Beveiligingsaspect Control

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Alle Normen) binnen het Beveiligingsaspect Control weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het onderstaande symbool.

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Uitleg Beveiligingsaspectenbewerken

De Information Security Object Repository (ISOR) onderscheidt drie verschillende beveiligingsaspecten:

Benamingen en uitleg binnen de SIVA-methodiek

De SIVA-methodiek beschrijft dat de structuur is opgebouwd uit een aantal lagen waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichtings- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. De afbeelding SIVA-lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

Beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuur. Met behulp van de karakterisering van het auditobject en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

Welke processen zouden moeten zijn ingericht?
Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

Uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

Welke webapplicatie-componenten spelen een rol?
Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
Hoe moeten de features van de objecten zijn geconfigureerd?
Welke gedrag moeten de betrokken objecten en actoren vertonen?
Welke functies dienen te zijn geleverd?
Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
Hoe moeten objecten zijn samengesteld en vormgegeven?

Control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

Welke beheerprocessen zouden moeten zijn ingericht?
Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Controlbewerken

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect. In onderstaande tabel is dit weergegeven.

Overzichtspagina Control	Normenkader
Applicatieontwikkeling Control	BIO Thema-uitwerking Applicatieontwikkeling
Clouddiensten Control	BIO Thema-uitwerking Clouddiensten
Communicatievoorzieningen Control	BIO Thema-uitwerking Communicatievoorzieningen
Huisvesting Informatievoorzieningen Control	BIO Thema-uitwerking Huisvesting Informatievoorzieningen
Middleware Control	BIO Thema-uitwerking Middleware
Privacy Control: het control- of beheerdomein	De Privacy Baseline
Serverplatform Control	BIO Thema-uitwerking Serverplatform
Softwarepakketten Control	BIO Thema-uitwerking Softwarepakketten
Toegangsbeveiliging Control	BIO Thema-uitwerking Toegangsbeveiliging

Alle Principes binnen Beveiligingsaspect Controlbewerken

ID	Principe	Criterium	Onderliggende normen
APO_C.01	Richtlijn evaluatie-ontwikkelactiviteiten	De projectorganisatie behoort richtlijnen voor de controle-activiteiten en rapportages te hebben geformuleerd, gericht op de evaluaties van ontwikkelactiviteiten, zoals requirements, specificaties en programmacode.	Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen De Quality Assurance methodiek wordt conform de richtlijnen nageleefd Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen
APO_C.02	Versiebeheer applicatieontwikkkeling	De projectorganisatie behoort in het systeem-ontwikkeltraject versiebeheer procesmatig en efficiënt ingericht te hebben.	Ondersteuning vanuit het toegepaste versiebeheertool Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris Versiemanagement wordt ondersteund met procedures en werkinstructies
APO_C.03	Patchmanagement	Patchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.	Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd Het beheer van technische kwetsbaarheden in code uit externe bibliotheken Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
APO_C.04	(Software)configuratiebeheer	De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.	De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel Software configuratiescomponenten worden conform procedures vastgelegd Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB
APO_C.05	Quality assurance	De projectorganisatie behoort een quality assurance-proces te hebben ingericht, waarmee zij de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling kan vaststellen.	De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd Het compliance management proces is gedocumenteerd en vastgesteld Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
APO_C.06	Compliance-management	De projectorganisatie behoort een compliance-managementproces ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.	De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
APO_C.07	Technische beoordeling informatiesystemen	Verwijderd	Testen bij verandering van besturingssystemen
APO_C.07	Beheersorganisatie applicatieontwikkeling	De projectverantwoordelijke behoort voor de software-ontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen en van de betrokken functionarissen de taken, verantwoordelijkheden en bevoegdheden zijn vastgesteld.	De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
CLD_C.01	Registratie cloudgebruik en bijhouden risicoanalyses	De CSC houdt cloudgebruik en de risico’s daarvan bij, met het doel risicoanalyses te actualiseren.	Beschikken over richtlijnen voor inrichting van service-management-organisatie Beschrijven en inrichten relevante beheerprocessen Periodieke verificatie van risicocriteria in lijn met wetgeving en organisatiedoelstellingen Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties
CLD_C.02	Onpartijdige beoordeling CSP	De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, behoren onpartijdig en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld en opgevolgd.	Adresseren diverse elementen bij monitoring en reviewen Beschikbaarheid van auditbewijs voor potentiële CSC’s Corrigerende maatregelen en opvolging op basis van auditbevindingen Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen Onafhankelijke toetsing van informatiebeveiliging bij de CSP Planning en rapportage van periodieke onafhankelijke beoordelingen Richten op diverse zaken met betrekking tot monitoren van risico Uitvoeren monitoringsactiviteiten en mitigeren risico’s Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria
CLD_C.03	Beheerorganisatie CSC-CSP inzet clouddiensten	De CSC en de CSP beoordelen op effectiviteit, zodat hun beheersorganisaties blijvend op elkaar zijn ingericht waarbij de processtructuur en de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.	Aansluiten compliance-proces op ISMS Inrichten compliance-proces voor governance van clouddienstverlening Registreren reguliere rapportages in administratie
CLD_C.04	Controle op de afhandeling van beveiligingsgebeurtenissen	Het monitoren en het opvolgen van beveiligingsgebeurtenissen blijft op niveau of wordt verbeterd doordat de uitvoering regelmatig wordt bewaakt en hierover behoort tijdig te worden gerapporteerd aan de CSC en opgevolgd, terwijl het proces wordt beoordeeld.	Beschikbaar stellen informatie over beheer van technische kwetsbaarheden Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken Definiëren en vaststellen rollen en verantwoordelijkheden Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid Inrichting en evaluatie van processen voor beoordeling van informatiebeveiligingsgebeurtenissen Installeren patches en treffen mitigerende maatregelen Registreren en rapporteren evaluaties van technische kwetsbaarheden Uitvoeren penetratietests op ICT-componenten Verhelpen technische zwakheden door patchmanagement
CLD_C.05	Controle op de afspraken uit leveranciersovereenkomst en SLA	De contractuele vereisten en SLA’s en in het bijzonder BCM, cryptografie, software, veiligheid van de koppelvlakken, de interoperabiliteit & portabiliteit worden als onderdeel van een informatiebeveiligingsprogramma periodiek geëvalueerd en gecontroleerd op verbeterpunten en het up-to-date zijn.	Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken Analyseren informatiebeveiligingsrapportages in samenhang Beheer en evaluatie van basisvereisten voor applicatiebeveiliging Beveiligde communicatie en netwerksegmentatie door de CSP Informatiebeveiligingsprogramma voor cloudgebruik binnen de CSC Inrichting en uitvoering van penetratietesten Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht Opvolgen verbeteringsvoorstellen uit analyse-rapportages Periodieke evaluatie van processen voor bedrijfsmiddelenbeheer Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren
CVZ_C.01	Naleving richtlijnen netwerkbeheer en evaluaties	Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.	De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
CVZ_C.02	Compliance-toets netwerkbeveiliging	De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijke management (compliancy-toetsen).	Checklist voor veilige inrichting van netwerk(diensten) Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s Resultaten worden gerapporteerd aan het verantwoordelijke management
CVZ_C.03	Evalueren robuustheid netwerkbeveiliging	De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.	De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
CVZ_C.04	Evalueren netwerkgebeurtenissen (monitoring)	Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging.	Continue bewaking via monitoring Zeer belangrijke onderdelen van netwerkbeveiliging
CVZ_C.05	Beheersorganisatie netwerkbeveiliging	Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.	Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie De communicatievoorzieningen worden geïdentificeerd en gedefinieerd
HVI_C.01	Controle-richtlijnen huisvesting IV	Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.	Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen Er zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatie Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
HVI_C.02	Onderhoudsplan	Voor iedere locatie van huisvesting IV behoort een onderhoudsplan te zijn opgesteld met een risicoafweging en onderhoudsbepalingen.	Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
... meer resultaten

Alle onderliggende Normen binnen Beveiligingsaspect Controlbewerken

ID	Norm	Stelling
APO_C.01.01	Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien	De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software.
APO_C.01.02	Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code	De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode.
APO_C.01.03	Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast	De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten.
APO_C.01.04	Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen	De projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten.
APO_C.01.05	De Quality Assurance methodiek wordt conform de richtlijnen nageleefd	De quality assurance-methodiek wordt conform de richtlijnen nageleefd.
APO_C.01.06	Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen	De projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.
APO_C.01.07	Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld	Periodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.
APO_C.02.01	Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris	Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.
APO_C.02.02	Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd	In het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd.
APO_C.02.03	Versiemanagement wordt ondersteund met procedures en werkinstructies	Het versiebeheerproces wordt ondersteund met procedures en werkinstructies.
APO_C.02.04	Ondersteuning vanuit het toegepaste versiebeheertool	Een versiebeheertool wordt toegepast die onder andere: het vastleggen van versies van ontwikkelproducten ondersteunt; het vastleggen van versies van programmacode ondersteunt; het vastleggen van versies voorkomend in verschillende omgevingen (zoals Ontwikkel, Test, Acceptatie en Productie (OTAP)) ondersteunt; toegangsmogelijkheden voor verschillende rollen ondersteunt.
APO_C.03.01	Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt	Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.
APO_C.03.02	Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden	De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement.
APO_C.03.03	Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd	Het al dan niet uitvoeren van patches voor programmacode is geregistreerd.
APO_C.03.04	Het beheer van technische kwetsbaarheden in code uit externe bibliotheken	Het beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.
APO_C.03.05	Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes	Bij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.
APO_C.03.06	Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is	Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd.
APO_C.04.01	Software configuratiescomponenten worden conform procedures vastgelegd	Softwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd.
APO_C.04.02	De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel	De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.
APO_C.04.03	Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB	Wijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB).
... meer resultaten

Op deze pagina