Applicatieontwikkeling Beleid

Exporteer naar RDF

Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Deze informatie is onderdeel van BIO Thema-uitwerking Applicatieontwikkeling.

Normenkader-aspect
ID:	AppO_B
Versie:	1.0
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	2-12-2021
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:

Meer lezen

→ BIO Thema-uitwerking Applicatieontwikkeling

→ Alle normenkaders

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR (Information Security Object Repository)

Doelstelling[bewerken]

De doelstelling van het beleidsdomein is, om vast te stellen of afdoende randvoorwaarden en condities binnen de ontwikkelorganisatie zijn gecreëerd om applicaties adequaat te kunnen ontwikkelen. In dit domein worden objecten en daaraan gerelateerde normen opgenomen die het mogelijk maken de applicaties op een veilige manier te ontwikkelen.

Risico's[bewerken]

Wanneer de juiste beleidsaspecten voor het ontwikkelen van applicaties ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van een applicatie. Dit zal een negatieve impact hebben op het bereiken van doelstellingen waarvoor de applicatie is ontworpen en ingericht. Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

Bestand:Thema Applicatieontwikkeling - Onderwerpen die binnen het Beleiddomein een rol spelen.png

Onderwerpen die binnen het Beleid domein een rol spelen

Principes uit de BIO Thema Applicatieontwikkeling binnen dit aspect[bewerken]

ID	Principe	Criterium
APO_B.01	Beleid voor (beveiligd) ontwikkelen	Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
APO_B.02	Systeem-ontwikkelmethode	Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd.
APO_B.03	Classificatie van informatie	Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
APO_B.04	Engineeringsprincipe voor beveiligde systemen	Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
APO_B.05	Business Impact Analyse (BIA)	De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid hebben op de organisatie.
APO_B.06	Privacy en bescherming persoonsgegevens applicatieontwikkeling	Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd volgens relevante wet- en regelgeving.
APO_B.07	Kwaliteitsmanagementsysteem	De doelorganisatie behoort conform een uitgestippeld ontwikkel- en onderhoudsbeleid een kwaliteitsmanagementsysteem in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.
APO_B.08	Toegangsbeveiliging op programmacode	Toegang tot de programmabroncodebibliotheken behoren te worden beperkt.
APO_B.09	Projectorganisatie	Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem-ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.

Normen uit de BIO Thema Applicatieontwikkeling binnen dit aspect[bewerken]

ID	Stelling	Norm
APO_B.01.01	De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.	De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
APO_B.01.02	De handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.	Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
APO_B.01.03	In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen: beveiliging van de ontwikkelomgeving; richtlijnen over de beveiliging in de levenscyclus van softwareontwikkeling: beveiliging in de software-ontwikkelmethodologie; beveiligde coderingsrichtlijnen voor elke gebruikte programmeertaal; beveiligingseisen in de ontwikkelfase; beveiligingscontrolepunten binnen de mijlpalen van het project; beveiliging van de versiecontrole; vereiste kennis over toepassingsbeveiliging; het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.	Overwegingen bij het beleid voor beveiligd ontwikkelen van software
APO_B.01.04	Technieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen.	Technieken voor beveiligd programmeren
APO_B.02.01	Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling).	Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
APO_B.02.02	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
APO_B.02.03	Adoptie van ontwikkelmethodologie wordt gemonitord.	Adoptie van ontwikkelmethodologie wordt gemonitord
APO_B.02.04	Standaarden en procedures worden toegepast voor: het specificeren van requirements; het ontwikkelen, bouwen en testen; de overdracht van de ontwikkelde applicatie naar de productie-omgeving; de training van softwareontwikkelaars.	Software wordt ontwikkelen conform standaarden en procedures
APO_B.02.05	De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan: de eisen uit wet- en regelgeving inclusief privacy; de contactuele eisen; het informatiebeveiligingsbeleid van de organisatie; de specifieke beveiligingseisen vanuit de business; het classificatiemodel van de organisatie.	De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
APO_B.02.06	Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan: het melden van de start van het project bij de verantwoordelijke voor de beveiligingsfunctie; het gebruik van een classificatiemodel; het toepassen van een assessment voor beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid; het creëren van een risicoregister; het registreren van belangrijke details in een bedrijfsapplicatieregister.	Het softwareontwikkeling wordt projectmatig aangepakt
APO_B.03.01	De handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen.	Dataclassificatie als uitgangspunt voor softwareontwikkeling
APO_B.03.02	De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.	Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
APO_B.03.03	Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.	Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
APO_B.03.04	In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements.	Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
APO_B.04.01	De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.	Security by Design als uitgangspunt voor softwareontwikkeling
APO_B.04.02	Voor het beveiligen van informatiesystemen zijn de volgende principes van belang: Defence in depth (beveiliging op verschillende lagen) Secure by default Default deny Fail secure Input van externe applicaties wantrouwen Secure in deployment Bruikbaarheid en beheersbaarheid	Principes voor het beveiligen van informatiesystemen
APO_B.04.03	Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld.	Beveiliging is integraal onderdeel van systeemontwikkeling
APO_B.04.04	Ontwikkelaars zijn getraind om veilige software te ontwikkelen.	Ontwikkelaars zijn getraind om veilige software te ontwikkelen
APO_B.05.01	Bij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen: de relevante stakeholders (business owners, business- en IT-specialisten); de scope van de risico-assessment; het profiel van de ‘doelomgeving’; de aanvaardbaarheid van risico’s in de doelomgeving.	Perspectieven bij de Business Impact Analyse
APO_B.05.02	De business impact analyse richt zich op verschillende scenario’s met aandacht voor: de hoeveelheid mensen die nadelig beïnvloed worden; de hoeveelheid systemen die out-of-running kan raken; een realistische analyse en een analyse van worst-case situaties.	Scenario's voor de Business Impact Analyse
APO_B.05.03	Met de business impact analyse wordt vastgesteld op welke wijze een eventuele inbreuk op de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van: Verlies van orders en contracten en klanten Verlies van tastbare assets Onvoorziene kosten Verlies van managementcontrol Concurrentie Late leveringen Verlies van productiviteit Compliance Reputatie	Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
APO_B.06.01	Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd.	GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
APO_B.06.02	Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.	Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten
APO_B.06.03	Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen.	Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
APO_B.06.04	Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak.	Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
APO_B.06.05	De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.	Risicomanagement aanpak aantoonbaar toegepast
APO_B.06.06	Conform de Algemene Verordening Gegevensbescherming (AVG) worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd.	Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
APO_B.07.01	De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.	De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
APO_B.07.02	De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek.	De doelorganisatie beschikt over QA- en KMS-methodiek
APO_B.07.03	De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.	De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
APO_B.07.04	Er zijn informatie- en communicatieprocessen ingericht.	Voor informatie- en communicatie zijn processen ingericht
APO_B.07.05	Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd.	Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
APO_B.07.06	Aan het management worden evaluatierapportages verstrekt.	Aan het management worden evaluatierapportages verstrekt
APO_B.07.07	De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem.	Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS
APO_B.08.01	Om de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen: De broncodebibliotheken worden niet in operationele systemen opgeslagen. De programmacode en de broncodebibliotheek behoren te worden beheerd conform vastgestelde procedures. Ondersteunend personeel heeft geen onbeperkte toegang tot broncodebibliotheken. Het updaten van de programmacode en samenhangende items en het verstrekken van de programmacode aan programmeurs vinden alleen plaats na ontvangst van een passend autorisatiebewijs. Programma-uitdraaien worden in een beveiligde omgeving bewaard. Van elke toegang tot broncodebibliotheken wordt een registratie bijgehouden in een auditlogbestand. Onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.	Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
APO_B.08.02	Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen.	Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
APO_B.09.01	De beveiligingsfunctionaris zorgt onder andere voor: de actualisatie van beveiligingsbeleid; een afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met onder andere de ketenpartijen; de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen; de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s; de bespreking van beveiligingsissues met ketenpartijen.	Taken van de beveiligingsfunctionaris
APO_B.09.02	De beveiligingsfunctionaris geeft onder andere inzicht in: het beheer en integratie van ontwikkel- en onderhoudsvoorschriften (procedureel en technisch); specifieke beveiligings- en architectuurvoorschriften; afhankelijkheden tussen informatiesystemen.	Inzicht gegeven door de beveiligingsfunctionaris