Applicatieontwikkeling Uitvoering

Uit NORA Online
ISOR:BIO Thema Applicatieontwikkeling Uitvoering /
Versie door Jbreeman (Overleg | bijdragen) op 3 jun 2019 om 09:34 (beschrijving en risico anagepast)

Ga naar: navigatie, zoeken
Deze informatie is onderdeel van [[{{{Heeft bron}}}]].

Meer lezen

Bron niet opgegeven
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Uitvoering domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

”Onderwerpen die binnen het Uitvoeringsdomein een rol spelen”
Onderwerpen die binnen het Uitvoeringsdomein een rol spelen


Nr Objecten Referentie IFGS
U.01 ;Procedures voor wijzigingsbeheer m.b.t. applicaties en systemen ISO27002: 14.2.2 I
U.02 Beperkingen voor de installatie van software (richtlijnen) ISO27002: 12.6.2 I
U.03 Richtlijnen voor programmacode (best practices) CIP Domeingroep BIO I
U.04 Analyse en specificatie van informatiesystemen Cobit F
U.05 Analyse en specificatie van informatiebeveiligingseisen ISO27002:14.1.1 F
U.06 Applicatie ontwerp SoGP F
U.07 Applicatiefunctionaliteiten (invoer, verwerking, uitvoer) ISO27002:12.2.1, 12.2.2, 1.2.2.4, BIR 1.0 F
U.08  Applicatiebouw SoGP F
U.09 Testen van systeembeveiliging ISO27002:14.2.8 F
U.10 Systeemacceptatie tests ISO27002:14.2.9 F
U.11 Beschermen van testgegevens ISO27002:14.3.1 F
U.12 Beveiligde Ontwikkel- (en Test-)omgeving ISO27002: 14.2.6 G
U.13 Applicatiekoppelingen ISO25010, NIST CA, CIP Domeingroep BIO G
U.14 Logging en monitoring CIP Domeingroep BIO G
U.15 Applicatie/software architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. ISO25010, CIP Domeingroep BIO S
U.16 Tooling ontwikkelmethode ISO25010, CIP Domeingroep BIO S
Applicatieontwikkeling, Voor het Uitvoeringdomein uitgewerkte Beveiligingsobjecten

Risico

Wanneer adequate normen voor applicatieontwikkeling en -onderhoud ontbreken, bestaat het risico dat deze activiteiten plaatsvinden op basis van onjuiste gronden of dat het fundament waarop deze activiteiten steunen niet aan het juiste beveiligingsniveau voldoet. Zo kan door het ontbreken van richtlijnen en procedures voor activiteiten binnen de verschillende omgevingen software in de productieomgeving geïnstalleerd worden die fouten bevat en waardoor productiegegevens gecorrumpeerd kunnen worden.

Doelstelling

De doelstelling van het uitvoeringsdomein voor applicatieontwikkeling is het waarborgen dat de ontwikkel- en onderhoudsactiviteiten plaatsvinden overeenkomstig specifieke beleidsuitgangspunten en dat de werking daarvan voldoet aan de eisen die door de klant (doelorganisatie) zijn gesteld. Met randvoorwaarden in de vorm van beleid geeft de organisatie kaders aan waarbinnen de ontwikkel- en onderhoudsactiviteiten moeten plaatsvinden.

Principes uit de {{{Heeft bron}}} binnen dit aspect

IDprincipeCriterium
AppO_U.01Procedures voor wijzigingsbeheer m.b.t. applicatiesWijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.
AppO_U.02Beperkingen voor de installatie van software(richtlijnen)Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.
AppO_U.03Richtlijnen voor programmacode (best practices)Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices.
AppO_U.04Analyse en specificatie van informatiesystemenDe functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.
AppO_U.05Analyse en specificatie van informatiebeveiligingseisenDe beveiligingseisen die verband houden met informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen.
AppO_U.06Applicatie ontwerpHet applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: Business vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging.
AppO_U.07Applicatie functionaliteitenInformatiesystemen behoren zo te worden ontworpen, dat de invoer-, verwerking- en outputfuncties van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. om het businessproces optimaal te kunnen ondersteunen.
AppO_U.08ApplicatiebouwDe bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van (industrie) good practice en door ontwikkelaars die beschikken over de juiste skills/tools en de applicaties behoren te worden gereviewd.
AppO_U.09Testen van systeembeveiligingTijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest.
AppO_U.10Systeem acceptatietestsVoor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.
AppO_U.11Beschermen van testgegevensTestgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.
AppO_U.12Beveiligde ontwikkel- (en test) omgevingOrganisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.
AppO_U.13ApplicatiekoppelingenDe koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen waarborgen.
AppO_U.15Applicatie architectuurDe functionele- en beveiligingseisen behoren in een applicatie-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., conform architectuurvoorschriften, in samenhang te zijn vastgelegd.
AppO_U.16Tooling ontwikkelmethodeDe ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus.
Cloud_U.01Standaarden voor clouddienstenDe CSP past aantoonbaar relevante nationale standaarden en internationale standaarden toe voor de opzet en exploitatie van de diensten en de interactie met de CSC.
Cloud_U.02Risico-assessmentDe CSP behoort een risico-assessment uit te voeren, bestaande uit risico-analyse en risico-evaluatie en op basis van de criteria en de doelstelling met betrekking tot clouddiensten van de CSP.
Cloud_U.03BedrijfscontinuïteitsservicesInformatieBetekenisvolle gegevens. verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan continuïteitseisen te voldoen.
Cloud_U.04Herstelfunctie voor data en clouddienstenDe herstelfunctie van data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden getest.
Cloud_U.05Data-protectieData (op transport, in verwerking en in rust) met classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving.
Cloud_U.06Dataretentie en vernietiging gegevensGearchiveerde data behoort gedurende de overeengekomen bewaartermijn technologie-onafhankelijk, raadpleegbaar, onveranderbaar en integer te worden opgeslagen en op aanwijzing van de CSC/data eigenaar te kunnen worden vernietigd.
Cloud_U.07Scheiding van dataCSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam geïsoleerd te zijn van beheerfuncties en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft.
Cloud_U.08Scheiding van dienstverleningDe cloud-infrastructuur is zodanig ingericht, dat de dienstverlening aan gebruikers van informatiediensten zijn gescheiden.
Cloud_U.09Malware-protectieTer bescherming tegen malware behoren beheersmaatregelen te worden geïmplementeerd voor detectie, preventie en herstel in combinatie met een passend bewustzijn van de gebruikers.
Cloud_U.10Toegang tot IT-diensten en dataGebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn.
Cloud_U.11Crypto-servicesGevoelige data van CSC’s behoort conform het overeengekomen beleid inzake cryptografische maatregelen, tijdens transport via netwerken en bij opslag bij CSP te zijn versleuteld.
Cloud_U.12KoppelvlakkenDe onderlinge netwerkconnecties (koppelvlakken) in de keten van CSC naar CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken.
Cloud_U.13Service-orkestratieService-orkestratie biedt coördinatie, aggregatie en samenstelling van de service-componenten van de cloudservice die aan de CSC wordt geleverd.
Cloud_U.14Interoperabiliteit en portabiliteitCloudservices zijn bruikbaar (interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving) op verschillende IT-platforms en kunnen op basis van standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (portabiliteit) naar andere CSP’s.
Cloud_U.15Logging en monitoringLogbestanden waarin gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. gebeurtenissen worden geregistreerd, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
Cloud_U.16Clouddiensten-architectuurDe clouddiensten-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert de samenhang en beveiliging van de services en de inter-connectie tussen CSC en CSP en biedt transparantieInzicht in de werkwijze die de overheid hanteert. en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.
Cloud_U.17Multi-tenant architectuurBij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust versleuteld en gescheiden verwerkt op gehardende (virtuele) machines.
CommVZ_U.01Richtlijnen netwerkbeveiligingOrganisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor ontwerp, implementatie en beheer (voorbeeld: ISO 27033 deel 2).
CommVZ_U.02Beveiligde inlogprocedureIndien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie) systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.
CommVZ_U.03Netwerk beveiligingsbeheerNetwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. 
CommVZ_U.04Vertrouwelijkheids- of geheimhoudingsovereenkomstEisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.
CommVZ_U.05Beveiliging netwerkdienstenBeveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
CommVZ_U.06Zonering en filteringGroepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen).
CommVZ_U.07Elektronische berichtenInformatieBetekenisvolle gegevens. die is opgenomen in elektronische berichten, behoort passend te zijn beschermd.
CommVZ_U.08Toepassingen via openbare netwerkenInformatieBetekenisvolle gegevens. die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.
CommVZ_U.09Gateway/FirewallDe filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten.
CommVZ_U.10Virtual Private Networks (VPN)Een VPN behoort een strikt gescheiden end-to end connectie te geven, waarbij de getransporteerd informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.
CommVZ_U.11Cryptografische ServicesTer bescherming van de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.
CommVZ_U.12Wireless AccessDraadloos verkeer behoort te worden beveiligd met authenticatie van devices, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gebruikers en versleuteling van de communicatie.
CommVZ_U.13NetwerkconnectiesAlle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.
CommVZ_U.14Netwerkauthenticatie'Authenticatie van netwerknodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (Sniffing) te voorkomen.
CommVZ_U.15Netwerk beheeractiviteitenNetwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.
CommVZ_U.16Vastleggen en monitoring van netwerkgebeurtenissen (events)Informatiebeveiligingsgebeurtenissen in netwerken, behoren geregistreerd en bewaard en 'beoordeeld' te worden (op de ernst van de risico’s).
CommVZ_U.17Netwerk beveiligingsarchitectuurBeveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, leidende principes en de geldende normen en standaarden.
Huisv_U.01Richtlijnen gebieden en ruimtenVoor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast.
NB: Omdat de criteria over 'richtlijnen' gaan, is het woord ‘procedures’ uit de ISO norm vervangen door ‘richtlijnen’.
Huisv_U.02Bedrijfsmiddelen inventarisBedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
NB: De control uit de BIO is afwijkend van de ISO 27001.
Huisv_U.04Beveiligingsfaciliteiten ruimtenVoor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en te zijn toegepast.
Huisv_U.05NutsvoorzieningenApparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
Huisv_U.06Apparatuur positioneringApparatuur behoort zodanig te zijn gepositioneerd en beschermd, dat risico's van bedreigingen en gevaren van buitenaf en ook de kans op onbevoegde toegang worden verkleind.
NB: Oorspronkelijk werd 'geplaatst' toegepast, dit is gewijzigd in 'gepositioneerd'.
Huisv_U.07Onderhoud ApparatuurApparatuur behoort op een correcte wijze te worden onderhouden.
Huisv_U.08Apparatuur verwijderingAlle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09Bedrijfsmiddelen verwijderingInformatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.
Huisv_U.10Laad en los locatieDe toegangspunten, zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk te worden afgeschermd van IT-voorzieningen.
Huisv_U.11BekabelingDe voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten behoren te zijn beschermd tegen interceptie of beschadiging.
Huisv_U.12Huisvesting-IV architectuurVoor het implementeren van en onderhouden van Huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn.
PRIV_U.01Doelbinding gegevensverwerkingDe verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
  • De doeleinden, en:
  • De rechtvaardigingsgronden voor:
  1. De verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
  2. De geautomatiseerde besluitvorming;
  3. De bijzondere categorieën persoonsgegevens;
  4. De persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
  5. Het nationaal identificerend nummer;
  6. De persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.
PRIV_U.02Register van verwerkingsactiviteitenDe verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens.
PRIV_U.03KwaliteitsmanagementDe verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling geïnformeerd.
PRIV_U.04Beveiligen van de verwerking van persoonsgegevensDe verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32.
PRIV_U.05Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensDe verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG Art. 14.
PRIV_U.06Bewaren van persoonsgegevensDoor het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden.
PRIV_U.07Doorgifte persoonsgegevensBij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

  • Is er een vertegenwoordiger, en:
  • Is geen sprake van uitzonderingsgronden, en:
  • Geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
  • Zijn er passende waarborgenAVG Art. 44, of:
  • Geldt een afwijking voor een specifieke situatie.
SERV_U.01BedieningsproceduresBedieningsprocedures behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben.
SERV_U.02Standaarden voor configuratie van serversHet serverplatform is geconfigureerd in overeenstemming met gedocumenteerde standaarden.
SERV_U.03MalwareprotectieTer bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.
SERV_U.04Beheer van serverkwetsbaarhedenInformatieBetekenisvolle gegevens. over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.
SERV_U.05PatchmanagementPatchmanagement is procesmatig en procedureel opgezet wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.
SERV_U.06Beheer op afstandRichtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.
SERV_U.07Onderhoud van serversServers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen.
SERV_U.08Veilig verwijderen of hergebruiken van serverapparatuurAlle onderdelen van servers met opslagmedia behoren te worden geverifieerd, om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
SERV_U.09Hardenen van serversVoor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld.
SERV_U.10ServerconfiguratieServerplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.
SERV_U.11Beveiliging Virtueel serverplatformVirtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisor en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.
SERV_U.12Beperking van software-installatieVoor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.
SERV_U.13KloksynchronisatieDe klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn gedocumenteerd en gesynchroniseerd op één referentietijdbron.
SERV_U.14OntwerpdocumentatieHet ontwerp van een serverplatform behoort te zijn gedocumenteerd.
TVZ_U.01RegistratieprocedureEen formele registratie- en afmeldprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.
TVZ_U.02ToegangsverleningsprocedureEen formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle type gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
TVZ_U.03InlogprocedureAls het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerst met behulp van een beveiligde inlogprocedure.
TVZ_U.04AutorisatieprocesEen formeel autorisatieproces dient geïmplementeerd te zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.
TVZ_U.05WachtwoordbeheerSystemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen.
TVZ_U.06Speciale toegangsrechtenbeheerHet toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.
TVZ_U.07FunctiescheidingConflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigingen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
TVZ_U.08Geheime authenticatie-informatieHet toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.
TVZ_U.09AutorisatieToegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen behoren te worden beperkt in overeenstemming met het toegangsbeveiligingsbeleid.
TVZ_U.10AutorisatievoorzieningenTer ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen, zoals: een personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten, beschikbaar zijn.
TVZ_U.11Fysieke toegangsbeveiligingBeveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.

Normen uit de {{{Heeft bron}}} binnen dit aspect

IDStellingNorm
AppO_U.01.01Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD.Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks
AppO_U.01.02Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren.Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren
AppO_U.01.03Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces
AppO_U.01.04Enkele elementen van de procedures voor wijzigingsbeheer zijn:
  1. alle wijzigingsverzoeken (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  2. het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  3. wijzigingen worden doorgevoerd door bevoegde medewerkers.
  4. van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  5. uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  6. aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
Elementen van de procedures voor wijzigingsbeheer
AppO_U.02.01De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren.Beleid ten aanzien van het type software dat mag worden geïnstalleerd
AppO_U.02.02Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'.Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'
AppO_U.02.03De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars.De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars
AppO_U.03.01De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
  • gebruikte tools;
  • gebruikte licenties;
  • versiebeheer;
  • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.
De programmacode voor functionele specificaties is reproduceerbaar
AppO_U.03.02(Programma)code wordt aantoonbaar veilig gecreëerd.programmacode wordt aantoonbaar veilig gecreëerd
AppO_U.03.03(Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van code bugs;
  • het voorkomen van herintroductie van code bugs;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten);
  • het adequaat documenteren van software-interface, koppelingen en API’s.
  • programmacode is effectief, veranderbaar en testbaar
    AppO_U.03.04Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt.Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt
    AppO_U.03.05Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010.Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire
    AppO_U.03.06Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem.Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten
    AppO_U.03.07Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt.Gebruik van programmacode uit externe programmabibliotheken
    AppO_U.04.01De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO).Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd
    AppO_U.04.02Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden.Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden
    AppO_U.04.03Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris..Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd
    AppO_U.04.04Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode).Alle vereisten worden gevalideerd door peer review of prototyping
    AppO_U.04.05Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd.Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp
    AppO_U.05.01Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen.Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen
    AppO_U.05.02De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen.De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005
    AppO_U.05.03Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
  • beleidsregels, wet en regelgeving;
  • context- en kwetsbaarheidanalyse van de te ondersteunen bedrijfsprocessen;
  • afspraken met en afhankelijkheden van ketenpartijen.
  • Informatiebeveiligingseisen
    AppO_U.05.04Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
  • authenticatie eisen van gebruikers;
  • toegangsbeveiligingseisen;
  • eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen;
  • eisen afgeleid uit bedrijfsprocessen;
  • eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.
  • Overwogen informatiebeveiligingseisen
    AppO_U.06.01Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
  • gebruikerseisen, beveiligingseisen en kwaliteitseisen;
  • business vereisten, (o.a. nut, noodzaak en kosten);
  • eisen welke voortvloeien uit risico assessments, dreigingsanalyse en prioritering ervan, en technische beveiligingsreviews (en de prioritering daarvan);
  • eisen welke voortvloeien uit BIA en PIA (GEB) analyses.
  • Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie
    AppO_U.06.02Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
  • mogelijke invoerbronnen voor data en connecties met andere applicaties(componenten);
  • connecties tussen modules binnen applicatie en connecties met andere applicaties;
  • gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage;
  • uitvoer van informatie naar andere applicaties en beveiliging hiervan;
  • mogelijke transmissie van data tussen applicaties.
  • Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie
    AppO_U.06.03Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit.Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur
    AppO_U.07.01Bereikcontroles worden toegepast en gegevens worden gevalideerd.Bereikcontroles worden toegepast en gegevens worden gevalideerd
    AppO_U.07.02Geprogrammeerde controles worden ondersteund.Geprogrammeerde controles worden ondersteund
    AppO_U.07.03Het uitvoeren van onopzettelijke mutaties wordt tegengegaan.Het uitvoeren van onopzettelijke mutaties wordt tegengegaan
    AppO_U.07.04Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar.Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar
    AppO_U.07.05Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail).Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar
    AppO_U.07.06Opgeleverde/over te dragen gegevens worden gevalideerd.Opgeleverde en over te dragen gegevens worden gevalideerd
    AppO_U.07.07Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevens) en op de verwerking en output van gegevens (versterkte gegevens) wordt uitgevoerd.Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens
    AppO_U.07.08Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd.Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd
    AppO_U.07.09Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid.Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd
    AppO_U.08.01Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
  • dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd;
  • dat mechanismen worden gebruikt op basis waarvan zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).
  • Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld
    AppO_U.08.02Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages.Veilige methodes ter voorkoming van veranderingen in basis code of in software packages
    AppO_U.08.03Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering).Voor het creëren van programma code wordt gebruik gemaakt van good practices
    AppO_U.08.04Het gebruik van onveilig programmatechnieken is niet toegestaan.Geen gebruik van onveilig programmatechnieken
    AppO_U.08.05Programmacode is beschermd tegen ongeautoriseerde wijzigingen.(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen
    AppO_U.08.06Activiteiten van applicatiebouw worden gereviewd.Activiteiten van applicatiebouw worden gereviewd
    AppO_U.08.07De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren.De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren
    AppO_U.09.01Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules).Functionarissen testen functionele requirements
    AppO_U.09.02De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur.In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek
    AppO_U.10.01Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd.Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt
    AppO_U.10.02Van de resultaten van de testen wordt een verslag gemaakt.Van de resultaten van de testen wordt een verslag gemaakt
    AppO_U.10.03Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase.Testresultaten worden formeel geëvalueerd en beoordeeld
    AppO_U.10.04(Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving.Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving
    AppO_U.10.05Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd.Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang
    AppO_U.10.06Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens.Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens
    AppO_U.10.07Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
  • het testen van de functionele requirements.
  • het testen van de business rules voor de betrokken bedrijfsprocessen.
  • de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.
  • Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken
    AppO_U.11.01De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
  • Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen
    AppO_U.12.01Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
    AppO_U.12.02De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces.Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen
    AppO_U.12.03De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen.De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen
    AppO_U.12.04Voor remote werkzaamheden is een werkwijze vastgelegd.Voor remote werkzaamheden is een werkwijze vastgelegd
    AppO_U.12.05Ontwikkelaars hebben geen toegang tot de Productie-omgeving.Ontwikkelaars hebben geen toegang tot productieomgeving
    AppO_U.12.06T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures.Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen
    AppO_U.12.07De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats.De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats
    AppO_U.12.08De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats.De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats
    AppO_U.12.09De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.De overdracht naar de Productieomgeving vindt gecontroleerd plaats
    AppO_U.13.01Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen.Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen
    AppO_U.13.02Van het type koppelingen is een overzicht aanwezig.Van het type koppelingen is een overzicht aanwezig
    AppO_U.13.03Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten.Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten
    AppO_U.13.04De uitgevoerde koppelingen worden geregistreerd.De uitgevoerde koppelingen worden geregistreerd
    AppO_U.14.01Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd.Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden
    AppO_U.14.02InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd.Informatie ten aanzien van autorisatie(s) wordt vastgelegd
    AppO_U.14.03De loggegevens zijn beveiligd.De loggegevens zijn beveiligd
    AppO_U.14.04De locatie van de vastlegging van de loggegevens is vastgesteld.De locatie van de vastlegging van de loggegevens is vastgesteld
    AppO_U.14.05De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden.De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden
    AppO_U.14.06De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd.De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd
    AppO_U.15.01De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld
    AppO_U.15.02Het architectuurdocument wordt actief onderhouden.Het architectuur document wordt actief onderhouden
    AppO_U.15.03De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast.De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast
    AppO_U.15.04Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang.Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten
    AppO_U.15.05Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten).Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar
    AppO_U.15.06De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevens is inzichtelijk.De relatie tussen de persoonsgegevens is inzichtelijk
    AppO_U.16.01Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages.Het tool ondersteunt alle fasen van het ontwikkelproces
    AppO_U.16.02Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden.Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden
    AppO_U.16.03Het tool beschikt over faciliteiten voor versie- en releasebeheer.Het tool beschikt over faciliteiten voor versie- en releasebeheer
    AppO_U.16.04Het tool beschikt over faciliteiten voor:
  • het registreren van eisen en wensen;
  • het afhandelen van fouten;
  • het beveiligen van registraties (programmacode);
  • het continu integreren van componenten;
  • het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.
  • Faciliteiten van het tool
    AppO_U.16.05Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen.Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen
    Cloud_U.01.01De CSP maakt haar dienstverlening transparant, zodat de CSC aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen.Maken transparante dienstverlening
    Cloud_U.01.02De CSP treft beveiligingsmaatregelen op basis van internationale standaarden, zoals:
  • NEN-ISO/IEC 27017: Code of practice for cloud services;
  • ITU-T FG Cloud TR 1.0 2012; Part 5 Cloud Security;
  • NEN-ISO/IEC 17788: Overview and vocabulary;
  • NEN-ISO/IEC 17789: Reference architecture;
  • NEN-ISO/IEC 27018 Personally indentifiable information (PII) in public clouds;
  • NEN-ISO/IEC 19941: Interoperability and portability;
  • NEN-ISO/IEC 19944: Cloud services and devices;
  • NIST Definition of Cloud Computing, SP800-145.pdf, September 2011;
  • BSI.
  • Treffen beveiligingsmaatregelen op basis van internationale standaarden
    Cloud_U.02.01De risico’s ten aanzien van de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven op basis van risico-evaluatiecriteria en -doelstellingen van de CSP.Op waarde schatten en beschrijven van risico’s rond middelen vallend binnen clouddienstenscope
    Cloud_U.02.02De geïdentificeerde risico’s worden geëvalueerd op basis van risico-acceptatiecriteria.Evalueren risico’s op basis van risico-acceptatiecriteria
    Cloud_U.03.01De overeengekomen continuïteit wordt gewaarborgd door middel van voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties.Waarborgen continuïteit door voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties
    Cloud_U.03.02De met de CSC-organisatie overeengekomen continuïteitseisen voor cloudservices wordt gewaarborgd door middel van specifieke in de systeemarchitectuur beschreven maatregelen.Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen
    Cloud_U.04.01De data en clouddiensten worden in geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de CSC beschikbaar gesteld.Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen
    Cloud_U.04.02Het continue proces van herstelbaar beveiligen van data wordt gemonitord.Monitoren proces van herstelbaar beveiligen van data
    Cloud_U.04.03Het toereikend functioneren van de herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de CSC.Testen functioneren van herstelfuncties en resultaten daarvan delen
    Cloud_U.05.01Gegevenstransport wordt ‘state of the art’ beveiligd met cryptografie (conform forum standaardisatie) en waarbij het sleutelbeheer zo mogelijk door de CSC zelf wordt uitgevoerd.‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer
    Cloud_U.05.02De binnen de clouddienst opgeslagen gegevens worden ‘state of the art’ beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de CSC zelf wordt uitgevoerd.‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie
    Cloud_U.06.01De gegarandeerde en met de CSP overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet.Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet
    Cloud_U.06.02Gegevens zijn onafhankelijk van de door de CSP toegepaste technologie raadpleegbaar gedurende de gehele bewaartermijn.Raadplegen gegevens, onafhankelijk van technologie gedurende bewaartermijn
    Cloud_U.06.03Gegevens worden zo mogelijk gearchiveerd met behulp van WORM (Write Once Read Many) technologie, waarmee de integriteit van de data wordt gegarandeerd.Archiveren gegevens met behulp van WORM-technologie
    Cloud_U.06.04Voorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de CSC, inclusief de back-up van gegevens en metadata, veilig gewist of vernietigd.Wissen of vernietigen CSC-data voorafgaand aan voor onderhoudsdoeleinden wijzigen van opslagmedia
    Cloud_U.06.05Bij het beëindigen van de contractrelatie wordt de data van de CSC, inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de CSP kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen.Wissen CSC-data bij beëindigen van contractrelatie
    Cloud_U.07.01Permanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenant architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de CSC afneemt.Permanente isolatie van gegevens binnen een multi-tenant architectuur
    Cloud_U.07.02Isolatie van de CSC-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s.Garanderen isolatie van CSC-gegevens door logische scheiding van andere CSC’s-data
    Cloud_U.07.03De bevoegdheden voor het inzien of wijzigen van CSC-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd.Verlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik
    Cloud_U.08.01De CSP realiseert de volgende scheiding van clouddienstverlening:
  • onderlinge scheiding van de CSC’s in een multi-tenant omgeving;
  • scheiding tussen de afgenomen cloud-service en de interne informatievoorziening van de CSP;
  • de CSP maakt het mogelijk om de beoogde scheiding van clouddiensten te verifiëren.
  • Realiseren diverse scheidingen van clouddienstverlening
    Cloud_U.09.01De CSP specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malware-protectie) op welke positie in de informatieketen van CSC en CSP moeten worden genomen.Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen
    Cloud_U.09.02De CSP heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware.Uitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter
    Cloud_U.09.03De malware-bescherming wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
    1. alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, nog vóór het gebruik;
    2. alle bijlagen en downloads nog vóór het gebruik;
    3. virtual machines;
    4. netwerkverkeer.
    Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie
    Cloud_U.10.01De CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is.
    • technische maatregelen voorkomen dat gebruikers en beheerders, toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan;
    • gebruikers met nood-toegangsrechten (in geval van calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) is gedocumenteerd, door het management geaccordeerd en wordt uitgevoerd op basis van functiescheiding. Nood-toegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
    Bieden toegang tot bevoegde services, IT-diensten en data
    Cloud_U.10.02Onder verantwoordelijkheid van de CSP wordt aan beheerders:
  • toegang tot data wordt verleend op basis van het ‘Least Privilege’ principe;
  • toegang tot data wordt verleend op basis van ‘need-to-know’ principe;
  • toegang verleend op basis van multi-factor authenticatie;
  • toegang verleend tot data en applicatieve functies via technische maatregelen.
  • Verlenen toegang aan beheerders
    Cloud_U.10.03Alleen gebruikers met geauthentiseerde apparatuur krijgen toegang tot IT-diensten en data.Krijgen toegang tot IT-diensten en data
    Cloud_U.10.04Onder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.Toekennen bevoegdheden voor gebruikers via formele procedures
    Cloud_U.10.05Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechten concept.Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren
    Cloud_U.11.01In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
    1. wanneer cryptografie ingezet wordt;
    2. wie verantwoordelijk is voor de implementatie van cryptologie ;
    3. wie verantwoordelijk is voor het sleutelbeheer;
    4. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
    5. de wijze waarop het beschermingsniveau vastgesteld wordt;
    6. het onderling vaststellen van het beleid voor communicatie tussen organisaties.
    Uitwerken cryptografiebeleid
    Cloud_U.11.02In geval van PKI-overheidscertificaten worden de PKI-overheidseisen gehanteerd ten aanzien van het sleutelbeheer. In overige situaties worden de ISO 11770 standaard voor het beheer van cryptografische sleutels gehanteerd.Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer
    Cloud_U.11.03Gevoelige data (op transport en in rust) is altijd versleuteld, waarbij private-key’s in beheer zijn bij de CSC. Het gebruik van een private-sleutel door de CSP is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie.Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure
    Cloud_U.12.01In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (zoals DDoS-aanvallen en Distributed Denial of Service attacks) te signaleren en hierop te reageren.Treffen maatregelen in koppelpunten met externe of onvertrouwde zones
    Cloud_U.12.02Fysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd, dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt).Ontwerpen en configureren netwerkcomponenten om netwerkconnecties te beperken en te monitoren
    Cloud_U.12.03Beheeractiviteiten van de CSP zijn strikt gescheiden van de data CSC.Scheiden CSP-beheeractiviteiten en CSC-data
    Cloud_U.12.04Dataverkeer voor CSC’s zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van de verzonden gegevens te garanderen.Scheiden dataverkeer in gezamenlijk gebruikte netwerkomgevingen
    Cloud_U.12.05Het dataverkeer dat de CSP binnenkomt of uitgaat wordt, in relatie tot de aard van de te beschermen gegevens/informatiesystemen, bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen.Bewaken en analyseren dataverkeer op kwaadaardige elementen
    Cloud_U.12.06De CSP heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een alles omvattend SIEM, zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen.Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM
    Cloud_U.12.07Ontdekte nieuwe dreigingen worden, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT en bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).Delen nieuwe dreigingen binnen overheid
    Cloud_U.13.01Cloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende CSP’s).Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie
    Cloud_U.13.02De functionele samenhang van de service-componenten zijn beschreven.Beschrijven functionele samenhang van service-componenten
    Cloud_U.13.03Voor orkestratie van cloudservices is de volgende informatie benodigd:
    • de CSC-identiteit;
    • de bedrijfsrelatie van de CSC binnen het cloudnetwerk;
    • het IP-adres van de CSC.
    Zorgen voor benodigde informatie voor orkestratie van cloudservices
    Cloud_U.14.01Om de interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving van cloudservices te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces.Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen
    Cloud_U.14.02Om de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data en waarmee de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen wordt gegarandeerd.Gebruiken beveiligde netwerkprotocollen voor import en export van data
    Cloud_U.15.01Het overtreden van de beleidsregels wordt door CSP en CSC vastgelegd.Vastleggen beleidsregel-overtreding
    Cloud_U.15.02De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.Hebben SIEM- en/of SOC-regels over te rapporteren incident
    Cloud_U.15.03De CSP hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid.Hanteren en beoordelen lijst van alle kritische activa
    Cloud_U.15.04Aan logboeken en bewaking worden strenge eisen gesteld; voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd.Stellen eisen aan logboeken en bewaking
    Cloud_U.15.05De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de CSP.Beperken toegang tot en beheer van loggings- en monitoringsfunctionaliteit tot CSP-medewerkers
    Cloud_U.15.06Wijzigingen in de logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers (logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken).Controleren wijzigingen in logging en monitoring
    Cloud_U.16.01De architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert ten minste het volgende:
  • IT-services in relatie met functionaliteit voor bedrijfsprocessen;
  • het vertrouwensniveau van de beveiliging van de clouddiensten;
  • beschrijving van de infrastructuur en de netwerk- en systeemcomponenten die worden gebruikt voor de ontwikkeling en de werking van de cloudservice(s);
  • rollen en verantwoordelijkheden van de CSP en de CSC, inclusief de plichten om samen te werken en de bijbehorende controles bij de CSC;
  • IT-functies die door de CSP zijn toegewezen of uitbesteed aan onderaannemers.
  • Specificeren minimale zaken voor architectuur
    Cloud_U.17.01CSC-data op transport en in rust is versleuteld.Versleutelen CSC-data op transport en in rust
    Cloud_U.17.02Virtuele machine-platforms voor CSC’s met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht.Gescheiden inrichten virtuele machine-platforms voor CSC’s
    Cloud_U.17.03Virtuele machine-platforms zijn gehardend.Hardenen virtuele machine-platforms
    CommVZ_U.01.1De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
    1. identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de middelen (assets);
    2. inventarisatie van de functionele eisen;
    3. beoordeling van de functionele eisen in de context van het beoogd gebruik;
    4. evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
    5. evaluatie van bestaande ontwerpen en implementaties.
    Stappen ter voorbereiding van veilige netwerkontwerpen
    CommVZ_U.01.2Leidende ontwerpprincipes, zoals "defence in depth", worden gehanteerd of anders geformuleerd: "inbraak betekent geen doorbraak".Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak”
    CommVZ_U.01.3Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, backup van configuratiegegevens en snel beschikbare reservedelen.Netwerkbeveiliging is gebaseerd op ITU-T X.80x
    CommVZ_U.01.4Netwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C).Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten
    CommVZ_U.01.5Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten.De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat
    CommVZ_U.01.6De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033, hoofdstuk 8.Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden
    CommVZ_U.02.1Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een registratie blijkt hoe de rechten zijn toegekend.Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt
    CommVZ_U.02.2Als vanuit een niet-vertrouwde zones toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal 2-factor authenticatie.Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone
    CommVZ_U.02.3Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden, waarvoor expliciete inlogmechanismen worden toegepast zijn:
  • remote LogIn, voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken;
  • versterkte authenticatie, voor toepassingen waarbij de ‘standaard’ authenticatie van gebruikers (en applicaties) kan worden gecompromitteerd;
  • Single SignOn (SSO), voor situaties, waarbij netwerken worden geacht authenticatiechecks uit te voeren voor verschillende toepassingen.
  • Toegang tot netwerken is beperkt tot geautoriseerde gebruikers
    CommVZ_U.03.1Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld.Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld
    CommVZ_U.03.2Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen.Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen
    CommVZ_U.03.3Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatie verwerkende infrastructuur worden toegepast.Beheeractiviteiten worden nauwgezet gecoördineerd
    CommVZ_U.03.4Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van -toepassingen zijn voor het beperken van de toegang procedures opgesteld.Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld
    CommVZ_U.03.5De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden.De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden
    CommVZ_U.03.6Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd.Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd
    CommVZ_U.04.1Ten aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten, worden de volgende elementen in overweging genomen:
  • de looptijd van een overeenkomst;
  • de benodigde acties bij beëindiging;
  • de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie;
  • hoe eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming;
  • het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
  • de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging;
  • de acties in geval van schending van de overeenkomst;
  • de privacyregelgeving (UAVG en AVG/GDPR).
  • Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten
    CommVZ_U.05.1Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen.Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen
    CommVZ_U.05.2Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, gedeeld binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid
    CommVZ_U.05.3Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor het NBV een positief inzet advies heeft afgegeven.Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen
    CommVZ_U.05.4Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
    • vereiste performance en beschikbaarheid van het netwerk;
    • toegestane verbindingstypen;
    • toegestane netwerkprotocollen;
    • toegepaste applicaties op de te leveren netwerkservices;
    • beoogde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.- en ontwerpprincipes.
    Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd
    CommVZ_U.05.5De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst.De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst
    CommVZ_U.05.6Beveiligingsmechanismen voor communicatie worden voorzien op de volgende OSI lagen:
  • applicatie niveau; ten behoeve van authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: Encryptie;
  • transport niveau; ten behoeve van veilige point to point verbindingen: Encryptie;
  • netwerk niveau; ten behoeve van veilige communicatie tussen devices, encryptie, firewalls en netwerk verbindingen: VPN.
  • Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen
    CommVZ_U.06.01Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico's voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau
    CommVZ_U.06.02Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding
    CommVZ_U.06.03Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt beheerst door middel van een gateway (bijv. een firewall, een filterende router).Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst
    CommVZ_U.06.04Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding en wordt beveiligd op basis van eisen geldend voor externe verbindingen.Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding
    CommVZ_U.07.1Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie.Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren
    CommVZ_U.07.2Voor veilige berichtenuitwisseling met basisregistraties wordt conform de Pas-Toe-of-Leg-Uit lijst, gebruik gemaakt van de actuele versie van Digikoppeling.Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling
    CommVZ_U.07.3Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten. Gevoelige gegevens zijn o.a. digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen.Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten
    CommVZ_U.07.4Voor het garanderen van de zekerheid van elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of de ETSI TS 102 176-1 en relevante standaarden uit de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie).Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1
    CommVZ_U.07.5Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
  • berichten beschermen tegen onbevoegde toegang, wijziging of weigering van dienstverlening in overeenstemming met het classificatieschema van de organisatie;
  • correcte adressering en transport van het bericht waarborgen;
  • herstelbaarheid van onderbroken communicatie en beschikbaarheid van de dienst;
  • wettelijke bepalingen zoals eisen voor elektronische handtekeningen;
  • toestemming verkrijgen van het verantwoordelijk management en gegevenseigenaren, voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken of delen van bestanden;
  • 2-factor authenticatie voor toegang vanuit openbaar toegankelijke netwerken.
  • Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen
    CommVZ_U.08.1Met communicerende partijen worden afspraken gemaakt over:
  • wederzijdse authenticatie;
  • bevoegdheden voor gebruik van de dienst;
  • integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van transacties, belangrijke documenten en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van ontvangst;
  • passende verificatie voor de controle van de transactie.
  • Met communicerende partijen worden afspraken gemaakt
    CommVZ_U.09.1Voor elke gateway of firewall bestaat een actueel configuratiedocument, die de complete configuratie en de functionele eisen van de gateway of firewall beschrijft.Voor elke gateway of firewall bestaat een actueel configuratiedocument
    CommVZ_U.09.2De filterfunctie van gateways en firewalls is instelbaar.De filterfunctie van gateways en firewalls is instelbaar
    CommVZ_U.09.3Gebeurtenissen worden vastgelegd in auditlogs en worden - indien aanwezig - doorgegeven aan centrale systemen zoals SIEM.Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM
    CommVZ_U.09.4Uitsluitend toegestaan netwerkverkeer wordt doorgelaten.Uitsluitend toegestaan netwerkverkeer wordt doorgelaten
    CommVZ_U.10.1De end-to-end connectie:
  • wordt gecreëerd door scheiding van adresseringsruimte en routeringen tussen VPN’s over het onderliggende netwerk;
  • geeft garanties, dat de interne structuur van het onderliggende netwerk niet zichtbaar is voor andere netwerken;
  • biedt bescherming tegen Denial of Service attacks en ongeautoriseerde toegang;
  • biedt bescherming tegen label-spoofing (het mogelijk injecteren van foute labels).
  • De end-to-end
    CommVZ_U.11.1Voor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen zender en ontvanger wordt versleuteling toegepast op één of meer van de juiste verbindingslagen (OSI laag 1 t/m 7); Public Key Infrastructuur (PKI) faciliteert deze functie.Voor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen
    CommVZ_U.11.2Voor het waarborgen van de integriteit van communicatie tussen zender en ontvanger wordt digitale ondertekening toegepast; toepassingsvoorbeelden zijn:
  • communicatieprotocollen, die de ontvangst onweerlegbaar maken;
  • applicatieprotocollen, die de signatuur van de zender gebruiken voor onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van ontvangst en de integriteit van de ontvangen data.
  • Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast
    CommVZ_U.11.3Cryptografische beheersmaatregelen sluiten expliciet aan bij de standaarden op de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie.Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden
    CommVZ_U.11.4Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden, voor de sterkte, met een voor de toepassing en context relevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie lijst:
  • Advanced Encryption Standard (AES);
  • sleutellengte 128 bit voor “lichte” en 192 of 256 bits voor “zware” toepassingen.
  • Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden
    CommVZ_U.12.1Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en ‘beveiligingslagen’ altijd toegepast:
  • netwerk toegangscontrole (IEEE 802.1x) én apparaat authenticatie (EAP-TLS) beschermt netwerken tegen aansluiting van ongeautoriseerde gebruikers.
  • integriteitcontrolemechanismen voorkomen Man-in the-Middle attacks;
  • encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol wordt standaard toegepast, met backwards compatibility mogelijkheden voor ondersteuning van oudere of minder sterke protocollen;
  • autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van mobiele clients, b.v. via MAC adresfiltering;
  • toegangscontrole van eindgebruikers, b.v. via RBAC;
  • niet toegestane typen netwerkverkeer worden geblokkeerd;
  • niet benodigde functies zijn altijd uitgeschakeld (Hardening);
  • bekende kwetsbaarheden in de systeemsoftware worden doorlopend opgelost (patching & patchmanagement).
  • Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken
    CommVZ_U.13.1Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van alle soorten van netwerkverbindingen die worden gebruikt;
  • actuele lijst van toegestane en gebruikte protocollen;
  • actuele lijst van gebruikte netwerktoepassingen;
  • continu onderzoek naar beveiligingsrisico’s voor netwerken;
  • actuele netwerktopologie en daarvoor geldende beveiligingseisen.
  • Voor de beheersing van netwerken worden minimumeisen
    CommVZ_U.13.2Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd.Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd
    CommVZ_U.14.1Alvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een aangesloten netwerkdevice gecontroleerd (EAP-TLS).Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd
    CommVZ_U.14.2Alleen de specifiek voor het netwerk toegestane netwerkdevices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (IEE 802.1x).Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen
    CommVZ_U.15.1Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. In het bijzonder geldt daarbij:
  • administratie:
    • het continue actualiseren van de netwerktopologie;
    • het beheersen en ‘huishouden’ van netwerkresources en de wijze waarop die beschikbaar zijn gesteld.
  • beschikbaarheidsbeheer;
    • het zorgdragen dat netwerkfaciliteiten constant beschikbaar zijn en dat het netwerk wordt gemonitord, opdat onderbrekingen zo vroeg mogelijk worden ontdekt en te verholpen.
  • incident management:
    • het zorgdragen dat op alle incidenten en bevindingen actie wordt ondernomen, met rapportage.
  • technische kwetsbaarheden management:
    • het verzamelen en uitvoeren van securityupgrades, zoals het aanbrengen patches tegen kwetsbaarheden in firmware of netwerk-Operating Software (OS) en het nemen van preventieve maatregelen voor fysieke kwetsbaarheden, zoals ongeautoriseerde toegang tot netwerkbekabeling;
    • het verhelpen van fysieke kwetsbaarheden in het netwerk, zoals bescherming tegen ongeautoriseerde (fysieke) toegang van netwerksegmenten.
  • Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie
    CommVZ_U.15.2Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten.Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken
    CommVZ_U.16.1Overtredingen van het actuele netwerkbeleid (afwijkingen van de baseline) worden geregistreerd en vastgelegd in auditlogs.Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs
    CommVZ_U.16.2Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd b.v. met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen.Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen
    CommVZ_U.17.1De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van het te beveiligen systeem.De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem
    CommVZ_U.17.2De beveiligingsarchitectuur is gelaagd, zoals:
  • NORANederlandse Overheid Referentie Architectuur Beveiliging Metamodel;
  • SABSA®.
  • De beveiligingsarchitectuur is gelaagd
    CommVZ_U.17.3De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden.De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden
    Huisv_U.01.01Personeel is alleen op grond van ‘need-to-know’ bekend met het bestaan van of de activiteiten binnen een beveiligd gebied.Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
    Huisv_U.01.02Zonder toezicht wordt niet gewerkt in de beveiligde gebieden, dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten.In beveiligde gebieden wordt slechts onder toezicht gewerkt
    Huisv_U.01.03Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd.Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd
    Huisv_U.01.04Tenzij goedgekeurd wordt beeld en geluidopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten.Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
    Huisv_U.01.05Bezoekers van kritieke faciliteiten:
  • krijgen slechts toegang voor vastgestelde doeleinden;
  • krijgen instructie over de beveiliging van de omgeving en van de noodprocedures en worden bewust gemaakt van de beveiligingsregels;
  • wordt verteld dat het gebruik van beeld en geluidopname materiaal/apparatuur niet is toegestaan;
  • dragen verplicht een badge;
  • worden gemonitord bij aankomst en vertrek;
  • worden continu aan toezicht onderworpen.
  • Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
    Huisv_U.02.01Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie 8.1.2) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie 8.2).Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
    Huisv_U.02.02De Huisvesting-IV organisatie identificeert de bedrijfsmiddelen, welke voor Huisvesting-IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, * de levenscyclus van informatie (de aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat;
  • de documentatie onderhouden wordt in speciale of bestaande inventarislijsten indien van toepassing.
  • Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV
    Huisv_U.02.03De inventarislijst van de bedrijfsmiddelen wordt nauwkeurig, actueel en consistent bijgehouden en is in overeenstemming met andere inventarisoverzichten.Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
    Huisv_U.02.04De Huisvesting-IV organisatie heeft inventarisoverzichten:
  • inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt;
  • inventarisoverzichten kunnen vereist zijn, zoals voor financieel (beheer van bedrijfsmiddelen), verzekeringen, of voor gezondheid of veiligheid redenen.
  • Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
    Huisv_U.03.01Voor het inrichten van beveiligde zones wordt gebruik gemaakt van de volgende voorschriften:
  • het Kader Rijkstoegangsbeleid (2010);
  • het Normenkader Beveiliging Rijkskantoren (NkBR 2015);
  • het Beveiligingsvoorschrift Rijk (BVR 2013).
  • Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
    Huisv_U.03.02Beveiligingszones worden gedefinieerd en de locatie en sterkte van elke zone hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling.Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen
    Huisv_U.03.03Informatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd.Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
    … overige resultaten