BIO Thema Applicatieontwikkeling - Beveiligingsobjecten applicatieontwikkeling

• BIO Thema Applicatieontwikkeling - Inleiding
• BIO Thema Applicatieontwikkeling - Beveiligingsobjecten applicatieontwikkeling
• BIO Thema Applicatieontwikkeling - Invalshoeken gekoppeld aan het V-model
• BIO Thema Applicatieontwikkeling - Objecten ingedeeld naar invalshoeken

Beveiligingsobjecten applicatieontwikkeling

Bij de vaststelling van de objecten die een rol spelen bij applicatieontwikkeling zijn de verschillende ontwikkelfasen als referentiekader gebruikt. Aan de hand van drie onderzoeksvragen die vanuit de optiek van de BIVC-criteria (Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid) gesteld zijn, zijn de objecten afgeleid en ingedeeld in het beleids-, uitvoerings- en control-domein.

De vragen die hierbij een rol spelen, zijn:

1. Welke elementen spelen vanuit de optiek van BIVC een rol bij de conditionering en sturing op applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?
2. Welke elementen spelen vanuit de optiek van BIVC een rol bij de uitvoering van applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?
3. Welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan?

Organisatie van applicatieontwikkelingsobjecten

Zoals in Ontwikkelcyclus van applicatieontwikkelingis aangegeven, worden de geïdentificeerde applicatieontwikkelingsobjecten met het beleids-, uitvoerings- en control-domein georganiseerd. Hiermee worden deze aspecten in de juiste context gepositioneerd. De betekenis die aan elk domein wordt toegekend, is:

• Beleid, Binnen dit domein bevinden zich conditionele elementen voor applicatieontwikkeling. Hier zijn eisen opgenomen over ‘geboden’ en ‘verboden’, zoals het applicatiebeveiligingsbeleid, de te hanteren wet- en regelgeving en andere vormen van reguleringen en beperkingen.
• Uitvoering, Binnen dit domein bevinden zich:
  • elementen die gerelateerd zijn aan operationele activiteiten over het ontwikkelen van applicaties;
  • elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn;
  • elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen.
• Control, Binnen dit domein bevinden zich elementen die zorgdragen voor de beheersing van het ontwikkelproces.

Observatie bij objectidentificatie

In de BIO2 en de ISO 27002 zijn weinig controls te vinden die direct gerelateerd zijn aan de ontwikkelfasen: analyseren, specificeren, ontwerpen en ontwikkelen. Bij de ISO-norm is niet uitgegaan van de ontwikkelfasen van systeemontwikkeling. Wel bevat de ISO 27002 beveiligingscontrols en bijbehorende maatregelen die indirect te maken hebben met de ontwikkelfasen.

Objecten geprojecteerd op domein en gesorteerd naar invalshoek

De pagina Objecten ingedeeld naar invalshoeken geeft een overzicht van de applicatieontwikkelingsobjecten die in het Beleidsdomein, Uitvoeringsdomein en Control-domein zijn uitgewerkt. Met behulp van diverse baselines is een lijst van relevante objecten samengesteld. Daarnaast zijn nog enkele extra objecten als relevant voor dit thema toegevoegd.

Deze ‘baseline-benadering’ zorgt ervoor dat deze thema-uitwerking niet exclusief is voor de lineaire ontwikkelmethode, maar ook gehanteerd kan worden in de onderhoudsfase en bij agile ontwikkelmethoden.

Uit de inhoudelijke bestudering van de objecten vanuit de baseline-gebaseerde benadering komt naar voren dat er doublures in de objecten zijn. Met andere woorden het aantreffen van twee verschillende objecten die dezelfde inhoud kennen. Sommige objecten zijn vooralsnog bewust achterwege gelaten vanwege het geringe belang van deze objecten in relatie tot de totale scope.