Beveiligingsaspect Beleid

Uit NORA Online
Ga naar: navigatie, zoeken
Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Normen) binnen het Beveiligingsaspect Beleid weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool
Paars vierkant kader met daarin in wit de eerste letter van Beveiligingsaspect Beleid

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Inhoud


Uitleg Beveiligingsaspecten

Beveiligingsaspect BeleidBeveiligingsaspect UitvoeringBeveiligingsaspect ControlAlle beveiligingsaspectenDrie paarse rechthoeken met in wit de teksten Beleid, Uitvoering en Control, met daarnaast een kleiner paars vierkant met de eerste letter van deze drie beveiligingsaspecten.

ISOR onderscheidt drie verschillende beveiligingsaspecten:

Beleid
Uitvoering
Control


Benamingen en uitleg binnen SIVA-methode

De SIVA-methode beschrijft dat de structuur is opgebouwd uit een aantal lagen en waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichting- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur SIVA lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

SIVA lagenstructuur en kenmerken.

beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.. Met behulp van de karakterisering van het auditobject (webapplicatie) en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

  • Welke processen zouden moeten zijn ingericht?
  • Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
  • Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

  • Welke webapplicatie-componenten spelen een rol?
  • Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
  • Hoe moeten de features van de objecten zijn geconfigureerd?
  • Welke gedrag moeten de betrokken objecten en actoren vertonen?
  • Welke functies dienen te zijn geleverd?
  • Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
  • Hoe moeten objecten zijn samengesteld en vormgegeven?

control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

  • Welke beheerprocessen zouden moeten zijn ingericht?
  • Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
  • Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
  • Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Beleid

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect:

Overzichtspagina Control Normenkader
BIO Thema Applicatieontwikkeling Control BIO Thema Applicatieontwikkeling
BIO Thema Communicatievoorzieningen Control BIO Thema Communicatievoorzieningen
BIO Thema Huisvesting Informatievoorziening Control BIO Thema Huisvesting Informatievoorziening
BIO Thema Serverplatform Control BIO Thema Serverplatform
BIO Thema Toegangsbeveiliging Control BIO Thema Toegangsbeveiliging
Privacy Control

Alle Principes binnen Beveiligingsaspect Beleid

ID Principe Criterium
AppO_B.01 Beleid voor (beveiligd) ontwikkelen Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
AppO_B.02 Systeem ontwikkelmethode Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.
AppO_B.03 Classificatie van Informatie InformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
AppO_B.04 Engineeringprincipes beveiligde systemen Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
AppO_B.05 Business Impact Analyse De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.
AppO_B.06 Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse) Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
AppO_B.07 Kwaliteitsmanagement systeem De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
AppO_B.08 Toegangsbeveiliging op programmacode Toegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.
AppO_B.09 Projectorganisatie Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.
CommVZ_B.01 Beleid en procedures informatietransport Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02 Overeenkomsten over informatietransport Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03 Cryptografiebeleid voor communicatie Ter bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04 Organisatiestructuur van netwerkbeheer In beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.
Huisv_B.01 Huisvestingsbeleid Ten behoeve van Huisvestingsbeleid moet een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
Huisv_B.02 Wet en regelgeving Alle relevante wettelijke statutaire eisen en regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen moeten voor elk Huisvestingsdiensten expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03 Eigenaarschap Bedrijfsmiddelen m.b.t Huisvesting-IV die in het inventarisoverzicht te worden bijgehouden moeten een eigenaar te hebben.
Huisv_B.04 Certificering De Huisvesting-IV van de leverancier, behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05 Contractmanagement Huisvestingsvoorzieningen die worden verworven voldoen aan kwalitatieve en kwantitatieve eisen, die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06 Service Levelmanagement Het Management van Huisvesting-IV behoort diensten te leveren conform Service Level Agreements (SLA).
Huisv_B.07 Interne en Externe bedreigingen Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.
… overige resultaten

Alle onderliggende Normen binnen Beveiligingsaspect Beleid

ID Norm Stelling
AppO_B.01.01 De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.
AppO_B.01.02 Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.
AppO_B.01.03 Overwegingen bij het beleid voor beveiligd ontwikkelen van software In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
AppO_B.01.04 Technieken voor beveiligd programmeren Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.
AppO_B.02.01 Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).
AppO_B.02.02 Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.
AppO_B.02.03 Adoptie van ontwikkelmethodologie wordt gemonitord Adoptie van ontwikkelmethodologie wordt gemonitord.
AppO_B.02.04 Software wordt ontwikkelen conform standaarden en procedures Standaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
AppO_B.02.05 De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
AppO_B.02.06 Het softwareontwikkeling wordt projectmatig aangepakt Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
AppO_B.03.01 Dataclassificatie' als uitgangspunt voor softwareontwikkeling De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.
AppO_B.03.02 Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.
AppO_B.03.03 Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.
AppO_B.03.04 Verplichtingen uit wet en regelgeving en organisatorische en technische requirements In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.
AppO_B.04.01 Security by Design als uitgangspunt voor softwareontwikkeling De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.
AppO_B.04.02 Principes voor het beveiligen van informatiesystemen Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
AppO_B.04.03 Beveiliging is integraal onderdeel van systeemontwikkeling Beveiliging wordt als een integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van system ontwikkeling behandeld.
AppO_B.04.04 Ontwikkelaars zijn getraind om veilige software te ontwikkelen Ontwikkelaars zijn getraind om veilige software te ontwikkelen.
AppO_B.05.01 Perspectieven bij de Business Impact Analyse Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
AppO_B.05.02 Scenario's voor de Business Impact Analyse De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
… overige resultaten
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen