Beveiligingsaspect Control

Uit NORA Online
Ga naar: navigatie, zoeken

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Normen) binnen het Beveiligingsaspect Control weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool

Paars vierkant kader met daarin in wit de eerste letter van Beveiligingsaspect Control

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Inhoud


Uitleg Beveiligingsaspecten

Beveiligingsaspect BeleidBeveiligingsaspect UitvoeringBeveiligingsaspect ControlAlle beveiligingsaspectenDrie paarse rechthoeken met in wit de teksten Beleid, Uitvoering en Control, met daarnaast een kleiner paars vierkant met de eerste letter van deze drie beveiligingsaspecten.

ISOR onderscheidt drie verschillende beveiligingsaspecten:

Beleid
Uitvoering
Control


Benamingen en uitleg binnen SIVA-methode

De SIVA-methode beschrijft dat de structuur is opgebouwd uit een aantal lagen en waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichting- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur SIVA lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

SIVA lagenstructuur en kenmerken.

beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.. Met behulp van de karakterisering van het auditobject (webapplicatie) en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

  • Welke processen zouden moeten zijn ingericht?
  • Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
  • Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

  • Welke webapplicatie-componenten spelen een rol?
  • Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
  • Hoe moeten de features van de objecten zijn geconfigureerd?
  • Welke gedrag moeten de betrokken objecten en actoren vertonen?
  • Welke functies dienen te zijn geleverd?
  • Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
  • Hoe moeten objecten zijn samengesteld en vormgegeven?

control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

  • Welke beheerprocessen zouden moeten zijn ingericht?
  • Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
  • Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
  • Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Control

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect:

Overzichtspagina Control Normenkader
BIO Thema Applicatieontwikkeling Control BIO Thema Applicatieontwikkeling
BIO Thema Communicatievoorzieningen Control BIO Thema Communicatievoorzieningen
BIO Thema Huisvesting Informatievoorziening Control BIO Thema Huisvesting Informatievoorziening
BIO Thema Serverplatform Control BIO Thema Serverplatform
BIO Thema Toegangsbeveiliging Control BIO Thema Toegangsbeveiliging
Privacy Control

Alle Principes binnen Beveiligingsaspect Control

ID Principe Criterium  
AppO_C.01 Richtlijnen evaluatie ontwikkelactiviteiten De projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode. Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
Het kwaliteitshandboek bevat procedures voor QC- en QA-methodiek en reviewrichtlijnen
De Quality Assurance methodiek wordt conform de richtlijnen nageleefd
Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
Het applicatieontwikkelproces - de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast
Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
AppO_C.02 Versie Management De projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben. Ondersteuning vanuit het toegepaste versiebeheertool
Versiemanagement wordt ondersteund met procedures en werkinstructies
Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
Versiemanagement is beschreven - vastgesteld en toegekend aan een verantwoordelijke functionaris
AppO_C.03 Patchmanagement van externe programmacode Patchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd. Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
Installeren van alle noodzakelijke door de leveranciers beschikbaar gestelde patches en fixes
Het beheer van technische kwetsbaarheden in code uit externe bibliotheken
Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
Patchmanagement en noodzakelijke -procedures zijn beschreven vastgesteld en bekendgemaakt
AppO_C.04 (Software) configuratie management De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven. Software configuratiescomponenten worden conform procedures vastgelegd
De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
Wijzigingen in softwareconfiguratie items conform gestandaardiseerd proces vastgelegd in de CMDB
AppO_C.05 Compliance management De projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen. Het compliance management proces is gedocumenteerd en vastgesteld
De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
AppO_C.06 Quality assurance De projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen. De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
Rapportage van de resultaten uit QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken
Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
AppO_C.07 Technische beoordeling van informatiesystemen na wijziging besturingsplatform Bij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie. Testen bij verandering van besturingssystemen
AppO_C.08 Beheersing van software ontwikkeling(sprojecten) De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. De taken verantwoordelijkheden en bevoegdheden voor evaluatie- en beheerwerkzaamheden zijn beschreven
De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk
De samenhang van de beheerprocessen wordt door middel van een processtructuur vastgelegd
CommVZ_C.01 Naleving richtlijnen netwerkbeheer en evaluaties Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden. De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
CommVZ_C.02 Netwerk security compliancy checking De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijk management (Compliancy checks). Resultaten worden gerapporteerd aan het verantwoordelijke management
Checklist voor veilige inrichting van netwerk(diensten)
Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van normen en risico’s
CommVZ_C.03 Evalueren netwerkbeveiliging De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden. De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
CommVZ_C.04 Evalueren netwerk monitoring Toereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. Zeer belangrijke onderdelen van netwerkbeveiliging
Continue bewaking via monitoring
CommVZ_C.05 Beheerorganisatie netwerkbeveiliging Alle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen. De communicatievoorzieningen worden geïdentificeerd en gedefinieerd
Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie
Huisv_C.01 Controle richtlijn Bedrijfsmiddelen worden periodiek gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen worden tijdig aan het management gerapporteerd. De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
Beschikking over richtlijnen voor evalueren van de Huisvesting-RC-organisatie
Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
Huisv_C.02 Onderhoudsplan Voor iedere locatie van de Huisvesting-IV is een onderhoudsplan opgesteld op basis van een risicoafweging en onderhoudsbepalingen. Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
Huisv_C.03 Continuiteitsmanagement Continuïteitsmanagement is procesmatig voor de gehele organisatie ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet. Het BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
Realisatie van afdoende uitwijkfaciliteiten
Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
Huisv_C.04 Huisvesting-IV Testproces bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.05 Huisvesting-IV Beheerprocessen bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.06 Huisvesting-IV Monitoring bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.07 Huisvesting-IV Beheersingsorganisatie De stakeholder van de huisvesting van de Rekencentra heeft een beheersingsorganisatie ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. De samenhang van de processen wordt door middel van een processtructuur vastgelegd
Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk
Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd
Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd
… overige resultaten

Alle onderliggende Normen binnen Beveiligingsaspect Control

ID Norm Stelling
AppO_C.01.01 Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software.
AppO_C.01.02 Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode.
AppO_C.01.03 Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten.
AppO_C.01.04 Het kwaliteitshandboek bevat procedures voor QC- en QA-methodiek en reviewrichtlijnen De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten.
AppO_C.01.05 De Quality Assurance methodiek wordt conform de richtlijnen nageleefd De QA methodiek wordt conform de richtlijnen nageleefd.
AppO_C.01.06 Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.
AppO_C.01.07 Het applicatieontwikkelproces - de testcyclus en programmacodekwaliteit worden periodiek beoordeeld Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.
AppO_C.02.01 Versiemanagement is beschreven - vastgesteld en toegekend aan een verantwoordelijke functionaris Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.
AppO_C.02.02 Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd.
AppO_C.02.03 Versiemanagement wordt ondersteund met procedures en werkinstructies Het versiebeheerproces wordt ondersteund met procedures en werkinstructies.
AppO_C.02.04 Ondersteuning vanuit het toegepaste versiebeheertool Een versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
AppO_C.03.01 Patchmanagement en noodzakelijke -procedures zijn beschreven vastgesteld en bekendgemaakt Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.
AppO_C.03.02 Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement.
AppO_C.03.03 Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd.
AppO_C.03.04 Het beheer van technische kwetsbaarheden in code uit externe bibliotheken Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.
AppO_C.03.05 Installeren van alle noodzakelijke door de leveranciers beschikbaar gestelde patches en fixes Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.
AppO_C.03.06 Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd.
AppO_C.04.01 Software configuratiescomponenten worden conform procedures vastgelegd Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd.
AppO_C.04.02 De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.
AppO_C.04.03 Wijzigingen in softwareconfiguratie items conform gestandaardiseerd proces vastgelegd in de CMDB Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB.
… overige resultaten
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen