Gegevensimport
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft het van buitenaf veilig invoeren van gegevens in het softwarepakket.
Objecttoelichting
Softwarepakketten maken vrijwel altijd gebruik van upload- of download-mechanismen voor de import en export van (gebruikers)gegevens. In veel gevallen worden die gegevens verkregen vanuit niet vertrouwde clients, al dan niet gepositioneerd in niet vertrouwde1 zones, waarna de gegevens getransporteerd worden via niet vertrouwde netwerken.
Om risico’s voor de bedrijfsvoering te beperken, behoort hiervoor een samenhangende set van maatregelen te worden toegepast.
Schaalgrootte
Elke schaalgrootte.
Voor wie
Leverancier.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Structuur.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is OWASP Application Security Verification Standard 4.0.2 V12
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SWP_U.13.01 | Veilig te importeren en veilig op te slaan |
Het softwarepakket biedt een flexibel quotummechanisme voor het importeren van gegevens uit externe bronnen. |
SWP_U.13.02 | Veilig te importeren en veilig op te slaan |
Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, ‘ingesloten’ aanvallen te detecteren. |
SWP_U.13.03 | Veilig te importeren en veilig op te slaan |
Het softwarepakket accepteert geen extreem grote bestanden, die buffers of het werkgeheugen kunnen ‘overspoelen’ en daarmee een Denial-of-Service (DoS)-aanval kunnen veroorzaken. |
- ↑ Zie voor de begrippen vertrouwde en niet-vertrouwde zones de beveiligingspatronen op de NORA online over zonering.