ISOR/totaaltabel
Tabel met alle elementen in het normenkader Grip_op_Secure_Software_Development. Een element kan zijn: Beveiligingsprincipe, Hoofdstuk normenkader, Norm, Normenkader, Normenkader-aspect, Privacyprincipe Tip: klik op het pijltje naast 'ID' voor een logische volgorde.
ID | ElementtypeDeze speciale eigenschap maakt deel uit van SmartCore. Gebruik deze eigenschap niet voor andere doeleinden. | Versieaanduiding | Status actualiteit | Redactionele wijzigingsdatum | Publicatiedatum | Beschrijving | Toelichting | Conformiteitsindicator | Criterium | Doelstelling | Risico | Beveiligingsaspect | Invalshoek | Grondslag | Stelling | Grondslag opmerkingen | Realiseert | Afbeelding | Onderschrift | Px | Alt-tekst | Wijzigingsdatum“Wijzigingsdatum <span style="font-size:small;">(Modification date)</span>” is een voorgedefinieerde eigenschap die overeenkomt met de datum van de laatste wijziging van een onderwerp. Deze eigenschap wordt geleverd door Semantic MediaWiki. | |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
SSD_INL SB | Hoofdstuk normenkader | 3.0 | Concept | 26 augustus 2022 | 20 juli 2020 | ISO/IEC 25010:2011 is dé standaard voor softwarekwaliteit en definieert beveiliging op een technologie-onafhankelijke manier. Het is de basis van het SIG beveiligingsmodel1 volgens welke de SSD beveiligingseisen zijn gestructureerd. Dit model harmoniseert bestaande standaarden in een uniform en logisch overzicht van verantwoordelijkheden, zodat duidelijk is wat geregeld moet worden bij het maken van afspraken, bij implementatie en bij toetsing.
Hoe de verantwoordelijkheden een rol spelen in veilige softwareEen applicatie zorgt dat functies en gegevens alleen toegankelijk zijn voor diegenen die daarvoor goedkeuring hebben op de manier dat de applicatie bedoeld is. Voordat het systeem aan de vragen van gebruikers voldoet, voert het eerst Toegangscontrole uit.
| 26 augustus 2022 10:50:12 | Grip op Secure Software Development/Structuur beveiligingseisen | |||||||||||||||
SSD_TOEL W2 | Hoofdstuk normenkader | 3.0 | Actueel | 2 augustus 2022 | 9 augustus 2022 | Hieronder volgt een overzicht van de belangrijkste wijzigingen die in deze versie (3.0) van Grip op SSD Beveiligingseisen zijn doorgevoerd. De oude versie (2.0) blijft nog beschikbaar op de site www.cip-overheid.nl voor organisaties die op basis daarvan nog lopende afspraken hebben.
Overzicht van de wijzigingen
| 9 augustus 2022 08:40:31 | Grip op Secure Software Development/Wijzigingen ten opzichte van de versie 2 | |||||||||||||||
Hoofdstuk normenkader | Concept | 29 juli 2022 | 20 juli 2020 | 29 juli 2022 08:23:19 | Grip op Secure Software Development/Voorwoord en leeswijzer | ||||||||||||||||||
SSD_INL | Hoofdstuk normenkader | 3.0 | Actueel | 5 augustus 2022 | 20 juli 2020 | Deze thema-uitwerking beschrijft voor organisaties de belangrijkste beveiligingseisen die van toepassing zijn bij de ontwikkeling en aanschaf van applicaties. Samen met het document "Grip op SSD – de methode", waarin de aanpak "hoe grip erop te krijgen" is beschreven, wordt met de eisen de opdrachtgever een oplossing geboden om tot veilige software te komen. De eisen beperken zich daarvoor tot de applicatielaag van een systeem. Beveiligingseisen die gesteld worden aan bijvoorbeeld de infrastructuur, de werkplek of het personeel zijn niet meegenomen. Hiervoor kunnen bestaande frameworks voor informatiebeveiliging gebruikt worden, zoals ISO 27002.
Scope: web- en backend-applicatiesWanneer deze thema-uitwerking spreekt over een applicatie gaat het om een applicatie die bereikbaar is via een webbrowser of via een andere cliënt (bijvoorbeeld een mobiele of desktop applicatie). Kenmerkend is HTTP als communicatie-protocol en de versleutelde variant HTTPS. Applicaties kunnen ook opengesteld worden via een vooraf afgesproken interface (API). Voor mobiele applicaties zijn aparte SSD-mobile normen beschikbaar. Deze publicatie is samen met andere Centrum Informatiebeveiliging en Privacybescherming (CIP) publicaties (zoals de SSD-Methode) te vinden op www.cip-overheid.nl
Comply or ExplainTen aanzien van de gestelde beveiligingseisen geldt het principe 'pas toe of leg uit'. Een maatregel behorende bij een beveiligingseis is niet van toepassing, indien kan worden aangetoond dat:
Belangrijk is steeds dat de genomen maatregelen en de risico's die geaccepteerd worden steeds inzichtelijk zijn en aansluiten op de "risk appetite" van de opdrachtgever en dus bewaakt wordt in een governance proces.
De betrokken partijenBij de beveiligingseisen zijn de volgende rollen omschreven:
| 5 augustus 2022 08:31:03 | Grip op Secure Software Development/Inleiding | |||||||||||||||
SSD_INL UOB | Hoofdstuk normenkader | 3.0 | Concept | 22 juli 2022 | 20 juli 2020 | 22 juli 2022 07:44:10 | Grip op Secure Software Development/Uitleg van de opzet van de beveiligingseisen |