Beveiligingsaspect Beleid

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Normen) binnen het Beveiligingsaspect Beleid weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Inhoud

1 Uitleg Beveiligingsaspecten
2 Deeloverzichten binnen Beveiligingsaspect Beleid
3 Alle Principes binnen Beveiligingsaspect Beleid
4 Alle onderliggende Normen binnen Beveiligingsaspect Beleid

Uitleg Beveiligingsaspecten

ISOR onderscheidt drie verschillende beveiligingsaspecten:

→ Beleid

→ Uitvoering

→ Control

Benamingen en uitleg binnen SIVA-methode

De SIVA-methode beschrijft dat de structuur is opgebouwd uit een aantal lagen waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichting- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur SIVA lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.. Met behulp van de karakterisering van het auditobject en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

Welke processen zouden moeten zijn ingericht?
Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

Welke webapplicatie-componenten spelen een rol?
Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
Hoe moeten de features van de objecten zijn geconfigureerd?
Welke gedrag moeten de betrokken objecten en actoren vertonen?
Welke functies dienen te zijn geleverd?
Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
Hoe moeten objecten zijn samengesteld en vormgegeven?

control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

Welke beheerprocessen zouden moeten zijn ingericht?
Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Beleid

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect:

Overzichtspagina Control	Normenkader
Applicatieontwikkeling Control	BIO Thema Applicatieontwikkeling
Clouddiensten Control	BIO Thema Clouddiensten
Communicatievoorzieningen Control	BIO Thema Communicatievoorzieningen
Huisvesting Informatievoorziening - het control-domein	BIO Thema Huisvesting Informatievoorziening
Middleware Controldomein	BIO Thema Middleware
Privacy Control: het control- of beheerdomein	De Privacy Baseline
Serverplatform Control	BIO Thema Serverplatform
Toegangsbeveiliging - het control-domein	BIO Thema Toegangsbeveiliging

Alle Principes binnen Beveiligingsaspect Beleid

ID	Principe	Criterium
AppO_B.01	Beleid voor (beveiligd) ontwikkelen	Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
AppO_B.02	Systeem ontwikkelmethode	Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.
AppO_B.03	Classificatie van Informatie	InformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
AppO_B.04	Engineeringprincipes beveiligde systemen	Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
AppO_B.05	Business Impact Analyse	De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.
AppO_B.06	Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)	Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
AppO_B.07	Kwaliteitsmanagement systeem (KMS)	De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.
AppO_B.08	Toegangsbeveiliging op programmacode	Toegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.
AppO_B.09	Projectorganisatie	Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.
Cloud_B.01	Wet- en regelgeving	Alle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Cloud_B.02	Cloudbeveiligingsstrategie	De CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
Cloud_B.03	Exit-strategie	In de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).
Cloud_B.04	Clouddienstenbeleid	De CSP behoort haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.
Cloud_B.05	Transparantie	De CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
Cloud_B.06	Risicomanagement	De CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.
Cloud_B.07	IT-functionaliteiten	IT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC.
Cloud_B.08	Bedrijfscontinuïteitsmanagement	De CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
Cloud_B.09	Data en privacy	De CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
Cloud_B.10	Beveiligingsorganisatie Clouddiensten	De CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
CommVZ_B.01	Beleid en procedures informatietransport	Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
… overige resultaten

Alle onderliggende Normen binnen Beveiligingsaspect Beleid

ID	Norm	Stelling
AppO_B.01.01	De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling	De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.
AppO_B.01.02	Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling	De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.
AppO_B.01.03	Overwegingen bij het beleid voor beveiligd ontwikkelen van software	In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen: beveiliging van de ontwikkelomgeving; richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling; beveiliging in de softwareontwikkelmethodologie; beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt; beveiligingseisen in de ontwikkelfase; beveiligingscontrolepunten binnen de mijlpalen van het project; beveiliging van de versiecontrole; vereiste kennis over toepassingsbeveiliging; het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
AppO_B.01.04	Technieken voor beveiligd programmeren	Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.
AppO_B.02.01	Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie	Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).
AppO_B.02.02	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.
AppO_B.02.03	Adoptie van ontwikkelmethodologie wordt gemonitord	Adoptie van ontwikkelmethodologie wordt gemonitord.
AppO_B.02.04	Software wordt ontwikkelen conform standaarden en procedures	Standaarden en procedures worden toegepast voor: het specificeren van requirements; het ontwikkelen, bouwen en testen; de overdracht van ontwikkelde applicatie naar de productie omgeving; de training van software ontwikkelaars.
AppO_B.02.05	De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten	De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan: de eisen uit wet en regelgeving incl. privacy; de contactuele eisen; het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. van de organisatie; de specifieke beveiligingseisen vanuit business; het classificatiemodel van de organisatie.
AppO_B.02.06	Het softwareontwikkeling wordt projectmatig aangepakt	Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan: het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie; het gebruik van een classificatiemodel; het toepassen van assessment voor BIVC; het creëren van een risico register; het creëren van projectmanagement office file; het registreren van belangrijke details in een business applicatie register.
AppO_B.03.01	Dataclassificatie' als uitgangspunt voor softwareontwikkeling	De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.
AppO_B.03.02	Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd	In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.
AppO_B.03.03	Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema	Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.
AppO_B.03.04	Verplichtingen uit wet en regelgeving en organisatorische en technische requirements	In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.
AppO_B.04.01	Security by Design als uitgangspunt voor softwareontwikkeling	De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.
AppO_B.04.02	Principes voor het beveiligen van informatiesystemen	Voor het beveiligen van informatiesystemen zijn de volgende principe van belang: defense in depth (beveiliging op verschillende lagen); secure by default; default deny; fail secure; wantrouwen van input van externe applicaties; secure in deployment; en bruikbaarheid en beheersbaarheid.
AppO_B.04.03	Beveiliging is integraal onderdeel van systeemontwikkeling	Beveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld.
AppO_B.04.04	Ontwikkelaars zijn getraind om veilige software te ontwikkelen	Ontwikkelaars zijn getraind om veilige software te ontwikkelen.
AppO_B.05.01	Perspectieven bij de Business Impact Analyse	Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen: de relevante stakeholders (business owners en business- en IT specialisten); de scope van het risk assessment; het profiel van de ‘doelomgeving’; de aanvaardbaarheid van risico’s in de doelomgeving
AppO_B.05.02	Scenario's voor de Business Impact Analyse	De business impact analyse richt zich op verschillende scenario’s met aandacht voor: de hoeveelheid mensen die nadelig beïnvloed worden; de hoeveelheid systemen die out-of-running kan raken; een realistische analyse en een analyse van worst-case situaties.
… overige resultaten