Beveiligingsaspect Beleid
Uit NORA Online
Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Normen) binnen het Beveiligingsaspect Beleid weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool
Deze hoofdletter vind je ook terug in het ID van deze objecten.
Uitleg Beveiligingsaspecten
ISOR onderscheidt drie verschillende beveiligingsaspecten:
- → Beleid
- → Uitvoering
- → Control
Benamingen en uitleg binnen SIVA-methode
De SIVA-methode beschrijft dat de structuur is opgebouwd uit een aantal lagen en waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichting- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur SIVA lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:
beleid
Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.. Met behulp van de karakterisering van het auditobject (webapplicatie) en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:
- Welke processen zouden moeten zijn ingericht?
- Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
- Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?
uitvoering
Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:
- Welke webapplicatie-componenten spelen een rol?
- Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
- Hoe moeten de features van de objecten zijn geconfigureerd?
- Welke gedrag moeten de betrokken objecten en actoren vertonen?
- Welke functies dienen te zijn geleverd?
- Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
- Hoe moeten objecten zijn samengesteld en vormgegeven?
control
Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:
- Welke beheerprocessen zouden moeten zijn ingericht?
- Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
- Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
- Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?
Deeloverzichten binnen Beveiligingsaspect Beleid
Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect:
| Overzichtspagina Control | Normenkader |
|---|---|
| Applicatieontwikkeling Control | |
| Communicatievoorzieningen Control | |
| Huisvesting Controldomein | |
| Privacy Control | |
| Serverplatform Control | |
| Toegangbeveiliging Controldomein |
Alle Principes binnen Beveiligingsaspect Beleid
| ID | Principe | Criterium |
|---|---|---|
| AppO_B.01 | Beleid voor (beveiligd) ontwikkelen | Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. |
| AppO_B.02 | Systeem ontwikkelmethode | Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd. |
| AppO_B.03 | Classificatie van Informatie | InformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. |
| AppO_B.04 | Engineeringprincipes beveiligde systemen | Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. |
| AppO_B.05 | Business Impact Analyse | De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie. |
| AppO_B.06 | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. |
| AppO_B.07 | Kwaliteitsmanagement systeem | De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.. |
| AppO_B.08 | Toegangsbeveiliging op programmacode | Toegang tot de programmacode en broncode bibliotheken behoort te worden beperkt. |
| AppO_B.09 | Projectorganisatie | Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap. |
| CommVZ_B.01 | Beleid en procedures informatietransport | Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. |
| CommVZ_B.02 | Overeenkomsten over informatietransport | Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. |
| CommVZ_B.03 | Cryptografiebeleid voor communicatie | Ter bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd. |
| CommVZ_B.04 | Organisatiestructuur van netwerkbeheer | In beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan. |
| Huisv_B.01 | Huisvesting informatievoorziening Beleid | De directie behoort ten behoeve van Huisvesting Informatievoorziening beleid een reeks beleidsregels te definiëren, goed te keuren, te publiceren en te communiceren aan medewerkers en relevante externe partijen. |
| Huisv_B.02 | Wet en regelgeving | Voor elke Huisvestingsdienst behoren alle relevante wettelijke statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. |
| Huisv_B.03 | Eigenaarschap | Huisvesting Informatievoorziening bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben. |
| Huisv_B.04 | Certificering | De Huisvesting Informatievoorziening van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden. |
| Huisv_B.05 | Contractmanagement | Huisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers. |
| Huisv_B.06 | Service Levelmanagement | Het management van Huisvesting Informatievoorziening behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreements of SLA). |
| Huisv_B.07 | Interne en Externe bedreigingen | Fysieke bescherming behoort te worden ontworpen en toegepast tegen natuurrampen, ongelukken en kwaadwillige aanvallen. |
| … overige resultaten | ||
Alle onderliggende Normen binnen Beveiligingsaspect Beleid
| ID | Norm | Stelling |
|---|---|---|
| AppO_B.01.01 | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen. |
| AppO_B.01.02 | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling | De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. |
| AppO_B.01.03 | Overwegingen bij het beleid voor beveiligd ontwikkelen van software | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
|
| AppO_B.01.04 | Technieken voor beveiligd programmeren | Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen. |
| AppO_B.02.01 | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling). |
| AppO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. |
| AppO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord | Adoptie van ontwikkelmethodologie wordt gemonitord. |
| AppO_B.02.04 | Software wordt ontwikkelen conform standaarden en procedures | Standaarden en procedures worden toegepast voor:
|
| AppO_B.02.05 | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
|
| AppO_B.02.06 | Het softwareontwikkeling wordt projectmatig aangepakt | Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
|
| AppO_B.03.01 | Dataclassificatie' als uitgangspunt voor softwareontwikkeling | De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen. |
| AppO_B.03.02 | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd | In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. |
| AppO_B.03.03 | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. |
| AppO_B.03.04 | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements. |
| AppO_B.04.01 | Security by Design als uitgangspunt voor softwareontwikkeling | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. |
| AppO_B.04.02 | Principes voor het beveiligen van informatiesystemen | Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
|
| AppO_B.04.03 | Beveiliging is integraal onderdeel van systeemontwikkeling | Beveiliging wordt als een integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van system ontwikkeling behandeld. |
| AppO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. |
| AppO_B.05.01 | Perspectieven bij de Business Impact Analyse | Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
|
| AppO_B.05.02 | Scenario's voor de Business Impact Analyse | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
|
| … overige resultaten | ||
