Applicatieontwikkeling Beleid

Uit NORA Online
ISOR:BIO Thema Applicatieontwikkeling Beleid
Ga naar: navigatie, zoeken
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Deze informatie is onderdeel van BIO Thema Applicatieontwikkeling.

Meer lezen

BIO Thema Applicatieontwikkeling
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

”Onderwerpen die binnen het Beleid domein een rol spelen”
Onderwerpen die binnen het Beleid domein een rol spelen


Nr Objecten Referentie IFGS
B.01 Beleid voor (beveiligd) ontwikkelen ISO27002: 14.2.1 I
B.02 Systeem ontwikkelmethode SoGP I
B.03 Classificatie van informatie ISO27002: 8.2.1 I
B.04 Engineeringprincipes voor beveiligde systemen ISO27002: 14.2.5 I
B.05 Business Impact Analyse (BIA) SoGP/IR2.2 I
B.06 Privacy en bescherming persoonsgegevens (GEB/DPIA) ISO27002:18.2.4, CIP Domeingroep BIO I
B.07 Kwaliteit managementsysteem CIP Domeingroep BIO F
B.08 Toegangbeveiliging op programmacode ISO27002: 9.4.5 G
B.09 Projectorganisatie CIP Domeingroep BIO S
Applicatieontwikkeling, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten

Risico

Wanneer de juiste beleidsaspecten voor het ontwikkelen van applicaties ontbreken, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van een applicatie. Dit zal een negatieve impact hebben op het bereiken van doelstellingen waarvoor de applicatie is ontworpen en ingericht.

Doelstelling

De doelstelling van het beleidsdomein is, om vast te stellen of afdoende randvoorwaarden en condities binnen de ontwikkelorganisatie zijn gecreëerd om applicaties adequaat te kunnen ontwikkelen. In dit domein worden objecten en daaraan gerelateerde normen opgenomen die het mogelijk maken de applicaties op een veilige manier te ontwikkelen.

Principes uit de BIO Thema Applicatieontwikkeling binnen dit aspect

IDprincipeCriterium
AppO_B.01Beleid voor (beveiligd) ontwikkelenVoor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
AppO_B.02Systeem ontwikkelmethodeOntwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.
AppO_B.03Classificatie van InformatieInformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
AppO_B.04Engineeringprincipes beveiligde systemenPrincipes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
AppO_B.05Business Impact AnalyseDe BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.
AppO_B.06Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
AppO_B.07Kwaliteitsmanagement systeemDe doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
AppO_B.08Toegangsbeveiliging op programmacodeToegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.
AppO_B.09ProjectorganisatieBinnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.

Normen uit de BIO Thema Applicatieontwikkeling binnen dit aspect

IDStellingNorm
AppO_B.01.01De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
AppO_B.01.02De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
AppO_B.01.03In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
Overwegingen bij het beleid voor beveiligd ontwikkelen van software
AppO_B.01.04Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.Technieken voor beveiligd programmeren
AppO_B.02.01Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
AppO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
AppO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitord.Adoptie van ontwikkelmethodologie wordt gemonitord
AppO_B.02.04Standaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
Software wordt ontwikkelen conform standaarden en procedures
AppO_B.02.05De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
  • De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
    AppO_B.02.06Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
  • Het softwareontwikkeling wordt projectmatig aangepakt
    AppO_B.03.01De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.Dataclassificatie' als uitgangspunt voor softwareontwikkeling
    AppO_B.03.02In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
    AppO_B.03.03Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
    AppO_B.03.04In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
    AppO_B.04.01De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.Security by Design als uitgangspunt voor softwareontwikkeling
    AppO_B.04.02Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
  • Principes voor het beveiligen van informatiesystemen
    AppO_B.04.03Beveiliging wordt als een integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van system ontwikkeling behandeld.Beveiliging is integraal onderdeel van systeemontwikkeling
    AppO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelen.Ontwikkelaars zijn getraind om veilige software te ontwikkelen
    AppO_B.05.01Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
  • Perspectieven bij de Business Impact Analyse
    AppO_B.05.02De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
  • Scenario's voor de Business Impact Analyse
    AppO_B.05.03Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • verlies van orders en contracten en klanten;
  • verlies van tastbare assets;
  • onvoorziene kosten;
  • verlies van management control;
  • concurrentie;
  • late leveringen;
  • verlies van productiviteit;
  • compliance; en
  • reputatie.
  • Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
    AppO_B.06.01Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
    AppO_B.06.02Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten
    AppO_B.06.03Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
    AppO_B.06.04Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
    AppO_B.06.05De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.Risicomanagement aanpak aantoonbaar toegepast
    AppO_B.06.06Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
    AppO_B.07.01De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
    AppO_B.07.02De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.De doelorganisatie beschikt over QA- en KMS-methodiek
    AppO_B.07.03De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
    AppO_B.07.04Er zijn informatie- en communicatieprocessen ingericht.Voor informatie- en communicatie zijn processen ingericht
    AppO_B.07.05Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
    AppO_B.07.06Aan het management worden evaluatie rapportages verstrekt.Aan het management worden evaluatierapportages verstrekt
    AppO_B.07.07De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS
    AppO_B.08.01Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
    1. de broncode bibliotheken worden niet in operationele systemen opgeslagen;
    2. de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;
    3. ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken;
    4. het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs;
    5. programma-uitdraaien worden in een beveiligde omgeving bewaard;
    6. van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand;
    7. onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
    Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
    AppO_B.08.02Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
    AppO_B.09.01De beveiligingsfunctionaris zorgt o.a. voor:
    • de actualisatie van beveiligingsbeleid;
    • afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen;
    • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    • de bespreking van beveiligingsissues met ketenpartijen.
    Taken van de beveiligingsfunctionaris
    AppO_B.09.02De beveiligingsfunctionaris geeft o.a. inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
  • Inzicht gegeven door de beveiligingsfunctionaris