Beveiligde ontwikkelomgeving

Uit NORA Online
ISOR:Beveiligde ontwikkel- (en test) omgeving /
Versie door Hasan ALkhatib (overleg | bijdragen) op 11 aug 2021 om 16:34 (titel aangepast)
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF
Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)
ID: APO_U.12
Beveiligingsprincipe
Versie: 2.0
Status: Actueel
Publicatiedatum: 29-10-2021
Redactionele wijzigingsdatum: 29-10-2021
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
Blauw vierkant kader met daarin in wit de G van Gedrag

Gedrag

Verwante principes

BIO Thema-uitwerking Applicatieontwikkeling
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Definitie

Het beschermen van te ontwikkelen computersoftware en andere ingezette hulpmiddelen

Toelichting

Het ontwikkeltraject van applicaties en het in productie nemen van de resultaten hiervan vindt gefaseerd plaats in specifieke omgevingen. Bij de ontwikkeling worden 4 omgevingen onderscheiden:

  • Ontwikkelomgeving

Hierin wordt de programmacode ontwikkeld. Om te voorkomen dat ontwikkelingen het productieproces kunnen beïnvloeden, is deze omgeving gescheiden van de productie-omgeving.

  • Testomgeving

Hierin worden de uit de ontwikkelomgeving afkomstige producten getest door professionele testteams. In de testomgeving gesignaleerde onvolkomenheden in de software worden weer via ontwikkelomgeving aangepast. Dit is een iteratief proces totdat uit de test naar voren komt dat het product geschikt is om in productie te nemen.

  • Acceptatieomgeving

Hierin worden de software-producten (nog eenmaal) grondig getest en bij positief resultaat door de gebruikers en beheerders geaccepteerd. Bij eventuele onvolkomenheden worden de software-producten niet geaccepteerd (no-go) en teruggestuurd naar de test- of ontwikkelomgeving.

  • Productieomgeving

Hierin wordende nieuwe software-producten uitgerold. De productieomgeving is de omgeving waarin de nieuwe software-producten functioneel en actief zijn. De in de voorgaande omgevingen uitgevoerde stappen moeten zo veel mogelijk garanderen dat nieuw ontwikkelde software geen fouten bevat die de productiegegevens kunnen corrumperen.

In principe zijn alle omgevingen los van elkaar ingericht en vindt behalve via formele overdrachten geen contact plaats tussen de verschillende omgevingen.


Criterium

Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling

Doelstelling

Het voorkomen dat door ontwikkelactiviteiten het productieproces negatief beïnvloed wordt.

Risico

De beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie in een operationele applicatie worden aangetast.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 14.2.6

Onderliggende normen

IDConformiteitsindicatorStelling
APO_U.12.01 Beveiligde ontwikkelomgevingen

Systeemontwikkelomgevingen worden passend beveiligd op basis van een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.

APO_U.12.02 Beveiligde ontwikkelomgevingen

De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de ontwikkel-, test-, acceptatie- en productie-omgeving, elk met een eigen autorisatiestructuur en werkwijze, zodat sprake is van een beheerst ontwikkel- en onderhoudsproces.

APO_U.12.03 Beveiligde ontwikkelomgevingen

De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd conform onderkende rollen.

APO_U.12.04 beveiligde ontwikkelomgevingen

Voor remote-werkzaamheden is een werkwijze vastgelegd.

APO_U.12.05 Beveiligde ontwikkelomgevingen

Ontwikkelaars hebben geen toegang tot de productieomgeving.

APO_U.12.06 Beveiligde ontwikkelomgevingen

Voor het kopiëren/verplaatsen van configuratie-items tussen de omgevingen gelden overdrachtsprocedures.

APO_U.12.07 Beveiligde ontwikkelomgevingen

De overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan.

APO_U.12.08 Beveiligde ontwikkelomgevingen

De overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats.

APO_U.12.09 Beveiligde ontwikkelomgevingen

De overdracht naar de productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Beveiligde_ontwikkel-_(en_test)_omgeving&oldid=54047"