Applicatieontwikkeling Control

Uit NORA Online
ISOR:BIO Thema Applicatieontwikkeling Control
Ga naar: navigatie, zoeken
Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Let op! Versie 2.1 in pdf-formaat wordt pas op de website BIO-overheid/producten gepubliceerd, na de volledige invoer van alle updates van de BIO Thema-uitwerkingen in de ISOR.
Deze informatie is onderdeel van BIO Thema-uitwerking Applicatieontwikkeling.

Meer lezen

BIO Thema-uitwerking Applicatieontwikkeling
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR (Information Security Object Repository)

Objecten, controls en maatregelen

Onderstaande afbeelding toont de objecten die specifiek voor dit domein een rol spelen. Het blauw gemarkeerde object komt voor in de Baseline Informatiebeveiliging Overheid (BIO). De wit gemarkeerde objecten zijn betrokken uit andere best practices. De objecten zijn ingedeeld naar de invalshoek: Intentie, Functie, Gedrag of Structuur.


”Overzicht objecten voor applicatieontwikkeling in het control-domein”
Overzicht objecten voor applicatieontwikkeling in het control-domein


Risico[bewerken]

Door het ontbreken van noodzakelijke maatregelen binnen de organisatie van de leverancier is het niet zeker of de ontwikkel- en onderhoudsadministratie aan de beoogde organisatorische en beveiligingsvoorwaarden voldoen en of de governance van deze omgeving toereikend is ingericht. Evenmin kan worden vastgesteld of de gewenste maatregelen worden nageleefd.

Doelstelling[bewerken]

De doelstelling van applicatieontwikkeling in het control-domein is vast te stellen of:

  • de applicatie-controls afdoende zijn ingericht voor het garanderen van een beheersbare applicatie omgeving en/of;
  • de applicatieve diensten functioneel en technisch op het juiste niveau worden gehouden.


Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht waarin beheerprocessen zijn vormgegeven.

Principes uit de BIO Thema Applicatieontwikkeling binnen dit aspect[bewerken]

IDPrincipeCriterium
APO_C.01Richtlijn evaluatie-ontwikkelactiviteitenDe projectorganisatie behoort richtlijnen voor de controle-activiteiten en rapportages te hebben geformuleerd, gericht op de evaluaties van ontwikkelactiviteiten, zoals requirements, specificaties en programmacode.
APO_C.02Versiebeheer applicatieontwikkkelingDe projectorganisatie behoort in het systeem-ontwikkeltraject versiebeheer procesmatig en efficiënt ingericht te hebben.
APO_C.03Patchmanagement applicatieontwikkelingPatchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.
APO_C.04(Software)configuratiebeheerDe inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.
APO_C.05Quality assuranceDe projectorganisatie behoort een quality assurance-proces te hebben ingericht, waarmee zij de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling kan vaststellen.
APO_C.06Compliance-managementDe projectorganisatie behoort een compliance-managementproces ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.
APO_C.07Technische beoordeling informatiesystemenBij veranderingen van besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.
APO_C.08Beheersorganisatie applicatieontwikkelingDe projectverantwoordelijke behoort voor de software-ontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen en van de betrokken functionarissen de taken, verantwoordelijkheden en bevoegdheden zijn vastgesteld.

Normen uit de BIO Thema Applicatieontwikkeling binnen dit aspect[bewerken]

IDStellingNorm
APO_C.01.01De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software.Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
APO_C.01.02De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode.Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
APO_C.01.03De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten.Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast
APO_C.01.04De projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten.Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen
APO_C.01.05De quality assurance-methodiek wordt conform de richtlijnen nageleefd.De Quality Assurance methodiek wordt conform de richtlijnen nageleefd
APO_C.01.06De projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
APO_C.01.07Periodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
APO_C.02.01Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris
APO_C.02.02In het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd.Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
APO_C.02.03Het versiebeheerproces wordt ondersteund met procedures en werkinstructies.Versiemanagement wordt ondersteund met procedures en werkinstructies
APO_C.02.04Een versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals Ontwikkel, Test, Acceptatie en Productie (OTAP)) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
Ondersteuning vanuit het toegepaste versiebeheertool
APO_C.03.01Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt
APO_C.03.02De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement.Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
APO_C.03.03Het al dan niet uitvoeren van patches voor programmacode is geregistreerd.Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
APO_C.03.04Het beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.Het beheer van technische kwetsbaarheden in code uit externe bibliotheken
APO_C.03.05Bij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes
APO_C.03.06Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd.Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
APO_C.04.01Softwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd.Software configuratiescomponenten worden conform procedures vastgelegd
APO_C.04.02De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
APO_C.04.03Wijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB).Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB
APO_C.05.01De projectorganisatie beschikt over een quality assurance-methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze methodiek.Het compliance management proces is gedocumenteerd en vastgesteld
APO_C.05.02Conform de quality assurance-methodiek is een quality assurance-proces ingericht voor het uitvoeren van quality assurance-activiteiten gedurende alle fasen van de ontwikkelcyclus en waarbij aandacht wordt besteed aan:
  • het evalueren van de requirementsanalyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingscontrols (beleid, methoden en geprogrammeerde mechanismen voor de betrouwbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) zoals overeengekomen tijdens het risico-assessment zijn ontwikkeld en adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
  • De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
    APO_C.05.03De resultaten uit de quality assurance-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren.Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken
    APO_C.05.04Toetsingsafspraken en -resultaten zijn beknopt en Specifiek, Meetbaar, Realistisch en Tijdgebonden (SMART) vastgelegd.Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
    APO_C.06.01Het compliance-managementproces, bestaande uit de sub-processen planning, evaluatie, rapportering en correctie/implementatie is gedocumenteerd en vastgesteld door het management.De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
    APO_C.06.02Voor het compliance-proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (Algemene Verordening Gegevensbescherming (AVG), wet Computercriminaliteit, Encryptie e.d.) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van de wet- en regelgeving en het overeengekomen informatiebeveiligingsbeleid, de architectuur en de standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance-checks op wet- en regelgeving en overeengekomen beleid, architectuur en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen voor security-compliance in een autorisatiematrix.
  • Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
    APO_C.07.01Bij verandering van besturingssystemen wordt onder andere het volgende getest:
  • de toepassingscontrole procedures;
  • het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
  • het vaststellen of de veranderingen invloed hebben op de beschikbaarheid van de functionaliteiten van de applicatie en invloed hebben op de beveiliging van de applicatie;
  • het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
  • Testen bij verandering van besturingssystemen
    APO_C.08.01De samenhang van de beheersprocessen wordt met een processtructuur vastgelegd.De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd
    APO_C.08.02De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk
    APO_C.08.03De taken, verantwoordelijkheden en bevoegdheden voor de beheerprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
    APO_C.08.04De projectorganisatie heeft de taken, verantwoordelijkheden en bevoegdheden voor het uitvoeren van de evaluatie- en beheerswerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven