Gegevensimport

Uit NORA Online
Ga naar: navigatie, zoeken
Versie 1.1 van 30 maart 2021 van de BIO Thema-uitwerking Softwarepakketten is vervangen door versie 1.2 van 26 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft het van buitenaf veilig invoeren van gegevens in het softwarepakket.

Objecttoelichting

Softwarepakketten maken vrijwel altijd gebruik van upload- of download-mechanismen voor de import en export van (gebruikers)gegevens. In veel gevallen worden die gegevens verkregen vanuit niet vertrouwde clients, al dan niet gepositioneerd in niet vertrouwde1 zones, waarna de gegevens getransporteerd worden via niet vertrouwde netwerken.


Om risico’s voor de bedrijfsvoering te beperken, behoort hiervoor een samenhangende set van maatregelen te worden toegepast.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Leverancier.


Criterium

Softwarepakketten behoren mechanismen te bieden om niet-vertrouwde bestandsgegevens uit niet-vertrouwde omgevingen veilig te importeren en veilig op te slaan.

Doelstelling

Bewerkstelligen dat niet-vertrouwde omgevingen bestandsgegevens uit niet vertrouwde omgevingen veilig geïmporteerd en veilig opgeslagen worden.

Risico

De beschikbaarheid, integriteit en vertrouwelijkheid van de data wordt geschaad.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is OWASP Application Security Verification Standard 4.0.2 V12

Onderliggende normen

IDConformiteitsindicatorStelling
SWP_U.13.01 Veilig te importeren en veilig op te slaan

Het softwarepakket biedt een flexibel quotummechanisme voor het importeren van gegevens uit externe bronnen.

SWP_U.13.02 Veilig te importeren en veilig op te slaan

Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, ‘ingesloten’ aanvallen te detecteren.

SWP_U.13.03 Veilig te importeren en veilig op te slaan

Het softwarepakket accepteert geen extreem grote bestanden, die buffers of het werkgeheugen kunnen ‘overspoelen’ en daarmee een Denial-of-Service (DoS)-aanval kunnen veroorzaken.

  1. Zie voor de begrippen vertrouwde en niet-vertrouwde zones de beveiligingspatronen op de NORA online over zonering.