Applicatieontwikkeling Beleid
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Applicatieontwikkeling.
Meer lezen |
Doelstelling[bewerken]
De doelstelling van het beleidsdomein is om vast te stellen of afdoende randvoorwaarden en condities binnen de ontwikkelorganisatie zijn gecreëerd om applicaties adequaat te kunnen ontwikkelen.
In dit domein worden objecten en daaraan gerelateerde normen opgenomen die het mogelijk maken de applicaties op een veilige manier te ontwikkelen.
Risico's[bewerken]
Wanneer de juiste beleidsaspecten voor het ontwikkelen van applicaties ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van een applicatie. Dit zal een negatieve impact hebben op het bereiken van doelstellingen waarvoor de applicatie is ontworpen en ingericht.
Objecten, controls en maatregelen
Onderstaande afbeelding toont de objecten die specifiek voor dit domein een rol spelen. Het geeft een overzicht en de ordening van objecten. De geel gemarkeerde objecten komen voor in de Baseline Informatiebeveiliging Overheid (BIO). De wit gemarkeerde objecten zijn betrokken uit andere best practices. Voor de identificatie van de objecten en de ordening is gebruik gemaakt van basiselementen (zie de grijs gemarkeerde tekst). Ze zijn ingedeeld naar de invalshoek: Intentie, Functie, Gedrag of Structuur.
Principes uit de BIO Thema Applicatieontwikkeling binnen dit aspect[bewerken]
ID | Principe | Criterium |
---|---|---|
APO_B.01 | Beleid voor (beveiligd) ontwikkelen | Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. |
APO_B.02 | Systeem-ontwikkelmethode | Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd. |
APO_B.03 | Classificatie van informatie | Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. |
APO_B.04 | Engineeringsprincipe voor beveiligde systemen | Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. |
APO_B.05 | Business Impact Analyse (BIA) | De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid hebben op de organisatie. |
APO_B.06 | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd volgens relevante wet- en regelgeving. |
APO_B.07 | Kwaliteitsmanagementsysteem | De doelorganisatie behoort conform een uitgestippeld ontwikkel- en onderhoudsbeleid een kwaliteitsmanagementsysteem in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst. |
APO_B.08 | Toegangsbeveiliging op programmacode | Toegang tot de programmabroncodebibliotheken behoren te worden beperkt. |
APO_B.09 | Projectorganisatie | Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem-ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap. |
Normen uit de BIO Thema Applicatieontwikkeling binnen dit aspect[bewerken]
ID | Stelling | Norm |
---|---|---|
APO_B.01.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling |
APO_B.01.02 | De handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling |
APO_B.01.03 | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Overwegingen bij het beleid voor beveiligd ontwikkelen van software |
APO_B.01.04 | Technieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen. | Technieken voor beveiligd programmeren |
APO_B.02.01 | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling). | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie |
APO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen |
APO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord. | Adoptie van ontwikkelmethodologie wordt gemonitord |
APO_B.02.04 | Standaarden en procedures worden toegepast voor:
| Software wordt ontwikkelen conform standaarden en procedures |
APO_B.02.05 | De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
| De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten |
APO_B.02.06 | Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
| Het softwareontwikkeling wordt projectmatig aangepakt |
APO_B.03.01 | De handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen. | Dataclassificatie als uitgangspunt voor softwareontwikkeling |
APO_B.03.02 | De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd |
APO_B.03.03 | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema |
APO_B.03.04 | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements. | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements |
APO_B.04.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | Security by Design als uitgangspunt voor softwareontwikkeling |
APO_B.04.02 | Voor het beveiligen van informatiesystemen zijn de volgende principes van belang:
| Principes voor het beveiligen van informatiesystemen |
APO_B.04.03 | Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld. | Beveiliging is integraal onderdeel van systeemontwikkeling |
APO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
APO_B.05.01 | Bij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen:
| Perspectieven bij de Business Impact Analyse |
APO_B.05.02 | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| Scenario's voor de Business Impact Analyse |
APO_B.05.03 | Met de business impact analyse wordt vastgesteld op welke wijze een eventuele inbreuk op de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie |
APO_B.06.01 | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd. | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen |
APO_B.06.02 | Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten |
APO_B.06.03 | Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen. | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen |
APO_B.06.04 | Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak. | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak |
APO_B.06.05 | De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Risicomanagement aanpak aantoonbaar toegepast |
APO_B.06.06 | Conform de Algemene Verordening Gegevensbescherming (AVG) worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd. | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd |
APO_B.07.01 | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid |
APO_B.07.02 | De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek. | De doelorganisatie beschikt over QA- en KMS-methodiek |
APO_B.07.03 | De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd |
APO_B.07.04 | Er zijn informatie- en communicatieprocessen ingericht. | Voor informatie- en communicatie zijn processen ingericht |
APO_B.07.05 | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd. | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd |
APO_B.07.06 | Aan het management worden evaluatierapportages verstrekt. | Aan het management worden evaluatierapportages verstrekt |
APO_B.07.07 | De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem. | Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS |
APO_B.08.01 | Om de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen:
| Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen |
APO_B.08.02 | Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen. | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd |
APO_B.09.01 | De beveiligingsfunctionaris zorgt onder andere voor:
| Taken van de beveiligingsfunctionaris |
APO_B.09.02 | De beveiligingsfunctionaris geeft onder andere inzicht in:
| Inzicht gegeven door de beveiligingsfunctionaris |