Beveiligingsaspect Uitvoering

Uit NORA Online
Ga naar: navigatie, zoeken

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Normen) binnen het Beveiligingsaspect Uitvoering weer.

Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool
Paars vierkant kader met daarin in wit de eerste letter van Beveiligingsaspect Uitvoering

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Inhoud


Uitleg Beveiligingsaspecten

Beveiligingsaspect BeleidBeveiligingsaspect UitvoeringBeveiligingsaspect ControlAlle beveiligingsaspectenDrie paarse rechthoeken met in wit de teksten Beleid, Uitvoering en Control, met daarnaast een kleiner paars vierkant met de eerste letter van deze drie beveiligingsaspecten.

ISOR onderscheidt drie verschillende beveiligingsaspecten:

Beleid
Uitvoering
Control


Benamingen en uitleg binnen SIVA-methode

De SIVA-methode beschrijft dat de structuur is opgebouwd uit een aantal lagen en waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichting- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur SIVA lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

SIVA lagenstructuur en kenmerken.

beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.. Met behulp van de karakterisering van het auditobject (webapplicatie) en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

  • Welke processen zouden moeten zijn ingericht?
  • Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
  • Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

  • Welke webapplicatie-componenten spelen een rol?
  • Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
  • Hoe moeten de features van de objecten zijn geconfigureerd?
  • Welke gedrag moeten de betrokken objecten en actoren vertonen?
  • Welke functies dienen te zijn geleverd?
  • Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
  • Hoe moeten objecten zijn samengesteld en vormgegeven?

control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

  • Welke beheerprocessen zouden moeten zijn ingericht?
  • Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
  • Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
  • Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Uitvoering

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect:

Overzichtspagina Control Normenkader
BIO Thema Applicatieontwikkeling Control
BIO Thema Communicatievoorzieningen Control
BIO Thema Huisvesting Informatievoorziening Control
BIO Thema Serverplatform Control
BIO Thema Toegangsbeveiliging Control
Privacy Control

Alle Principes binnen Beveiligingsaspect Uitvoering

ID Principe Criterium
AppO_U.01 Procedures voor wijzigingsbeheer m.b.t. applicaties Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door het gebruik van formele procedures voor wijzigingsbeheer.
AppO_U.02 Beperkingen voor de installatie van software(richtlijnen) Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.
AppO_U.03 Richtlijnen voor programmacode (best practices) Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices.
AppO_U.04 Analyse en specificatie van informatiesystemen De functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.
AppO_U.05 Analyse en specificatie van informatiebeveiligingseisen De beveiligingseisen die verband houden met informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen.
AppO_U.06 Applicatie ontwerp Het applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: Business vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging.
AppO_U.07 Applicatie functionaliteiten Informatiesystemen behoren zo te worden ontworpen, dat de invoer-, verwerking- en outputfuncties van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. om het businessproces optimaal te kunnen ondersteunen.
AppO_U.08 Applicatiebouw De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van (industrie) good practice en door ontwikkelaars die beschikken over de juiste skills/tools en de applicaties behoren te worden gereviewd.
AppO_U.09 Testen van systeembeveiliging Tijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest.
AppO_U.10 Systeem acceptatietests Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.
AppO_U.11 Beschermen van testgegevens Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.
AppO_U.12 Beveiligde ontwikkel- (en test) omgeving Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.
AppO_U.13 Applicatiekoppelingen De koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen waarborgen.
AppO_U.14 Logging en monitoring Applicaties behoren faciliteiten te bieden voor logging en monitoring om ongeoorloofde en onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.
AppO_U.15 Applicatie architectuur De functionele- en beveiligingseisen behoren in een applicatie-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., conform architectuurvoorschriften, in samenhang te zijn vastgelegd.
AppO_U.16 Tooling ontwikkelmethode De ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus.
CommVZ_U.01 Richtlijnen netwerkbeveiliging Organisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor ontwerp, implementatie en beheer (voorbeeld: ISO 27033 deel 2).
CommVZ_U.02 Beveiligde inlogprocedure Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie) systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure.
CommVZ_U.03 Netwerk beveiligingsbeheer Netwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen. 
CommVZ_U.04 Vertrouwelijkheids- of geheimhoudingsovereenkomst Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.
… overige resultaten

Alle onderliggende Normen binnen Beveiligingsaspect Uitvoering

ID Norm Stelling
AppO_U.01.01 Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD.
AppO_U.01.02 Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren.
AppO_U.01.03 Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.
AppO_U.01.04 Elementen van de procedures voor wijzigingsbeheer Enkele elementen van de procedures voor wijzigingsbeheer zijn:
  1. alle wijzigingsverzoeken (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  2. het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  3. wijzigingen worden doorgevoerd door bevoegde medewerkers.
  4. van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  5. uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  6. aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
AppO_U.02.01 Beleid ten aanzien van het type software dat mag worden geïnstalleerd De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren.
AppO_U.02.02 Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'.
AppO_U.02.03 De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars.
AppO_U.03.01 De programmacode voor functionele specificaties is reproduceerbaar De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
  • gebruikte tools;
  • gebruikte licenties;
  • versiebeheer;
  • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.
AppO_U.03.02 Programmacode wordt aantoonbaar veilig gecreëerd (Programma)code wordt aantoonbaar veilig gecreëerd.
AppO_U.03.03 Programmacode is effectief - veranderbaar en testbaar (Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van code bugs;
  • het voorkomen van herintroductie van code bugs;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten);
  • het adequaat documenteren van software-interface, koppelingen en API’s.
AppO_U.03.04 Over het gebruik van vocabulaire - applicatieframework en toolkits zijn afspraken gemaakt Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt.
AppO_U.03.05 Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010.
AppO_U.03.06 Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem.
AppO_U.03.07 Gebruik van programmacode uit externe programmabibliotheken Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt.
AppO_U.04.01 Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in het FO vastgelegd De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO).
AppO_U.04.02 Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden.
AppO_U.04.03 Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris..
AppO_U.04.04 Alle vereisten worden gevalideerd door peer review of prototyping Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode).
AppO_U.04.05 Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd.
AppO_U.05.01 Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen.
… overige resultaten
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen