Applicatieontwikkeling Control

Uit NORA Online
ISOR:BIO Thema Applicatieontwikkeling Control
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema Applicatieontwikkeling.

Meer lezen

Bron niet opgegeven
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Control domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

”Onderwerpen die binnen het Controldomein een rol spelen”
Onderwerpen die binnen het Control-domein een rol spelen


Nr Objecten Referentie IFGS
C.01 Richtlijnen evaluatie ontwikkelactiviteiten ISO27002: 12.6.1, CIP Domeingroep BIO I
C.02; Versiebeheer CIP Domeingroep BIO F
C.03 Patchmanagement van externe programmacode CIP Domeingroep BIO F
C.04 (Software)configuratie beheer CIP Domeingroep BIO F
C.05 Compliance management CIP Domeingroep BIO F
C.06 Quality assurance CIP Domeingroep BIO F
C.07 Technische beoordeling van informatiesystemen na wijziging besturingsplatform ISO27002: 14.2.3 F
C.08 Beheersing van softwareontwikkeling(sprojecten CIP Domeingroep BIO S
Applicatieontwikkeling, Voor het Controldomein uitgewerkte Beveiligingsobjecten

Risico

Door het ontbreken van noodzakelijke maatregelen binnen de organisatie van de Leverancier is het niet zeker of de ontwikkel- en onderhoudsadministratie aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en of de governance van deze omgeving toereikend is ingericht. Evenmin kan worden vastgesteld of de gewenste maatregelen worden nageleefd.

Doelstelling

De doelstelling van het Control domein is het vaststellen of:

  • de applicatie controls afdoende zijn ingericht voor het garanderen van een beheersbare applicatie omgeving, en/of
  • de applicatieve diensten functioneel en technisch op het juiste niveau worden gehouden.

Dit houdt onder meer in, dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht waarin beheerprocessen zijn vormgegeven.

Principes uit de BIO Thema Applicatieontwikkeling binnen dit aspect

IDprincipeCriterium
AppO_C.01Richtlijnen evaluatie ontwikkelactiviteitenDe projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode.
AppO_C.02Versie ManagementDe projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben.
AppO_C.03Patchmanagement van externe programmacodePatchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.
AppO_C.04(Software) configuratie managementDe inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.
AppO_C.05Compliance managementDe projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.
AppO_C.06Quality assuranceDe projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen.
AppO_C.07Technische beoordeling van informatiesystemen na wijziging besturingsplatformBij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.
AppO_C.08Beheersing van software ontwikkeling(sprojecten)De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Normen uit de BIO Thema Applicatieontwikkeling binnen dit aspect

IDStellingNorm
AppO_C.01.01De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software.Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
AppO_C.01.02De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode.Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
AppO_C.01.03De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten.Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast
AppO_C.01.04De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten.Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen
AppO_C.01.05De QA methodiek wordt conform de richtlijnen nageleefd.De Quality Assurance methodiek wordt conform de richtlijnen nageleefd
AppO_C.01.06De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
AppO_C.01.07Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
AppO_C.02.01Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris
AppO_C.02.02In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd.Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
AppO_C.02.03Het versiebeheerproces wordt ondersteund met procedures en werkinstructies.Versiemanagement wordt ondersteund met procedures en werkinstructies
AppO_C.02.04Een versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
Ondersteuning vanuit het toegepaste versiebeheertool
AppO_C.03.01Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt
AppO_C.03.02De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement.Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
AppO_C.03.03Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd.Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
AppO_C.03.04Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.Het beheer van technische kwetsbaarheden in code uit externe bibliotheken
AppO_C.03.05Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes
AppO_C.03.06Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd.Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
AppO_C.04.01Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd.Software configuratiescomponenten worden conform procedures vastgelegd
AppO_C.04.02De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
AppO_C.04.03Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB.Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB
AppO_C.05.01Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management.Het compliance management proces is gedocumenteerd en vastgesteld
AppO_C.05.02Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (AVG, Computer Criminaliteit en Encryptie) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van wet- en regelgeving en overeengekomen informatiebeveiligingsbeleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance checks op wet en regelgeving en overeengekomen beleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen m.b.t. security compliance in een autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen matrix.
  • De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
    AppO_C.06.01De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek.De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
    AppO_C.06.02Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
  • het evalueren van de requirement analyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingcontrols (beleid, methoden, geprogrammeerde mechanismen t.b.v. BIVC) en zoals overeengekomen tijdens risico assessment zijn ontwikkeld, adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
  • Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
    AppO_C.06.03De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren.Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken
    AppO_C.06.04Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd.Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
    AppO_C.07.01Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
    1. de toepassingscontrole procedures;
    2. het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
    3. het vaststellen of de veranderingen invloed hebben op de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de functionaliteiten van de applicatie en/of invloed hebben op de beveiliging van de applicatie;
    4. het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
    Testen bij verandering van besturingssystemen
    AppO_C.08.01De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd.De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd
    AppO_C.08.02De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt.De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk
    AppO_C.08.03De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
    AppO_C.08.04De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven