Beveiligde ontwikkelomgeving
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
| ||||||||||||||||||
Objectdefinitie
Betreft een omgeving die uitsluitend wordt gebruikt om applicaties te creëren of aan te passen.
Objecttoelichting
Het traject van ontwikkelen van een applicatie en het in productie nemen van de resultaten van dit ontwikkeltraject vindt gefaseerd plaats in specifieke omgevingen. Bij de ontwikkeling worden vier omgevingen onderscheiden:
- Ontwikkelomgeving, Hierin wordt de programmacode ontwikkeld. Om te voorkomen dat ontwikkelingen het productieproces kunnen beïnvloed is deze omgeving gescheiden van de productie omgeving.
- Testomgeving, Hierin worden de uit de ontwikkelomgeving afkomstige producten getest door professionele testteams. Aanwezige, in de testomgeving gesignaleerde, onvolkomenheden in de software worden weer via ontwikkelomgeving aangepast. Dit is een iteratief proces totdat uit de test naar voren komt dat het product geschikt is om in productie te nemen;
- Acceptatieomgeving, Hierin worden de softwareproducten (nog éénmaal grondig) getest en bij positief resultaat door de gebruikers en beheerders geaccepteerd. Bij eventuele onvolkomenheden worden de softwareproducten niet geaccepteerd (no-go) en terug gestuurd naar de testomgeving of ontwikkelomgeving;
- Productieomgeving, Hierin worden de nieuwe softwareproducten uitgerold. De Productie omgeving is de omgeving waarin de nieuwe softwareproducten functioneel en actief moeten zijn. De in de voorgaande omgevingen uitgevoerde stappen moeten zo veel mogelijk garanderen dat nieuw ontwikkelde software geen fouten bevat die de productiegegevens kunnen corrumperen.
In principe zijn alle omgevingen los van elkaar ingericht en vindt behalve via formele overdrachten geen contact plaats tussen de verschillende omgevingen.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Gedrag.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 14.2.6
Onderliggende normen
| ID | Conformiteitsindicator | Stelling |
|---|---|---|
| APO_U.12.01 | Beveiligde ontwikkelomgevingen |
Systeemontwikkelomgevingen worden passend beveiligd op basis van een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. |
| APO_U.12.02 | Beveiligde ontwikkelomgevingen |
De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de ontwikkel-, test-, acceptatie- en productie-omgeving, elk met een eigen autorisatiestructuur en werkwijze, zodat sprake is van een beheerst ontwikkel- en onderhoudsproces. |
| APO_U.12.03 | Beveiligde ontwikkelomgevingen |
De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd conform onderkende rollen. |
| APO_U.12.04 | beveiligde ontwikkelomgevingen |
Voor remote-werkzaamheden is een werkwijze vastgelegd. |
| APO_U.12.05 | Beveiligde ontwikkelomgevingen |
Ontwikkelaars hebben geen toegang tot de productieomgeving. |
| APO_U.12.06 | Beveiligde ontwikkelomgevingen |
Voor het kopiëren/verplaatsen van configuratie-items tussen de omgevingen gelden overdrachtsprocedures. |
| APO_U.12.07 | Beveiligde ontwikkelomgevingen |
De overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan. |
| APO_U.12.08 | Beveiligde ontwikkelomgevingen |
De overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats. |
| APO_U.12.09 | Beveiligde ontwikkelomgevingen |
De overdracht naar de productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. |