Sjabloon:Normenkader-aspect

Uit NORA Online
Ga naar: navigatie, zoeken
Dit is de opmaaksjabloon dat bepaalt hoe aspecten van normenkaders met hoofdzakelijk tekst worden weergegeven binnen de ISOR. De eigenschappen "heeft bron" (het nomenkader) en "beveiligingsaspect" bepalen de relatie naar een normenkader-aspect.
Deze informatie is onderdeel van [[{{{Heeft ouder}}}]].

Meer lezen

Bron niet opgegeven
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR



Risico

{{{Risico}}}

Doelstelling

{{{Doelstelling}}}

Principes uit de {{{Heeft ouder}}} binnen dit aspect

ID principe Criterium
AppO_B.01 Beleid voor (beveiligd) ontwikkelen Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
AppO_B.02 Systeem ontwikkelmethode Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.
AppO_B.03 Classificatie van Informatie InformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
AppO_B.04 Engineeringprincipes beveiligde systemen Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
AppO_B.05 Business Impact Analyse De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.
AppO_B.06 Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse) Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
AppO_B.07 Kwaliteitsmanagement systeem De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
AppO_B.08 Toegangsbeveiliging op programmacode Toegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.
AppO_B.09 Projectorganisatie Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.
AppO_C.01 Richtlijnen evaluatie ontwikkelactiviteiten De projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode.
AppO_C.02 Versie Management De projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben.
AppO_C.03 Patchmanagement van externe programmacode Patchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.
AppO_C.04 (Software) configuratie management De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.
AppO_C.05 Quality assurance De projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen.
AppO_C.06 Compliance management De projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.
AppO_C.07 Technische beoordeling van informatiesystemen na wijziging besturingsplatform Bij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.
AppO_C.08 Beheersing van software ontwikkeling(sprojecten) De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
AppO_U.01 Procedures voor wijzigingsbeheer m.b.t. applicaties Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door het gebruik van formele procedures voor wijzigingsbeheer.
AppO_U.02 Beperkingen voor de installatie van software(richtlijnen) Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.
AppO_U.03 Richtlijnen voor programmacode (best practices) Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices.
AppO_U.04 Analyse en specificatie van informatiesystemen De functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.
AppO_U.05 Analyse en specificatie van informatiebeveiligingseisen De beveiligingseisen die verband houden met informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen.
AppO_U.06 Applicatie ontwerp Het applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: Business vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging.
AppO_U.07 Applicatie functionaliteiten Informatiesystemen behoren zo te worden ontworpen, dat de invoer-, verwerking- en outputfuncties van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. om het businessproces optimaal te kunnen ondersteunen.
AppO_U.08 Applicatiebouw De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van (industrie) good practice en door ontwikkelaars die beschikken over de juiste skills/tools en de applicaties behorent te worden gereviewd.
AppO_U.09 Testen van systeembeveiliging Tijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest.
AppO_U.10 Systeem acceptatietests Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.
AppO_U.11 Beschermen van testgegevens Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.
AppO_U.12 Beveiligde ontwikkel- (en test) omgeving Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.
AppO_U.13 Applicatiekoppelingen De koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen waarborgen.
AppO_U.14 Logging en monitoring Applicaties behoren faciliteiten te bieden voor logging en monitoring om ongeoorloofde en onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.
AppO_U.15 Applicatie architectuur De functionele- en beveiligingseisen behoren in een applicatie-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., conform architectuurvoorschriften, in samenhang te zijn vastgelegd.
AppO_U.16 Tooling ontwikkelmethode De ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus.
CommVZ_B.01 Beleid en procedures informatietransport Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02 Overeenkomsten over informatietransport Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03 Cryptografiebeleid voor communicatie Ter bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04 Organisatiestructuur van netwerkbeheer In beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.
CommVZ_C.01 Naleving richtlijnen netwerkbeheer en evaluaties Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.
CommVZ_C.02 Netwerk security compliancy checking De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijk management (Compliancy checks).
CommVZ_C.03 Evalueren netwerkbeveiliging De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.
CommVZ_C.04 Evalueren netwerk monitoring Toereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..
CommVZ_C.05 Beheerorganisatie netwerkbeveiliging Alle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen.
CommVZ_U.01 Richtlijnen netwerkbeveiliging Organisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor ontwerp, implementatie en beheer (voorbeeld: ISO 27033 deel 2).
CommVZ_U.02 Beveiligde inlogprocedure Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie) systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure.
CommVZ_U.03 Netwerk beveiligingsbeheer Netwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen. 
CommVZ_U.04 Vertrouwelijkheids- of geheimhoudingsovereenkomst Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.
CommVZ_U.05 Beveiliging netwerkdiensten Beveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
CommVZ_U.06 Zonering en filtering Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen).
CommVZ_U.07 Elektronische berichten InformatieBetekenisvolle gegevens. die is opgenomen in elektronische berichten, behoort passend te zijn beschermd.
CommVZ_U.08 Toepassingen via openbare netwerken InformatieBetekenisvolle gegevens. die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.
CommVZ_U.09 Gateway/Firewall De filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten.
CommVZ_U.10 Virtual Private Networks (VPN) Een VPN behoort een strikt gescheiden end-to end connectie te geven, waarbij de getransporteerd informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.
CommVZ_U.11 Cryptografische Services Ter bescherming van de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.
CommVZ_U.12 Wireless Access Draadloos verkeer behoort te worden beveiligd met authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van devices, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gebruikers en versleuteling van de communicatie.
CommVZ_U.13 Netwerkconnecties Alle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.
CommVZ_U.14 Netwerkauthenticatie 'Authenticatie van netwerknodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (Sniffing) te voorkomen.
CommVZ_U.15 Netwerkbeheer activiteit Netwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen.
CommVZ_U.16 Vastleggen en monitoring van netwerkgebeurtenissen (events) Informatiebeveiligingsgebeurtenissen in netwerken, behoren geregistreerd en bewaard en 'beoordeeld' te worden (op de ernst van de risico’s).
CommVZ_U.17 Netwerk beveiligingsarchitectuur Beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, leidende principes en de geldende normen en standaarden.
Huisv_B.01 Huisvestingsbeleid Ten behoeve van Huisvestingsbeleid moet een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
Huisv_B.02 Wet en regelgeving Alle relevante wettelijke statutaire eisen en regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen moeten voor elk Huisvestingsdiensten expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03 Eigenaarschap Bedrijfsmiddelen m.b.t Huisvesting-IV die in het inventarisoverzicht te worden bijgehouden moeten een eigenaar te hebben.
Huisv_B.04 Certificering De Huisvesting-IV van de leverancier, behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05 Contractmanagement Huisvestingsvoorzieningen die worden verworven voldoen aan kwalitatieve en kwantitatieve eisen, die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06 Service Levelmanagement Het Management van Huisvesting-IV behoort diensten te leveren conform Service Level Agreements (SLA).
Huisv_B.07 Interne en Externe bedreigingen Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.
Huisv_B.08 Training en Awareness Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.
Huisv_B.09 Organisatiestructuur De Huisvestingsorganisatie zorgt voor een adequate organisatiestructuur voor de te realiseren Huisvesting-IV en stelt de taken beveogdheden en verantwoordelijkheden (TBV) van de aangewezen functionarissen vast.
Huisv_B.10 Huisvestingsstructuur De inrichting van de Fysieke toegangsbeveiliging van de Huisvesting van IV behoort vastgelegd te zijn in een Huisvestingarchitectuur.
Huisv_C.01 Controle richtlijn Bedrijfsmiddelen worden periodiek gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen worden tijdig aan het management gerapporteerd.
Huisv_C.02 Onderhoudsplan Voor iedere locatie van de Huisvesting-IV is een onderhoudsplan opgesteld op basis van een risicoafweging en onderhoudsbepalingen.
Huisv_C.03 Continuiteitsmanagement Continuïteitsmanagement is procesmatig voor de gehele organisatie ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.
Huisv_C.04 Huisvesting-IV Testproces bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.05 Huisvesting-IV Beheerprocessen bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.06 Huisvesting-IV Monitoring bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.07 Huisvesting-IV Beheersingsorganisatie De stakeholder van de huisvesting van de Rekencentra heeft een beheersingsorganisatie ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
Huisv_C.08 Huisvesting-IV Beheersingsarchitectuur Deze norm is nog in ontwikkeling.
Huisv_U.01 Richtlijnen gebieden en ruimten Voor het werken in beveiligde gebieden moeten richtlijnen worden ontwikkeld en toegepast.
Huisv_U.02 Bedrijfsmiddelen inventaris Bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
Huisv_U.03 Fysieke zonering 'Fysieke beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.
Huisv_U.04 Beveiligingsfaciliteiten ruimten Voor het beveiligen van ruimten moeten faciliteiten worden ontworpen en toegepast.
Huisv_U.05 Nutsvoorzieningen Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
Huisv_U.06 Apparatuur positionering Apparatuur wordt zodanig gepositioneerd en beschermd dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
Huisv_U.07 Onderhoud Apparatuur Apparatuur behoort op een correcte wijze te worden onderhouden.
Huisv_U.08 Apparatuur verwijdering Alle onderdelen van de apparatuur die opslagmedia bevatten moeten worden geverifieerd om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09 Bedrijfsmiddelen verwijdering Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.
Huisv_U.10 Laad en los locatie Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en indien mogelijk worden afgeschermd van IT-voorzieningen.
Huisv_U.11 Bekabeling De voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten zijn beschermd tegen interceptie of beschadiging.
Huisv_U.12 Huisvesting-IV architectuur Voor het implementeren van en onderhouden van Huisvestingsvoorzieningen zijn architectuurvoorschriften en de benodigde documentatie beschikbaar.
LTV_B.01 Toegangbeveiliging(voorzienings)beleid Een toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
LTV_B.02 Eigenaarschap van bedrijfsmiddelen Het eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd.
LTV_B.03 Beveiligingsfunctie toegangbeveiliging Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de gehele organisatie.
LTV_B.04 Cryptografie bij authenticatie Ter bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
LTV_B.05 Beveiligingsorganisatie De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.
LTV_B.06 Toegangbeveiliging(voorzienings)architectuur De organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.
LTV_C.01 Toegangsbeveiliging beoordelingsprocedure Er moeten procedures te zijn vastgesteld om het gebruik van toegangbeveiligingsvoorzieningen te controleren.
LTV_C.02 Beoordeling toegangsrechten Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.
LTV_C.03 Gebeurtenissen registreren 'Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.
LTV_C.04 Toegangsbeveiliging beheers(ings)organisatie De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
LTV_U.01 Registratieprocedure “Registratie van gebruikers” Een formele registratie- en afmeldingsprocedure moet te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.
LTV_U.02 Toegangsverlening procedure Een formele gebruikers toegangsverleningsprocedure (GTV) moet te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
LTV_U.03 Inlogprocedures Indien het beleid voor toegangbeveiliging dit vereist, moet toegang tot systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure.
LTV_U.04 Autorisatieproces Er moet een formeel autorisatieproces geiplementeerd zijn voor het beheersen van toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.
LTV_U.05 Wachtwoorden beheer Systemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te waarborgen.
LTV_U.06 Speciale toegangsrechten beheer Het toewijzen en gebruik van speciale toegangsrechten moeten worden beperkt en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
LTV_U.07 Functiescheiding Conflicterende taken en verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
LTV_U.08 Geheime authenticatie-informatie (IA) Het toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheersproces.
LTV_U.09 Autorisatie 'Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen moet te worden beperkt in overeenstemming met het beleid voor toegangbeveiliging.
LTV_U.10 Autorisatievoorzieningsfaciliteiten Er moeten technische autorisatievoorzieningsmiddelen (AVM) zijn ter ondersteuning van autorisatiebeheer beschikbaar, een personeelsregistratiesysteem (PS), een autorisatiebeheersysteem (AB), autorisatiefaciliteiten (AF) binnen daartoe in aanmerking komende applicaties.
LTV_U.11 Fysieke toegangbeveiliging Beveiligde gebieden moeten worden beschermd door passende toegangbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.
PRIV_B.01 Privacy Beleid geeft duidelijkheid en sturing De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG art. 5 lid 1.
PRIV_B.02 Organieke inbedding De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.
PRIV_B.03 Risicomanagement- Privacy by Design en de GEB De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.
PRIV_C.01 Intern toezicht Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond.
PRIV_C.02. Toegang gegevensverwerking voor betrokkenen De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG art. 12., tenzij er een specifieke uitzonderingsgrond geldt.
PRIV_C.03 Meldplicht Datalekken De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de AP, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.
PRIV_U.01 Doelbinding gegevensverwerking De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
  • de doeleinden, en:
  • de rechtvaardigingsgronden voor:
  1. de verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
  2. de geautomatiseerde besluitvorming;
  3. bijzondere persoonsgegevens;
  4. de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
  5. het nationaal identificerend nummer;
  6. de persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.
PRIV_U.02 Register van verwerkingsactiviteiten De verwerkingsverantwoordelijke en de verwerker hebben hun gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. en doorgeven van persoonsgegevens.
PRIV_U.03 Kwaliteitsmanagement De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit op verzoek van betrokkene gebeurd wordt deze over de status van de afhandeling geïnformeerd.
PRIV_U.04 Beveiligen van de verwerking van persoonsgegevens De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen om een verwerking van persoonsgegevens op een passend niveau te beveiligenAVG art. 32..
PRIV_U.05 Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG art. 14..
PRIV_U.06 Bewaren van persoonsgegevens Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden.
PRIV_U.07 Doorgifte persoonsgegevens Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

  • is er een vertegenwoordiger, en:
  • is geen sprake van uitzonderingsgronden

en:

  • geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
  • zijn er passende waarborgenAVG art. 44., of:
  • geldt een afwijking voor een specifieke situatie.
SERV_B.01 Beleid voor beveiligde inrichting en onderhoud Voor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.
SERV_B.02 Principes voor inrichten van beveiligde servers De principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.
SERV_B.03 Serverplatform architectuur De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.
SERV_C.01 Evaluatie richtlijnen servers en besturingssystemen Er behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.
SERV_C.02 Beoordeling technische serveromgeving Technische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor servers en besturingssystemen.
SERV_C.03 Beheerderactiviteiten vastgelegd in logbestanden Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.
SERV_C.04 Registratie gebeurtenissen Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
SERV_C.05 Monitoren van servers en serverplatforms De organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.
SERV_C.06 Beheerorganisatie servers en serverplatforms Binnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.
SERV_U.01 Bedieningsprocedures Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben.
SERV_U.02 Standaarden voor configuratie van servers Het serverplatform is geconfigureerd in overeenstemming met gedocumenteerde standaarden.
SERV_U.03 Malwareprotectie Ter bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.
SERV_U.04 Beheer van serverkwetsbaarheden InformatieBetekenisvolle gegevens. over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.
SERV_U.05 Patchmanagement Patchmanagement is procesmatig en procedureel opgezet wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.
SERV_U.06 Beheer op afstand Richtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.
SERV_U.07 Onderhoud van servers Servers behoren correct te worden onderhouden om de continue beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. en integriteit te waarborgen.
SERV_U.08 Veilig verwijderen of hergebruiken van serverapparatuur Alle onderdelen van servers met opslagmedia behoren te worden geverifieerd, om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
SERV_U.09 Hardenen van servers Voor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld.
SERV_U.10 Serverconfiguratie Serverplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.
SERV_U.11 Beveiliging Virtueel serverplatform Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisor en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.
SERV_U.12 Beperking van software-installatie Voor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.
SERV_U.13 Kloksynchronisatie De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn gedocumenteerd en gesynchroniseerd op één referentietijdbron.
SERV_U.14 Ontwerpdocumentatie Het ontwerp van een serverplatform behoort te zijn gedocumenteerd.

Normen uit de {{{Heeft ouder}}} binnen dit aspect

ID Stelling Norm
AppO_B.01.01 De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen. De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
AppO_B.01.02 De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
AppO_B.01.03 In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
Overwegingen bij het beleid voor beveiligd ontwikkelen van software
AppO_B.01.04 Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen. Technieken voor beveiligd programmeren
AppO_B.02.01 Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling). Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
AppO_B.02.02 Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
AppO_B.02.03 Adoptie van ontwikkelmethodologie wordt gemonitord. Adoptie van ontwikkelmethodologie wordt gemonitord
AppO_B.02.04 Standaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
Software wordt ontwikkelen conform standaarden en procedures
AppO_B.02.05 De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
AppO_B.02.06 Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
Het softwareontwikkeling wordt projectmatig aangepakt
AppO_B.03.01 De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen. Dataclassificatie' als uitgangspunt voor softwareontwikkeling
AppO_B.03.02 In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
AppO_B.03.03 Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
AppO_B.03.04 In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements. Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
AppO_B.04.01 De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. Security by Design als uitgangspunt voor softwareontwikkeling
AppO_B.04.02 Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
Principes voor het beveiligen van informatiesystemen
AppO_B.04.03 Beveiliging wordt als een integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van system ontwikkeling behandeld. Beveiliging is integraal onderdeel van systeemontwikkeling
AppO_B.04.04 Ontwikkelaars zijn getraind om veilige software te ontwikkelen. Ontwikkelaars zijn getraind om veilige software te ontwikkelen
AppO_B.05.01 Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
Perspectieven bij de Business Impact Analyse
AppO_B.05.02 De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
Scenario's voor de Business Impact Analyse
AppO_B.05.03 Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • verlies van orders en contracten en klanten;
  • verlies van tastbare assets;
  • onvoorziene kosten;
  • verlies van management control;
  • concurrentie;
  • late leveringen;
  • verlies van productiviteit;
  • compliance; en
  • reputatie.
Vaststelling op welke wijze eventueel compromitteren invloed heeft op de financiën van de organisatie
AppO_B.06.01 Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd. GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
AppO_B.06.02 Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. Procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten
AppO_B.06.03 Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. Een tot standaard verheven GEB-toetsmodel wordt toegepast
AppO_B.06.04 Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
AppO_B.06.05 De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. Risicomanagement aanpak aantoonbaar toegepast
AppO_B.06.06 Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd. Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
AppO_B.07.01 De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. De doelorganisatie beschikt over een ontwikkel & onderhoudsbeleid
AppO_B.07.02 De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek. De doelorganisatie beschikt over QA methodiek en QSM methodiek
AppO_B.07.03 De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
AppO_B.07.04 Er zijn informatie- en communicatieprocessen ingericht. Voor informatie- en communicatie zijn processen ingericht
AppO_B.07.05 Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
AppO_B.07.06 Aan het management worden evaluatie rapportages verstrekt. Aan het management worden evaluatierapportages worden verstrekt
AppO_B.07.07 De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS. Applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS
AppO_B.08.01 Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
  1. de broncode bibliotheken worden niet in operationele systemen opgeslagen;
  2. de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;
  3. ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken;
  4. het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs;
  5. programma-uitdraaien worden in een beveiligde omgeving bewaard;
  6. van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand;
  7. Onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
AppO_B.08.02 Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening). Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
AppO_B.09.01 De beveiligingsfunctionaris zorgt o.a. voor:
  • de actualisatie van beveiligingsbeleid;
  • afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen;
  • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
  • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
  • de bespreking van beveiligingsissues met ketenpartijen
Taken van de beveiligingsfunctionaris
AppO_B.09.02 De beveiligingsfunctionaris geeft o.a. inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
Inzicht gegeven door de beveiligingsfunctionaris
AppO_C.01.01 De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software. Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
AppO_C.01.02 De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode. Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
AppO_C.01.03 De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten. Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast
AppO_C.01.04 De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten. Het kwaliteitshandboek bevat procedures voor QC- en QA-methodiek en reviewrichtlijnen
AppO_C.01.05 De QA methodiek wordt conform de richtlijnen nageleefd. De Quality Assurance methodiek wordt conform de richtlijnen nageleefd
AppO_C.01.06 De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
AppO_C.01.07 Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. Het applicatieontwikkelproces - de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
AppO_C.02.01 Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. Versiemanagement is beschreven - vastgesteld en toegekend aan een verantwoordelijke functionaris
AppO_C.02.02 In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd. Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
AppO_C.02.03 Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. Versiemanagement wordt ondersteund met procedures en werkinstructies
AppO_C.02.04 Een versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
Ondersteuning vanuit het toegepaste versiebeheertool
AppO_C.03.01 Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. Patchmanagement en noodzakelijke -procedures zijn beschreven vastgesteld en bekendgemaakt
AppO_C.03.02 De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement. Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
AppO_C.03.03 Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd. Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
AppO_C.03.04 Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. Het beheer van technische kwetsbaarheden in code uit externe bibliotheken
AppO_C.03.05 Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. Installeren van alle noodzakelijke door de leveranciers beschikbaar gestelde patches en fixes
AppO_C.03.06 Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd. Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
AppO_C.04.01 Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd. Software configuratiescomponenten worden conform procedures vastgelegd
AppO_C.04.02 De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
AppO_C.04.03 Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB. Wijzigingen in softwareconfiguratie items conform gestandaardiseerd proces vastgelegd in de CMDB
AppO_C.05.01 De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek. De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
AppO_C.05.02 Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
  • het evalueren van de requirement analyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingcontrols (beleid, methoden, geprogrammeerde mechanismen t.b.v. BIVC) en zoals overeengekomen tijdens risico assessment zijn ontwikkeld, adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
AppO_C.05.03 De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. Rapportage van de resultaten uit QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken
AppO_C.05.04 Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd. Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
AppO_C.06.01 Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management. Het compliance management proces is gedocumenteerd en vastgesteld
AppO_C.06.02 Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (AVG, Computer Criminaliteit en Encryptie) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van wet- en regelgeving en overeengekomen informatiebeveiligingsbeleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance checks op wet en regelgeving en overeengekomen beleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen m.b.t. security compliance in een autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen matrix.
De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
AppO_C.07.01 Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
  1. de toepassingscontrole procedures;
  2. het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
  3. het vaststellen of de veranderingen invloed hebben op de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de functionaliteiten van de applicatie en/of invloed hebben op de beveiliging van de applicatie;
  4. het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
Testen bij verandering van besturingssystemen
AppO_C.08.01 De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd. De samenhang van de beheerprocessen wordt door middel van een processtructuur vastgelegd
AppO_C.08.02 De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt. De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk
AppO_C.08.03 De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
AppO_C.08.04 De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. De taken verantwoordelijkheden en bevoegdheden voor evaluatie- en beheerwerkzaamheden zijn beschreven
AppO_U.01.01 Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD. Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks
AppO_U.01.02 Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren. Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren
AppO_U.01.03 Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces
AppO_U.01.04 Enkele elementen van de procedures voor wijzigingsbeheer zijn:
  1. alle wijzigingsverzoeken (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  2. het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  3. wijzigingen worden doorgevoerd door bevoegde medewerkers.
  4. van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  5. uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  6. aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
Elementen van de procedures voor wijzigingsbeheer
AppO_U.02.01 De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren. Beleid ten aanzien van het type software dat mag worden geïnstalleerd
AppO_U.02.02 Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'. Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'
AppO_U.02.03 De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars. De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars
AppO_U.03.01 De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
  • gebruikte tools;
  • gebruikte licenties;
  • versiebeheer;
  • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.
De programmacode voor functionele specificaties is reproduceerbaar
AppO_U.03.02 (Programma)code wordt aantoonbaar veilig gecreëerd. Programmacode wordt aantoonbaar veilig gecreëerd
AppO_U.03.03 (Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van code bugs;
  • het voorkomen van herintroductie van code bugs;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten);
  • het adequaat documenteren van software-interface, koppelingen en API’s.
Programmacode is effectief - veranderbaar en testbaar
AppO_U.03.04 Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt. Over het gebruik van vocabulaire - applicatieframework en toolkits zijn afspraken gemaakt
AppO_U.03.05 Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010. Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire
AppO_U.03.06 Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem. Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten
AppO_U.03.07 Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt. Gebruik van programmacode uit externe programmabibliotheken
AppO_U.04.01 De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO). Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in het FO vastgelegd
AppO_U.04.02 Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden. Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden
AppO_U.04.03 Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris.. Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd
AppO_U.04.04 Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode). Alle vereisten worden gevalideerd door peer review of prototyping
AppO_U.04.05 Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd. Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp
AppO_U.05.01 Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen. Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen
AppO_U.05.02 De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005
AppO_U.05.03 Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
  • beleidsregels, wet en regelgeving;
  • context- en kwetsbaarheidanalyse van de te ondersteunen bedrijfsprocessen;
  • afspraken met en afhankelijkheden van ketenpartijen.
Informatiebeveiligingseisen
AppO_U.05.04 Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
  • authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. eisen van gebruikers;
  • toegangsbeveiligingseisen;
  • eisen ten aanzien van beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen;
  • eisen afgeleid uit bedrijfsprocessen;
  • eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.
Overwogen informatiebeveiligingseisen
AppO_U.06.01 Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
  • gebruikerseisen, beveiligingseisen en kwaliteitseisen;
  • business vereisten, (o.a. nut, noodzaak en kosten);
  • eisen welke voortvloeien uit risico assessments, dreigingsanalyse en prioritering ervan, en technische beveiligingsreviews (en de prioritering daarvan);
  • eisen welke voortvloeien uit BIA en PIA (GEB) analyses.
Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie
AppO_U.06.02 Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
  • mogelijke invoerbronnen voor data en connecties met andere applicaties(componenten);
  • connecties tussen modules binnen applicatie en connecties met andere applicaties;
  • gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage;
  • uitvoer van informatie naar andere applicaties en beveiliging hiervan;
  • mogelijke transmissie van data tussen applicaties.
Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie
AppO_U.06.03 Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit. Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur
AppO_U.07.01 Bereikcontroles worden toegepast en gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd. Bereikcontroles worden toegepast en gegevens worden gevalideerd
AppO_U.07.02 Geprogrammeerde controles worden ondersteund. Geprogrammeerde controles worden ondersteund
AppO_U.07.03 Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. Het uitvoeren van onopzettelijke mutaties wordt tegengegaan
AppO_U.07.04 Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar. Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar
AppO_U.07.05 Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail). Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar
AppO_U.07.06 Opgeleverde/over te dragen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd. Opgeleverde en over te dragen gegevens worden gevalideerd
AppO_U.07.07 Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd) en op de verwerking en output van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (versterkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd) wordt uitgevoerd. Controle op juistheid volledigheid en tijdigheid van input en op verwerking en output van gegevens
AppO_U.07.08 Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd buiten de applicatie om (kunnen) worden benaderd. Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd
AppO_U.07.09 Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid. Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd
AppO_U.08.01 Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
  • dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd;
  • dat mechanismen worden gebruikt op basis waarvan zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).
Voor het bouwen van programmacode zijn gedocumenteerde standaarden en procedures beschikbaar
AppO_U.08.02 Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages. Veilige methodes ter voorkoming van veranderingen in basis code of in software packages
AppO_U.08.03 Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering). Voor het creëren van programma code wordt gebruik gemaakt van good practices
AppO_U.08.04 Het gebruik van onveilig programmatechnieken is niet toegestaan. Geen gebruik van onveilig programmatechnieken
AppO_U.08.05 Programmacode is beschermd tegen ongeautoriseerde wijzigingen. (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen
AppO_U.08.06 Activiteiten van applicatiebouw worden gereviewd. Activiteiten van applicatiebouw worden gereviewd
AppO_U.08.07 De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren
AppO_U.09.01 Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules). Functionarissen testen functionele requirements
AppO_U.09.02 De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek
AppO_U.10.01 Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd. Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt
AppO_U.10.02 Van de resultaten van de testen wordt een verslag gemaakt. Van de resultaten van de testen wordt een verslag gemaakt
AppO_U.10.03 Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. Testresultaten worden formeel geëvalueerd en beoordeeld
AppO_U.10.04 (Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving. Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving
AppO_U.10.05 Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand in productiename
AppO_U.10.06 Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens
AppO_U.10.07 Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
  • het testen van de functionele requirements.
  • het testen van de business rules voor de betrokken bedrijfsprocessen.
  • de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.
Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken
AppO_U.11.01 De volgende richtlijnen worden toegepast om operationele gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die voor testdoeleinden worden gebruikt te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
Toepassen van richtlijnen om operationele voor testdoeleinden te gebruiken gegevens te beschermen
AppO_U.12.01 Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
AppO_U.12.02 De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces. Logisch en/of fysiek gescheiden Ontwikkel - Test - Acceptatie en Productie omgevingen
AppO_U.12.03 De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen. De taken verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen
AppO_U.12.04 Voor remote werkzaamheden is een werkwijze vastgelegd. Voor remote werkzaamheden is een werkwijze vastgelegd
AppO_U.12.05 Ontwikkelaars hebben geen toegang tot de Productie-omgeving. Ontwikkelaars hebben geen toegang tot productieomgeving
AppO_U.12.06 T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures. Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen
AppO_U.12.07 De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats. De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats
AppO_U.12.08 De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats. De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats
AppO_U.12.09 De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. De overdracht naar de Productieomgeving vindt gecontroleerd plaats
AppO_U.13.01 Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen. Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen
AppO_U.13.02 Van het type koppelingen is een overzicht aanwezig. Van het type koppelingen is een overzicht aanwezig
AppO_U.13.03 Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten. Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten
AppO_U.13.04 De uitgevoerde koppelingen worden geregistreerd. De uitgevoerde koppelingen worden geregistreerd
AppO_U.14.01 Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd. Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden
AppO_U.14.02 InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd. Informatie ten aanzien van autorisatie(s) wordt vastgelegd
AppO_U.14.03 De loggegevens zijn beveiligd. De loggegevens zijn beveiligd
AppO_U.14.04 De locatie van de vastlegging van de loggegevens is vastgesteld. De locatie van de vastlegging van de loggegevens is vastgesteld
AppO_U.14.05 De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden
AppO_U.14.06 De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd
AppO_U.15.01 De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld
AppO_U.15.02 Het architectuurdocument wordt actief onderhouden. Het architectuur document wordt actief onderhouden
AppO_U.15.03 De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast. De voorschriften, methoden en technieken ten aanzien van applicatie architectuur worden toegepast
AppO_U.15.04 Tussen in- en uitstroom van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten
AppO_U.15.05 Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten). Onderliggende infrastructuurcomponenten zijn beveiligd o.b.v. security baselines
AppO_U.15.06 De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is inzichtelijk. De relatie tussen de persoonsgegevens is inzichtelijk
AppO_U.16.01 Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages. Het tool ondersteunt alle fasen van het ontwikkelproces
AppO_U.16.02 Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden
AppO_U.16.03 Het tool beschikt over faciliteiten voor versie- en releasebeheer. Het tool beschikt over faciliteiten voor versie- en releasebeheer
AppO_U.16.04 Het tool beschikt over faciliteiten voor:
  • het registreren van eisen en wensen;
  • het afhandelen van fouten;
  • het beveiligen van registraties (programmacode);
  • het continu integreren van componenten;
  • het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.
Faciliteiten van het tool
AppO_U.16.05 Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen
CommVZ_B.01.1 Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
CommVZ_B.01.2 Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie. Beleid of richtlijnen omschrijven het toepassen van cryptografie
CommVZ_B.01.3 Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden. Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
CommVZ_B.01.4 Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging. Procedures beschrijven het beveiligen van informatie
CommVZ_B.01.5 Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1). Procedures beschrijven het opsporen van en beschermen tegen malware
CommVZ_B.01.6 Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
CommVZ_B.01.7 E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. E-mail berichten worden conform vastgelegde procedures en richtlijnen doorgestuurd
CommVZ_B.02.1 Overeenkomsten over informatietransport bevatten o.a. de volgende elementen:
  1. directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
  2. procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.;
  3. speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
  4. het handhaven van een bewakingsketen voor informatie tijdens verzending;
  5. acceptabele niveaus van toegangsbeveiliging.
Elementen in overeenkomsten over informatietransport
CommVZ_B.02.2 In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn. In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
CommVZ_B.03.1 In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  1. wanneer cryptografie ingezet wordt;
  2. wie verantwoordelijk is voor de implementatie van cryptografie;
  3. wie verantwoordelijk is voor het sleutelbeheer;
  4. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
  5. de wijze waarop het beschermingsniveau wordt vastgesteld;
  6. het onderling vaststellen van het beleid bij inter-organisatie communicatie.
In het cryptografiebeleid uitgewerkte onderwerpen
CommVZ_B.03.2 Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
  1. welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moet voor welke communicatievorm worden versleuteld;
  2. welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd elektronisch worden ondertekend;
  3. aan welke standaarden de cryptografische toepassingen dienen te voldoen;
  4. in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.
Aanvullende onderdelen in het cryptografiebeleid
CommVZ_B.04.1 In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement). In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
CommVZ_B.04.2 De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie. De beheer(sing)processen hebben een formele positie binnen de gehele organisatie
CommVZ_B.04.3 De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. Taken en verantwoordelijkheden van verantwoordelijke functionarissen zijn duidelijk gedefinieerd
CommVZ_C.01.1 De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd op basis van een audit van tenminste de volgende elementen:
  • netwerk topologie / ontwerp, op basis van principes als “defence in depth”en “inbraak betekent geen doorbraak”;
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mechanismen;
  • autorisatiemechanismen en actuele administratie van uitgegeven rechten;
  • actuele beleidsregels voor netwerkbeveiliging;
  • aanwijzingen voor hardening van netwerkcomponenten;
  • verifieerbare auditlog oplossing.
De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
CommVZ_C.02.1 Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van normen en risico’s
CommVZ_C.02.2 De checklist voor veilige inrichting van netwerk(diensten) is samengesteld vanuit:
  • actueel beveiligingsbeleid;
  • gerelateerde Security Operation documentatie;
  • specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten);
  • beleid voor toegang tot Security gateway services;
  • bedrijfscontinuïteitsplannen;
  • relevante beveiligingscondities voor netwerkverbindingen.
Checklist voor veilige inrichting van netwerk(diensten)
CommVZ_C.02.3 Resultaten worden gerapporteerd aan het verantwoordelijke management. Resultaten worden gerapporteerd aan het verantwoordelijke management
CommVZ_C.03.1 De teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat tenminste de volgende onderzoekselementen:
  • robuustheid van het ontwerp, op basis van principes als “defence in depth” en “inbraak betekent geen doorbraak”;
  • sterkte van IAA mechanismen en de relevantie van uitgegeven rechten;
  • juiste implementatie van beleidsregels voor netwerkbeveiliging;
  • verificatie van de hardening van netwerkcomponenten;
  • verificatie van de auditlog oplossing;
  • bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen;
  • informatie over gebeurtenissen en incidenten, gerapporteerd door service personeel en eindgebruikers.
De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
CommVZ_C.04.1 Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
  • via auditlogging en continue monitoring en gekoppeld aan detectie registreren van gebeurtenissen;
  • onderzoek uit te voeren én vervolgens
  • snel te reageren.
Zeer belangrijke onderdelen van netwerkbeveiliging
CommVZ_C.04.2 Continue bewaking via monitoring legt de volgende informatie vast:
  • audit logs vanuit de netwerkcomponenten firewalls, router, servers etc;
  • analyse-informatie vanuit Intrusion Detection Systemen (IDS);
  • resultaten vanuit netwerkscanning activiteiten.
Continue bewaking via monitoring
CommVZ_C.05.1 De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. De communicatievoorzieningen worden geïdentificeerd en gedefinieerd
CommVZ_C.05.2 Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht:
  • de entiteit, die verantwoordelijk is voor de communicatievoorzieningen worden bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend;
  • de rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd;
  • de netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken;
  • de coördinatie en overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.
Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie
CommVZ_U.01.1 De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
  1. identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de middelen (assets);
  2. inventarisatie van de functionele eisen;
  3. beoordeling van de functionele eisen in de context van het beoogd gebruik;
  4. evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
  5. evaluatie van bestaande ontwerpen en implementaties.
Stappen ter voorbereiding van veilige netwerkontwerpen
CommVZ_U.01.2 Leidende ontwerpprincipes, zoals "defence in depth", worden gehanteerd of anders geformuleerd: "inbraak betekent geen doorbraak". Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak”
CommVZ_U.01.3 Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van netwerken, zoals door het toepassen van redundancy, backup van configuratiegegevens en snel beschikbare reservedelen. Netwerkbeveiliging is gebaseerd op ITU-T X.80x
CommVZ_U.01.4 Netwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C). Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten
CommVZ_U.01.5 Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat
CommVZ_U.01.6 De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033, hoofdstuk 8. Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden
CommVZ_U.02.1 Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een registratie blijkt hoe de rechten zijn toegekend. Risicoafweging voorafgaand aan het verlenen van toegang tot het netwerk aan externe leveranciers
CommVZ_U.02.2 Als vanuit een niet-vertrouwde zones toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone
CommVZ_U.02.3 Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden, waarvoor expliciete inlogmechanismen worden toegepast zijn:
  1. remote LogIn, voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken;
  2. versterkte authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., voor toepassingen waarbij de ‘standaard’ authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van gebruikers (en applicaties) kan worden gecompromitteerd;
  3. Single SignOn (SSO), voor situaties, waarbij netwerken worden geacht authenticatiechecks uit te voeren voor verschillende toepassingen.
Toegang tot netwerken is beperkt tot geautoriseerde gebruikers
CommVZ_U.03.1 Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld
CommVZ_U.03.2 Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen
CommVZ_U.03.3 Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatie verwerkende infrastructuur worden toegepast. Beheeractiviteiten worden nauwgezet gecoördineerd
CommVZ_U.03.4 Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van -toepassingen zijn voor het beperken van de toegang procedures opgesteld. Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld
CommVZ_U.03.5 De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden. De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden
CommVZ_U.03.6 Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd
CommVZ_U.04.1 Ten aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten, worden de volgende elementen in overweging genomen:
  1. de looptijd van een overeenkomst;
  2. de benodigde acties bij beëindiging;
  3. de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie;
  4. hoe eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming;
  5. het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
  6. de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging;
  7. de acties in geval van schending van de overeenkomst;
  8. de privacyregelgeving (UAVG en AVG/GDPR).
Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten
CommVZ_U.05.1 Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen. Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen
CommVZ_U.05.2 Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, gedeeld binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid
CommVZ_U.05.3 Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor het NBV een positief inzet advies heeft afgegeven. Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen
CommVZ_U.05.4 Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
  • vereiste performance en beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van het netwerk;
  • toegestane verbindingstypen;
  • toegestane netwerkprotocollen;
  • toegepaste applicaties op de te leveren netwerkservices;
  • beoogde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.- en ontwerpprincipes.
Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd
CommVZ_U.05.5 De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst
CommVZ_U.05.6 Beveiligingsmechanismen voor communicatie worden voorzien op de volgende OSI lagen:
  • applicatie niveau; ten behoeve van authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: Encryptie;
  • transport niveau; ten behoeve van veilige point to point verbindingen: Encryptie;
  • netwerk niveau; ten behoeve van veilige communicatie tussen devices, encryptie, firewalls en netwerk verbindingen: VPN.
Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen
CommVZ_U.06.01 Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico's voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau
CommVZ_U.06.02 Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding
CommVZ_U.06.03 Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door middel van een gateway (bijv. een firewall, een filterende router). Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst
CommVZ_U.06.04 Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding en wordt beveiligd op basis van eisen geldend voor externe verbindingen. Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding
… overige resultaten
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen