ISOR:BIO Thema Applicatieontwikkeling Beleid: verschil tussen versies
k (commentaarregel gemaakt en getest met <br>) |
kGeen bewerkingssamenvatting |
||
Regel 1: | Regel 1: | ||
{{# | {{#element: | ||
|Elementtype=Normenkader-aspect | |Elementtype=Normenkader-aspect | ||
|ID=AppO_B | |ID=AppO_B | ||
Regel 7: | Regel 7: | ||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Redactionele wijzigingsdatum=2019/02/01 | |Redactionele wijzigingsdatum=2019/02/01 | ||
|Beschrijving=Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). | |||
|Beschrijving= | |||
Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). | |||
Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. | Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. | ||
[[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Beleiddomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Beleid domein een rol spelen|alt=”Onderwerpen die binnen het Beleid domein een rol spelen”]]<br><br><br><br><br><br><br><br><br><br><br><br> | [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Beleiddomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Beleid domein een rol spelen|alt=”Onderwerpen die binnen het Beleid domein een rol spelen”]]<br><br><br><br><br><br><br><br><br><br><br><br><br><br> | ||
|Doelstelling=De doelstelling van het beleidsdomein is, om vast te stellen of afdoende randvoorwaarden en condities binnen de ontwikkelorganisatie zijn gecreëerd om applicaties adequaat te kunnen ontwikkelen. | |||
|Doelstelling= | |||
De doelstelling van het beleidsdomein is, om vast te stellen of afdoende randvoorwaarden en condities binnen de ontwikkelorganisatie zijn gecreëerd om applicaties adequaat te kunnen ontwikkelen. | |||
In dit domein worden objecten en daaraan gerelateerde normen opgenomen die het mogelijk maken de applicaties op een veilige manier te ontwikkelen. | In dit domein worden objecten en daaraan gerelateerde normen opgenomen die het mogelijk maken de applicaties op een veilige manier te ontwikkelen. | ||
|Risico=Wanneer de juiste beleidsaspecten voor het ontwikkelen van applicaties ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van een applicatie. Dit zal een negatieve impact hebben op het bereiken van doelstellingen waarvoor de applicatie is ontworpen en ingericht. | |||
|Risico= | |Beveiligingsaspect=Beleid | ||
Wanneer de juiste beleidsaspecten voor het ontwikkelen van applicaties ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van een applicatie. Dit zal een negatieve impact hebben op het bereiken van doelstellingen waarvoor de applicatie is ontworpen en ingericht. | |||
|Beveiligingsaspect= | |||
Beleid | |||
|Px=300 | |Px=300 | ||
|Heeft bron=BIO Thema Applicatieontwikkeling | |Heeft bron=BIO Thema Applicatieontwikkeling<!-- {{:ISOR:Applicatieontwikkeling - Voor het Beleiddomein uitgewerkte Beveiligingsobjecten}} --> | ||
<!-- {{:ISOR:Applicatieontwikkeling - Voor het Beleiddomein uitgewerkte Beveiligingsobjecten}} --> | |||
}} | }} |
Versie van 18 jan 2021 12:07
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Applicatieontwikkeling.
Meer lezen |
Doelstelling[bewerken]
De doelstelling van het beleidsdomein is, om vast te stellen of afdoende randvoorwaarden en condities binnen de ontwikkelorganisatie zijn gecreëerd om applicaties adequaat te kunnen ontwikkelen. In dit domein worden objecten en daaraan gerelateerde normen opgenomen die het mogelijk maken de applicaties op een veilige manier te ontwikkelen.
Risico's[bewerken]
Wanneer de juiste beleidsaspecten voor het ontwikkelen van applicaties ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van een applicatie. Dit zal een negatieve impact hebben op het bereiken van doelstellingen waarvoor de applicatie is ontworpen en ingericht. Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).
Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.
Principes uit de BIO Thema Applicatieontwikkeling binnen dit aspect[bewerken]
ID | Principe | Criterium |
---|---|---|
APO_B.01 | Beleid voor (beveiligd) ontwikkelen | Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. |
APO_B.02 | Systeem-ontwikkelmethode | Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd. |
APO_B.03 | Classificatie van informatie | Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. |
APO_B.04 | Engineeringsprincipe voor beveiligde systemen | Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. |
APO_B.05 | Business Impact Analyse (BIA) | De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid hebben op de organisatie. |
APO_B.06 | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd volgens relevante wet- en regelgeving. |
APO_B.07 | Kwaliteitsmanagementsysteem | De doelorganisatie behoort conform een uitgestippeld ontwikkel- en onderhoudsbeleid een kwaliteitsmanagementsysteem in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst. |
APO_B.08 | Toegangsbeveiliging op programmacode | Toegang tot de programmabroncodebibliotheken behoren te worden beperkt. |
APO_B.09 | Projectorganisatie | Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem-ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap. |
Normen uit de BIO Thema Applicatieontwikkeling binnen dit aspect[bewerken]
ID | Stelling | Norm |
---|---|---|
APO_B.01.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling |
APO_B.01.02 | De handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling |
APO_B.01.03 | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Overwegingen bij het beleid voor beveiligd ontwikkelen van software |
APO_B.01.04 | Technieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen. | Technieken voor beveiligd programmeren |
APO_B.02.01 | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling). | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie |
APO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen |
APO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord. | Adoptie van ontwikkelmethodologie wordt gemonitord |
APO_B.02.04 | Standaarden en procedures worden toegepast voor:
| Software wordt ontwikkelen conform standaarden en procedures |
APO_B.02.05 | De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
| De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten |
APO_B.02.06 | Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
| Het softwareontwikkeling wordt projectmatig aangepakt |
APO_B.03.01 | De handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen. | Dataclassificatie als uitgangspunt voor softwareontwikkeling |
APO_B.03.02 | De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd |
APO_B.03.03 | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema |
APO_B.03.04 | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements. | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements |
APO_B.04.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | Security by Design als uitgangspunt voor softwareontwikkeling |
APO_B.04.02 | Voor het beveiligen van informatiesystemen zijn de volgende principes van belang:
| Principes voor het beveiligen van informatiesystemen |
APO_B.04.03 | Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld. | Beveiliging is integraal onderdeel van systeemontwikkeling |
APO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
APO_B.05.01 | Bij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen:
| Perspectieven bij de Business Impact Analyse |
APO_B.05.02 | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| Scenario's voor de Business Impact Analyse |
APO_B.05.03 | Met de business impact analyse wordt vastgesteld op welke wijze een eventuele inbreuk op de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie |
APO_B.06.01 | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd. | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen |
APO_B.06.02 | Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten |
APO_B.06.03 | Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen. | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen |
APO_B.06.04 | Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak. | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak |
APO_B.06.05 | De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Risicomanagement aanpak aantoonbaar toegepast |
APO_B.06.06 | Conform de Algemene Verordening Gegevensbescherming (AVG) worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd. | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd |
APO_B.07.01 | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid |
APO_B.07.02 | De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek. | De doelorganisatie beschikt over QA- en KMS-methodiek |
APO_B.07.03 | De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd |
APO_B.07.04 | Er zijn informatie- en communicatieprocessen ingericht. | Voor informatie- en communicatie zijn processen ingericht |
APO_B.07.05 | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd. | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd |
APO_B.07.06 | Aan het management worden evaluatierapportages verstrekt. | Aan het management worden evaluatierapportages verstrekt |
APO_B.07.07 | De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem. | Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS |
APO_B.08.01 | Om de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen:
| Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen |
APO_B.08.02 | Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen. | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd |
APO_B.09.01 | De beveiligingsfunctionaris zorgt onder andere voor:
| Taken van de beveiligingsfunctionaris |
APO_B.09.02 | De beveiligingsfunctionaris geeft onder andere inzicht in:
| Inzicht gegeven door de beveiligingsfunctionaris |