Beveiligingsaspect Control

Uit NORA Online
Ga naar: navigatie, zoeken
Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Normen) binnen het Beveiligingsaspect Control weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool
Paars vierkant kader met daarin in wit de eerste letter van Beveiligingsaspect Control

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Uitleg Beveiligingsaspecten

Beveiligingsaspect BeleidBeveiligingsaspect UitvoeringBeveiligingsaspect ControlAlle beveiligingsaspectenDrie paarse rechthoeken met in wit de teksten Beleid, Uitvoering en Control, met daarnaast een kleiner paars vierkant met de eerste letter van deze drie beveiligingsaspecten.

ISOR onderscheidt drie verschillende beveiligingsaspecten:

Beleid
Uitvoering
Control


Benamingen en uitleg binnen SIVA-methode

De SIVA-methode beschrijft dat de structuur is opgebouwd uit een aantal lagen en waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichting- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur SIVA lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

SIVA lagenstructuur en kenmerken.

beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.. Met behulp van de karakterisering van het auditobject (webapplicatie) en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

  • Welke processen zouden moeten zijn ingericht?
  • Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
  • Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

  • Welke webapplicatie-componenten spelen een rol?
  • Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
  • Hoe moeten de features van de objecten zijn geconfigureerd?
  • Welke gedrag moeten de betrokken objecten en actoren vertonen?
  • Welke functies dienen te zijn geleverd?
  • Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
  • Hoe moeten objecten zijn samengesteld en vormgegeven?

control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

  • Welke beheerprocessen zouden moeten zijn ingericht?
  • Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
  • Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
  • Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Control

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect:

Overzichtspagina ControlNormenkader
Applicatieontwikkeling Control
Communicatievoorzieningen Control
Huisvesting Controldomein
Privacy Control
Serverplatform Control
Toegangbeveiliging Controldomein

Alle Principes binnen Beveiligingsaspect Control

IDPrincipeCriteriumOnderliggende normen
AppO_C.01Richtlijnen evaluatie ontwikkelactiviteitenDe projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode.Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast
Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen
De Quality Assurance methodiek wordt conform de richtlijnen nageleefd
Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
AppO_C.02Versie ManagementDe projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben.Ondersteuning vanuit het toegepaste versiebeheertool
Versiemanagement wordt ondersteund met procedures en werkinstructies
Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris
AppO_C.03Patchmanagement van externe programmacodePatchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.Het beheer van technische kwetsbaarheden in code uit externe bibliotheken
Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes
Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt
Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
AppO_C.04(Software) configuratie managementDe inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.Software configuratiescomponenten worden conform procedures vastgelegd
Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB
De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
AppO_C.05Compliance managementDe projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.Het compliance management proces is gedocumenteerd en vastgesteld
De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
AppO_C.06Quality assuranceDe projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen.De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken
AppO_C.07Technische beoordeling van informatiesystemen na wijziging besturingsplatformBij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.Testen bij verandering van besturingssystemen
AppO_C.08Beheersing van software ontwikkeling(sprojecten)De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven
De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd
De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk
CommVZ_C.01Naleving richtlijnen netwerkbeheer en evaluatiesRichtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
CommVZ_C.02Netwerk security compliancy checkingDe naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijk management (Compliancy checks).Checklist voor veilige inrichting van netwerk(diensten)
Resultaten worden gerapporteerd aan het verantwoordelijke management
Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s
CommVZ_C.03Evalueren netwerkbeveiligingDe robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
CommVZ_C.04Evalueren netwerk monitoringToereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..Zeer belangrijke onderdelen van netwerkbeveiliging
Continue bewaking via monitoring
CommVZ_C.05Beheerorganisatie netwerkbeveiligingAlle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen.Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie
De communicatievoorzieningen worden geïdentificeerd en gedefinieerd
Huisv_C.01Controle richtlijnBedrijfsmiddelen behoren periodiek te worden gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.De Huisvesting Informatievoorziening organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
Beschikking over richtlijnen voor evalueren van de Huisvesting-RC-organisatie
Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
Huisv_C.02OnderhoudsplanVoor iedere locatie van de Huisvesting-IV is een onderhoudsplan opgesteld op basis van een risicoafweging en onderhoudsbepalingen.Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
Huisv_C.03ContinuiteitsmanagementContinuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
Realisatie van afdoende uitwijkfaciliteiten
Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
Het BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
Huisv_C.04Huisvesting Informatievoorziening BeheersingsorganisatieDe stakeholder van de Huisvesting Informatievoorziening behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.ISOR:De samenhang van de Huisvestings-IV processen wordt d.m.v. een processtructuur vastgelegd
Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk
Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd
Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd
Huisv_C.05Huisvesting Informatievoorzieninig BeheersingsarchitectuurDeze norm is nog in ontwikkeling.
LTV_C.01Toegangbeveiliging beoordelingsprocedureEr moeten procedures te zijn vastgesteld om het gebruik van toegangbeveiligingsvoorzieningen te controleren.De organisatie beschikt over een beschrijving van de relevante controleprocessen
De procedures hebben betrekking op conform vastgestelde cyclus ingerichte controleprocessen
Rapportage van controle-resultaten aan het management ter initiatie van de juiste acties
LTV_C.02Beoordeling toegangsrechtenEigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.De opvolging van bevindingen is gedocumenteerd
Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging
Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
Beoordelingsrapportage bevat vermelding van systemen met kwetsbaarheden en zwakheden
Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd
Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
Het beoordelen vindt plaats op basis van een formeelproces
Autorisaties voor speciale toegangsrechten worden vaker beoordeeld
… overige resultaten

Alle onderliggende Normen binnen Beveiligingsaspect Control

IDNormStelling
AppO_C.01.01Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeienDe projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software.
AppO_C.01.02Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven codeDe projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode.
AppO_C.01.03Controle richtlijnen die binnen de relevante beheerprocessen worden toegepastDe projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten.
AppO_C.01.04Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnenDe projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten.
AppO_C.01.05De Quality Assurance methodiek wordt conform de richtlijnen nageleefdDe QA methodiek wordt conform de richtlijnen nageleefd.
AppO_C.01.06Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenDe projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.
AppO_C.01.07Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeldPeriodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.
AppO_C.02.01Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionarisHet versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.
AppO_C.02.02Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegdIn het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd.
AppO_C.02.03Versiemanagement wordt ondersteund met procedures en werkinstructiesHet versiebeheerproces wordt ondersteund met procedures en werkinstructies.
AppO_C.02.04Ondersteuning vanuit het toegepaste versiebeheertoolEen versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
AppO_C.03.01Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaaktHet patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.
AppO_C.03.02Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkhedenDe ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement.
AppO_C.03.03Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerdHet al dan niet uitvoeren van de patches voor programmacode is geregistreerd.
AppO_C.03.04Het beheer van technische kwetsbaarheden in code uit externe bibliothekenHet beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.
AppO_C.03.05Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixesBij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.
AppO_C.03.06Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog isUpdates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd.
AppO_C.04.01Software configuratiescomponenten worden conform procedures vastgelegdSoftware configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd.
AppO_C.04.02De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeelDe configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.
AppO_C.04.03Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDBWijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB.
… overige resultaten