ISOR:Toegangsbeveiliging op programmacode: verschil tussen versies

Huidige versie van 29 okt 2021 om 15:00

Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	APO_B.08
Versie:	2.1
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	29-10-2021
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Gedrag

Verwante principes

→ BIO Thema-uitwerking Applicatieontwikkeling

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Objectdefinitie

Betreft de geautoriseerde toegang tot gevalideerde broncode (source code) voor het bouwen van applicaties.

Objecttoelichting

Toegang tot de programmacode en samenhangende elementen, zoals ontwerpen, specificaties, verificatie- en validatieschema’s zijn ingericht om onbevoegde functionaliteit en ongeautoriseerde wijzigingen te voorkomen en om de vertrouwelijkheid van intellectueel eigendom te handhaven.

NB De broncode is de gevalideerde en in de broncodebibliotheek opgeslagen programmacode.

Criterium

Toegang tot de programmabroncodebibliotheken behoren te worden beperkt.

Doelstelling

Het zorgen dat alleen die personen die toegang nodig hebben voor het uitvoeren van hun werkzaamheden toegang krijgen tot de programmabroncodebibliotheken en samenhangende elementen

Risico

Onbevoegde toegang tot programmabroncodebibliotheken en samenhangende elementen.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 9.4.5

Onderliggende normen

ID	Conformiteitsindicator	Stelling
APO_B.08.01	Programmabroncodebibliotheken	Om de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen: De broncodebibliotheken worden niet in operationele systemen opgeslagen. De programmacode en de broncodebibliotheek behoren te worden beheerd conform vastgestelde procedures. Ondersteunend personeel heeft geen onbeperkte toegang tot broncodebibliotheken. Het updaten van de programmacode en samenhangende items en het verstrekken van de programmacode aan programmeurs vinden alleen plaats na ontvangst van een passend autorisatiebewijs. Programma-uitdraaien worden in een beveiligde omgeving bewaard. Van elke toegang tot broncodebibliotheken wordt een registratie bijgehouden in een auditlogbestand. Onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
APO_B.08.02	Programmabroncodebibliotheken	Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen.

@@ Regel 1: / Regel 1: @@
+{{#element:
-{{#Element:
 |Elementtype=Beveiligingsprincipe
-|ID=AppO_B.08
+|ID=APO_B.08
 |Titel=Toegangsbeveiliging op programmacode
-|Is subnorm=Nee
+|Versieaanduiding=2.1
-|Versieaanduiding=1.0
 |Status actualiteit=Actueel
-|Redactionele wijzigingsdatum=2019/02/01
+|Px=300
-|Publicatiedatum=2019/02/01
+|Redactionele wijzigingsdatum=2021/10/29
-|Beschrijving=Toegang tot programmacode en samenhangende elementen (zoals ontwerpen, specificaties, verificatie- en validatieschema’s) is juist ingericht om onbevoegde functionaliteit en om onbedoelde wijzigingen te voorkomen, alsmede om intellectueel eigendom te beschermen.
+|Publicatiedatum=2021/10/29
-|Criterium=Toegang tot de ''programmacode en broncode bibliotheken'' behoort te worden beperkt.
+|Beschrijving===Objectdefinitie==
-|Doelstelling=De reden waarom de norm gehanteerd wordt.
+Betreft de geautoriseerde toegang tot gevalideerde broncode  (source code) voor het bouwen van applicaties.
+==Objecttoelichting==
+Toegang tot de programmacode en samenhangende elementen, zoals ontwerpen, specificaties, verificatie- en validatieschema’s zijn ingericht om onbevoegde functionaliteit en ongeautoriseerde wijzigingen te voorkomen en om de vertrouwelijkheid van intellectueel eigendom te handhaven.
+NB De broncode is de gevalideerde en in de broncodebibliotheek opgeslagen programmacode.
+|Criterium=Toegang tot de ''programmabroncodebibliotheken'' behoren te worden beperkt.
+|Doelstelling=Het zorgen dat alleen die personen die toegang nodig hebben voor het uitvoeren van hun werkzaamheden toegang krijgen tot de programmabroncodebibliotheken en samenhangende elementen
+|Risico=Onbevoegde toegang tot programmabroncodebibliotheken en samenhangende elementen.
 |Beveiligingsaspect=Beleid
 |Invalshoek=Gedrag
-|Grondslag=* NEN-ISO/IEC 27002: 9.4.5
+|Grondslag=* BIO (Baseline Informatiebeveiliging Overheid): 9.4.5
-|Px=300
+|Conformiteitsindicator=Programmabroncodebibliotheken
-|Conformiteitsindicator=programmabroncode en broncode bibliotheken
 |Heeft bron=BIO Thema Applicatieontwikkeling
-|Heeft ouder=ISOR:BIO Thema Applicatieontwikkeling Beleid
 }}