andere thema-uitwerkingen zijn aan deze thema-uitwerking toegevoegd:


    1. Schaalgrootte, De schaalgrootte geeft een globale indicatie (klein, middel of groot) in hoeverre de schaalgrootte van softwarepakketten van invloed kan zijn op de relevantie van een beveiligingsprincipe. Met klein wordt bedoeld getalsmatig en/of bedrijfsmatige impactbeperkte toepassing. Middel is voor middelgrote bedrijfstoepassingen, zoals boekhouding- en officetoepassingen. De waarde groot is voor grootschalig gebruik, enerzijds in aantallen, anderzijds in omvang van het softwarepakket zoals Enterprise Resource Planning (ERP) en Enterprise Data Warehouses (EDW).
    2. Voor wie het criterium van toepassing is, Het gaat om de klant (de eisensteller) en/of de leverancier (levert het softwarepakket of diensten). In veel gevallen is samenwerking tussen de klant en leverancier nodig om risico’s tijdens het gebruik van de softwarepakketten afdoende te beperken.
    		De doelstelling van het uitvoeringsdomein is te waarborgen dat de operationele functionele en non-functionele eisen die deel uitmaken van het Programma van Eisen (PvE) voor het verwerven van softwarepakketten gebaseerd zijn op organisatorische- en technische uitgangspunten van de organisaties.Als adequate normen en maatregelen voor de inzet en veilig gebruik van softwarepakketten ontbreken, dan ontstaan enerzijds risico’s voor het verkrijgen van onjuiste functionaliteiten en anderzijds risico’s voor het verkrijgen van een softwarepakket met onvoldoende beschermende eigenschappen binnen het softwarepakket.


    Cyberaanvallen maken meestal misbruik van kwetsbaarheden in standaard software, zoals softwarepakketten. Kwetsbaarheden kunnen om vele redenen aanwezig zijn, zoals codeerfouten, logische fouten, door onvolledige vereisten vanuit opdrachtgevers en het niet testen op ongebruikelijke of onverwachte omstandigheden. Veel voorkomende specifieke fouten (en daarmee kwetsbaarheden) in software zijn:

    • Het niet controleren van de omvang van gebruikersinvoer (Structured Query Language (SQL)-injection).
    • Het niet filteren op potentieel kwaadaardige tekenreeksen van invoerstromen.
    • Het niet initialiseren en wissen van variabelen.
    • Slecht geheugenbeheer waardoor overflows optreden en softwarefouten kunnen worden beïnvloed.


    Per object is aangegeven welke risico’s de bedrijfsvoering van organisaties lopen, wanneer beveiligingsmaatregelen niet of in onvoldoende mate worden geïmplementeerd.    		Uitvoering30030 november 2021 14:12:26Softwarepakketten Uitvoering
    SWP_CNormenkader-aspect1.2Actueel30 november 202129 oktober 2021==Beveiligingsprincipes, criteria en normen==

    Onderstaande afbeelding geeft de ordening van beveiligingsobjecten in het control-aspect weer met invalshoeken voor deze BIO Thema-uitwerking. Elk objectblok bevat de objectnaam, het basiselement en het objectnummer. Blauwgekleurde objecten zijn afgeleid van de Baseline Informatiebeveiliging Overheid (BIO). De witte objecten zijn afgeleid van andere best practices.


    ”Dit schema geeft alle beveiligingsobjecten weer voor softwarepakketten die horen in het control-domein”
    Overzicht objecten voor softwarepakketten in het control-domein


    De objecten zijn deels in de onderstaande tabellen uitgewerkt. Echter niet elk object is van toepassing voor elke softwarepakketselectie. Dit hangt af van verschillende factoren zoals: schaalgrootte, hostingslocatie, soort en integreerbaarheid met de bestaande IT. Anders dan in andere BIO thema-uitwerkingen zijn aan deze thema-uitwerking toegevoegd:


    1. Schaalgrootte, De schaalgrootte geeft een globale indicatie (klein, middel of groot) in hoeverre de schaalgrootte van softwarepakketten van invloed kan zijn op de relevantie van een beveiligingsprincipe. Met klein wordt bedoeld getalsmatig en/of bedrijfsmatige impactbeperkte toepassing. Middel is voor middelgrote bedrijfstoepassingen, zoals boekhouding- en officetoepassingen. De waarde groot is voor grootschalig gebruik, enerzijds in aantallen, anderzijds in omvang van het softwarepakket zoals Enterprise Resource Planning (ERP) en Enterprise Data Warehouses (EDW).
    2. Voor wie het criterium van toepassing is, Het gaat om de klant en/of de leverancier. In veel gevallen is samenwerking tussen de klant en leverancier nodig om risico’s tijdens het gebruik van de softwarepakketten afdoende te beperken.
    		De doelstelling van het control-domein is om vast te stellen of:
  • de controls voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van softwarepakketten;
  • softwarepakketten functioneel en technisch op het juiste niveau worden gehouden.


    • Dit houdt onder meer in dat binnen de organisatie een adequate beheersorganisatie moet zijn ingericht, waarin beheersprocessen zijn vormgegeven.    		Als de regie en control op noodzakelijke normen binnen de klant en de leverancier ontbreken, is het niet zeker of de bedrijfs- en technische functies aan de beoogde beveiligingsvoorwaarden voldoen en dat de governance van deze omgeving toereikend is ingericht. Ook kan niet vastgesteld worden of de gewenste normen worden nageleefd.Control30030 november 2021 14:13:50Softwarepakketten Control
    SWP_BNormenkader-aspect1.2Actueel30 november 202129 oktober 2021==Objecten, controls en maatregelen==

    Onderstaande afbeelding geeft de ordening van beveiligingsobjecten in het beleidsdomein weer met invalshoeken voor deze BIO Thema-uitwerking. Elk objectblok bevat de objectnaam, het basiselement en het objectnummer. Geelgekleurde objecten zijn afgeleid van de Baseline Informatiebeveiliging Overheid (BIO). De witte objecten zijn afgeleid van andere best practices.


    ”Dit schema geeft alle beveiligingsobjecten weer voor softwarepakketten die horen in het beleidsdomein”
    Overzicht objecten voor softwarepakketten in het beleidsdomein


    De objecten zijn deels in de onderstaande tabellen uitgewerkt. Echter niet elk object is van toepassing voor elke softwarepakketselectie. Dit hangt af van verschillende factoren zoals: schaalgrootte, hostingslocatie, soort en integreerbaarheid met de bestaande IT. Anders dan andere BIO Thema-uitwerkingen zijn aan deze uitwerking toegevoegd:


    1. Schaalgrootte, De schaalgrootte geeft een globale indicatie (klein, middel of groot) in hoeverre de schaalgrootte van softwarepakketten van invloed kan zijn op de relevantie van een object. Met klein wordt bedoeld getalsmatig en/of bedrijfsmatige impactbeperkte toepassing. Middel is voor middelgrote bedrijfstoepassingen, zoals boekhouding- en officetoepassingen. De waarde groot is voor grootschalig gebruik, enerzijds in aantallen, anderzijds in omvang van het softwarepakket zoals Enterprise Resource Planning (ERP) en Enterprise Data Warehouses (EDW).
    2. Voor wie de control van toepassing is, Het gaat om de klant en/of de leverancier. In veel gevallen is samenwerking tussen de klant en leverancier nodig om risico’s tijdens het gebruik van de softwarepakketten afdoende te beperken.
    		Het doel van het beleidsdomein is om de conditionele- of beleidselementen die van belang zijn bij het selecteren en verwerven van softwarepakketten te identificeren. Het zijn elementen die vooraf bekend moeten zijn en die uitgevaardigd en gecommuniceerd worden door het hogere management.Als toereikend beleid ontbreekt, dan bestaat het risico dat er geen systematische analyse van de noodzakelijke requirements plaatsvindt waardoor het verworven softwarepakket niet voorziet in de gewenste (non)functionaliteiten.Beleid30030 november 2021 14:05:44Softwarepakketten Beleid

    Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

    Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

    Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

    Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

    Interoperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving

    De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

    De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

    Een kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.

    Begrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.

    Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

    Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR/totaaltabel&oldid=50412"