Beveiligingsaspect Uitvoering

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Alle Normen) binnen het Beveiligingsaspect Uitvoering weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het onderstaande symbool.

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Uitleg Beveiligingsaspectenbewerken

De Information Security Object Repository (ISOR) onderscheidt drie verschillende beveiligingsaspecten:

Benamingen en uitleg binnen de SIVA-methodiek

De SIVA-methodiek beschrijft dat de structuur is opgebouwd uit een aantal lagen waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichtings- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. De afbeelding SIVA-lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

Beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuur. Met behulp van de karakterisering van het auditobject en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

Welke processen zouden moeten zijn ingericht?
Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

Uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

Welke webapplicatie-componenten spelen een rol?
Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
Hoe moeten de features van de objecten zijn geconfigureerd?
Welke gedrag moeten de betrokken objecten en actoren vertonen?
Welke functies dienen te zijn geleverd?
Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
Hoe moeten objecten zijn samengesteld en vormgegeven?

Control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

Welke beheerprocessen zouden moeten zijn ingericht?
Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Uitvoeringbewerken

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect. In onderstaande tabel is dit weergegeven.

Overzichtspagina Uitvoering	Normenkader
Applicatieontwikkeling Uitvoering	BIO Thema-uitwerking Applicatieontwikkeling
Clouddiensten Uitvoering	BIO Thema-uitwerking Clouddiensten
Communicatievoorzieningen Uitvoering	BIO Thema-uitwerking Communicatievoorzieningen
Huisvesting Informatievoorzieningen Uitvoering	BIO Thema-uitwerking Huisvesting Informatievoorzieningen
Middleware Uitvoering	BIO Thema-uitwerking Middleware
Privacy Uitvoering: het uitvoeringsdomein	De Privacy Baseline
Serverplatform Uitvoering	BIO Thema-uitwerking Serverplatform
Softwarepakketten Uitvoering	BIO Thema-uitwerking Softwarepakketten
Toegangsbeveiliging Uitvoering	BIO Thema-uitwerking Toegangsbeveiliging

Alle Principes binnen Beveiligingsaspect Uitvoeringbewerken

ID	Principe	Criterium
APO_U.01	Wijzigingsbeheerprocedure voor applicaties en systemen	Wijzigingen in informatieverwerkende faciliteiten en informatiesystemen behoren onderworpen te zijn aan procedures voor wijzigingsbeheer'.
APO_U.02	Beperking software-installatie applicatieontwikkeling	Er behoren procedures en maatregelen te worden geïmplementeerd om het installeren van software op operationele systemen op beveiligde wijze te beheren.
APO_U.03	Richtlijn programmacode	Voor het ontwikkelen van de (programma)code zijn specifieke regels van toepassing en behoort gebruik te zijn gemaakt van specifieke best practices.
APO_U.04	Analyse en specificatie informatiesysteem	De functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.
APO_U.05	Informatiebeveiliging in projectmangement	Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement.
APO_U.06	Applicatie-ontwerp	Het applicatieontwerp behoort gebaseerd te zijn op informatie, die is verkregen uit verschillende invalhoeken, zoals: business-vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging.
APO_U.07	Applicatiefunctionaliteit	Informatiesystemen behoren zo te worden ontworpen, dat de invoerfuncties, verwerkingsfuncties en uitvoerfuncties van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheid om het bedrijfsproces optimaal te kunnen ondersteunen.
APO_U.08	Applicatiebouw	De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd met (industrie) good practice en door individuen die beschikken over de juiste vaardigheden en tools en behoort te worden gereviewd.
APO_U.09	Systeemacceptatietest	Processen voor het testen van de beveiliging behoren te worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus.
APO_U.10	Beschermen testgegevens	Testgegevensbehoren op passende wijze te worden geselecteerd, beschermd en beheerd.
APO_U.10.01	Beschermen testgegevens	Testgegevens behoren op passende wijze te worden geselecteerd, beschermd en beheerd.
APO_U.11	Scheiding van ontwikkel-, test- en productieomgevingen	Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden en beveiligd.
APO_U.12	Applicatiekoppeling	De koppelingen tussen applicaties behoren te worden uitgevoerd volgens geaccordeerde koppelingsrichtlijnen.
APO_U.13	Logging en monitoring	Applicaties behoren faciliteiten te bieden voor logging en monitoring om ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.
APO_U.14	Applicatie-architectuur	De functionele en beveiligingseisen behoren in een applicatie-architectuur, conform architectuurvoorschriften, in samenhang te zijn vastgelegd.
APO_U.15	Tooling ontwikkelmethode	De ontwikkelmethode moet worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus.
CLD_U.01	Leveranciersovereenkomsten	Relevante informatiebeveiligingseisen behoren te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie te worden overeengekomen, hierbij wordt ook gekeken naar de toeleveringsprocessen van de CSP.
CLD_U.02	Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen	De CSP behoort, conform de exitstrategie van de CSC, alle bedrijfsmiddelen van de organisatie die zij in hun bezit hebben bij beëindiging of wijziging van de dienst, contract of overeenkomst te retourneren, te kunnen verplaatsen of op verzoek te verwijderen en biedt hiervoor passende voorzieningen.
CLD_U.03	Veilige software	Voor het veilig ontwikkelen van software en het voorkomen van besmetting met malware zijn regels vastgesteld en toegepast.
CLD_U.04	Wijzigingsbeheer	Wijzigingen in de clouddienst behoren onderworpen te zijn aan procedures voor wijzigingsbeheer, zodat het belang van de CSC wordt meegenomen en de CSC van een wijziging op de hoogte is.
... meer resultaten

Alle onderliggende Normen binnen Beveiligingsaspect Uitvoeringbewerken

ID	Norm	Stelling
APO_B.09.03	Gestructureerde en geautomatiseerde acceptatietesten binnen systeemontwikkeling.	Voor acceptatietesten van systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd uitgevoerd.
APO_U.01.01	Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks	Wijzigingsbeheer vindt plaats op basis van een algemeen geaccepteerd beheerraamwerk.
APO_U.01.02	Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren	In het wijzigingsbeheerproces is minimaal aandacht besteed aan: het administreren van wijzigingen, met de resultaten van het testplan; een risicoafweging van mogelijke gevolgen van de wijzigingen, inclusief een beschreven rollbackplan; de goedkeuringsprocedure voor wijzigingen.
APO_U.01.03	Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces	De procedure voor wijzigingsbeheer omvat onder meer: een formeel proces voor nieuwe systemen en belangrijke wijzigingen, inclusief documentatie, specificatie, impactbeoordeling, testen, kwaliteitscontrole en beheerde implementatie; toegewezen verantwoordelijkheden en handhaving om beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen gedurende de gehele levenscyclus; integratie van wijzigingsbeheer voor ICT-infrastructuur en -software waar mogelijk; planning en beoordeling van impact (inclusief afhankelijkheden), autorisatie, communicatie naar belanghebbenden, testen en acceptatie, implementatie met inzet- en terugvalprocedures, registratie van wijzigingen, actualisatie van bedieningsdocumentatie, gebruikersprocedures en continuïteitsplannen.
APO_U.01.04	Elementen van de procedures voor wijzigingsbeheer	Enkele elementen van procedures voor wijzigingsbeheer zijn: Alle wijzigingsverzoeken/Request for Changes (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen). Het generieke wijzigingsproces heeft aansluiting met functioneel beheer. Wijzigingen worden doorgevoerd door bevoegde medewerkers. Van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld. Uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd. Aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
APO_U.02.01	Beleid ten aanzien van het type software dat mag worden geïnstalleerd	De procedures en maatregelen voor het installeren van software op operationele systemen omvatten onder meer: installatie en updates van operationele software uitsluitend door geautoriseerde en opgeleide beheerders; installatie van alleen goedgekeurde uitvoerbare code; installatie en updates van software pas na uitgebreide en geslaagde tests, inclusief een roll-backstrategie; gebruik van configuratiebeheer en auditlogging voor alle wijzigingen; archivering van oude versies voor noodtoegang tot gegevens; risicoafweging bij upgrades, patches, niet-ondersteunde (open source) en verouderde software; monitoring en beheersing van extern geleverde software; beperkte en gemonitorde toegang voor leveranciers; strikte rolgebaseerde regels voor gebruikersinstallaties op basis van least privilege, met vastlegging van toegestane en verboden softwaretypen.
APO_U.02.02	Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'	Het risico van installatie door gebruikers van niet-geautoriseerde software moet worden beheerst.
APO_U.02.03	De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars	De rechten worden verleend met de rollen van de type gebruikers en ontwikkelaars.
APO_U.03.01	De programmacode voor functionele specificaties is reproduceerbaar	De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan: gebruikte tools; gebruikte licenties; versiebeheer; documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops en gebruikte externe bronnen.
APO_U.03.02	Programmacode wordt aantoonbaar veilig gecreëerd	De (programma)code wordt aantoonbaar veilig gecreëerd.
APO_U.03.03	Programmacode is effectief, veranderbaar en testbaar	De (programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan: het juist registreren van bugs in de code; het voorkomen van herintroductie van bugs in de code; het binnen 72 uur corrigeren van beveiligingsfixes; het vastleggen van afhankelijkheden van development en operations (dev/ops) van applicatie (relatie tussen software-objecten); het adequaat documenteren van software-interface, koppelingen en Application Programming Interfaces (API’s).
APO_U.03.04	Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt	Over het gebruik van de vocabulaire, applicatie-framework en toolkits zijn afspraken gemaakt.
APO_U.03.05	Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire	Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals de NEN-ISO/IEC 25010 Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models.
APO_U.03.06	Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten	Ontwikkelaars hebben kennis van algemene beveiligingsfouten, vastgelegd in een extern Common Vulnerability and Exposures (CVE)- systeem.
APO_U.03.07	Gebruik van programmacode uit externe programmabibliotheken	Het gebruik van programmacode uit externe programmabibliotheken mag pas worden gebruikt na getest te zijn.
APO_U.04.01	Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd	De functionele eisen worden geanalyseerd en bepaald met verschillende invalshoeken (zoals stakeholders, business en wet- en regelgeving) en vastgelegd in een functioneel ontwerp.
APO_U.04.02	Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden	Het functioneel ontwerp wordt gereviewd, waarna verbeteringen en of aanvullingen op het functioneel ontwerp plaatsvinden.
APO_U.04.03	Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd	Met een goedgekeurd functioneel ontwerp wordt een technisch ontwerp vervaardigd dat ook ter review wordt aangeboden aan de kwaliteitsfunctionaris en beveiligingsfunctionaris.
APO_U.04.04	Alle vereisten worden gevalideerd door peer review of prototyping	Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode).
APO_U.04.05	Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp	Parallel aan het vervaardigen van het functioneel ontwerp en technisch ontwerp worden acceptatie-eisen vastgelegd.
... meer resultaten

Op deze pagina