Beveiligingsaspect Beleid
Uit NORA Online
Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Normen) binnen het Beveiligingsaspect Beleid weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool
Deze hoofdletter vind je ook terug in het ID van deze objecten.
Uitleg Beveiligingsaspecten
ISOR onderscheidt drie verschillende beveiligingsaspecten:
- → Beleid
- → Uitvoering
- → Control
Benamingen en uitleg binnen SIVA-methode
De SIVA-methode beschrijft dat de structuur is opgebouwd uit een aantal lagen waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichting- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur SIVA lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:
beleid
Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.. Met behulp van de karakterisering van het auditobject en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:
- Welke processen zouden moeten zijn ingericht?
- Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
- Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?
uitvoering
Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:
- Welke webapplicatie-componenten spelen een rol?
- Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
- Hoe moeten de features van de objecten zijn geconfigureerd?
- Welke gedrag moeten de betrokken objecten en actoren vertonen?
- Welke functies dienen te zijn geleverd?
- Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
- Hoe moeten objecten zijn samengesteld en vormgegeven?
control
Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:
- Welke beheerprocessen zouden moeten zijn ingericht?
- Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
- Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
- Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?
Deeloverzichten binnen Beveiligingsaspect Beleid
Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect:
Alle Principes binnen Beveiligingsaspect Beleid
| ID | Principe | Criterium |
|---|---|---|
| AppO_B.01 | Beleid voor (beveiligd) ontwikkelen | Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. |
| AppO_B.02 | Systeem ontwikkelmethode | Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd. |
| AppO_B.03 | Classificatie van Informatie | InformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. |
| AppO_B.04 | Engineeringprincipes beveiligde systemen | Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. |
| AppO_B.05 | Business Impact Analyse | De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie. |
| AppO_B.06 | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. |
| AppO_B.07 | Kwaliteitsmanagement systeem (KMS) | De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst. |
| AppO_B.08 | Toegangsbeveiliging op programmacode | Toegang tot de programmacode en broncode bibliotheken behoort te worden beperkt. |
| AppO_B.09 | Projectorganisatie | Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap. |
| Cloud_B.01 | Wet- en regelgeving | Alle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. |
| Cloud_B.02 | Cloudbeveiligingsstrategie | De CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt. |
| Cloud_B.03 | Exit-strategie | In de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit). |
| Cloud_B.04 | Clouddienstenbeleid | De CSP behoort haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren. |
| Cloud_B.05 | Transparantie | De CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd. |
| Cloud_B.06 | Risicomanagement | De CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden. |
| Cloud_B.07 | IT-functionaliteiten | IT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC. |
| Cloud_B.08 | Bedrijfscontinuïteitsmanagement | De CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra. |
| Cloud_B.09 | Data en privacy | De CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie. |
| Cloud_B.10 | Beveiligingsorganisatie | De CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld. |
| CommVZ_B.01 | Beleid en procedures informatietransport | Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. |
| … overige resultaten | ||
Alle onderliggende Normen binnen Beveiligingsaspect Beleid
| ID | Norm | Stelling |
|---|---|---|
| AppO_B.01.01 | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen. |
| AppO_B.01.02 | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling | De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. |
| AppO_B.01.03 | Overwegingen bij het beleid voor beveiligd ontwikkelen van software | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
|
| AppO_B.01.04 | Technieken voor beveiligd programmeren | Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen. |
| AppO_B.02.01 | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling). |
| AppO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. |
| AppO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord | Adoptie van ontwikkelmethodologie wordt gemonitord. |
| AppO_B.02.04 | Software wordt ontwikkelen conform standaarden en procedures | Standaarden en procedures worden toegepast voor:
|
| AppO_B.02.05 | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
|
| AppO_B.02.06 | Het softwareontwikkeling wordt projectmatig aangepakt | Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
|
| AppO_B.03.01 | Dataclassificatie' als uitgangspunt voor softwareontwikkeling | De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen. |
| AppO_B.03.02 | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd | In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. |
| AppO_B.03.03 | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. |
| AppO_B.03.04 | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements. |
| AppO_B.04.01 | Security by Design als uitgangspunt voor softwareontwikkeling | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. |
| AppO_B.04.02 | Principes voor het beveiligen van informatiesystemen | Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
|
| AppO_B.04.03 | Beveiliging is integraal onderdeel van systeemontwikkeling | Beveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld. |
| AppO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. |
| AppO_B.05.01 | Perspectieven bij de Business Impact Analyse | Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
|
| AppO_B.05.02 | Scenario's voor de Business Impact Analyse | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
|
| … overige resultaten | ||
