Applicatieontwikkeling Uitvoering

Uit NORA Online
ISOR:BIO Thema Applicatieontwikkeling Uitvoering
Ga naar: navigatie, zoeken
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Deze informatie is onderdeel van BIO Thema Applicatieontwikkeling.

Meer lezen

BIO Thema Applicatieontwikkeling
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Uitvoering domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

”Onderwerpen die binnen het Uitvoering domein een rol spelen”
Onderwerpen die binnen het Uitvoering domein een rol spelen


Nr Objecten Referentie IFGS
U.01 ;Procedures voor wijzigingsbeheer m.b.t. applicaties en systemen ISO27002: 14.2.2 I
U.02 Beperkingen voor de installatie van software (richtlijnen) ISO27002: 12.6.2 I
U.03 Richtlijnen voor programmacode (best practices) CIP Domeingroep BIO I
U.04 Analyse en specificatie van informatiesystemen Cobit F
U.05 Analyse en specificatie van informatiebeveiligingseisen ISO27002:14.1.1 F
U.06 Applicatie ontwerp SoGP F
U.07 Applicatiefunctionaliteiten (invoer, verwerking, uitvoer) ISO27002:12.2.1, 12.2.2, 1.2.2.4, BIR 1.0 F
U.08  Applicatiebouw SoGP F
U.09 Testen van systeembeveiliging ISO27002:14.2.8 F
U.10 Systeemacceptatie tests ISO27002:14.2.9 F
U.11 Beschermen van testgegevens ISO27002:14.3.1 F
U.12 Beveiligde Ontwikkel- (en Test-)omgeving ISO27002: 14.2.6 G
U.13 Applicatiekoppelingen ISO25010, NIST CA, CIP Domeingroep BIO G
U.14 Logging en monitoring CIP Domeingroep BIO G
U.15 Applicatie/software architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. ISO25010, CIP Domeingroep BIO S
U.16 Tooling ontwikkelmethode ISO25010, CIP Domeingroep BIO S
Applicatieontwikkeling, Voor het Uitvoeringdomein uitgewerkte Beveiligingsobjecten

Risico

Wanneer adequate normen voor applicatieontwikkeling en -onderhoud ontbreken, bestaat het risico dat deze activiteiten plaatsvinden op basis van onjuiste gronden of dat het fundament waarop deze activiteiten steunen niet aan het juiste beveiligingsniveau voldoet. Zo kan door het ontbreken van richtlijnen en procedures voor activiteiten binnen de verschillende omgevingen software in de productieomgeving geïnstalleerd worden die fouten bevat en waardoor productiegegevens gecorrumpeerd kunnen worden.

Doelstelling

De doelstelling van het uitvoeringsdomein voor applicatieontwikkeling is het waarborgen dat de ontwikkel- en onderhoudsactiviteiten plaatsvinden overeenkomstig specifieke beleidsuitgangspunten en dat de werking daarvan voldoet aan de eisen die door de klant (doelorganisatie) zijn gesteld. Met randvoorwaarden in de vorm van beleid geeft de organisatie kaders aan waarbinnen de ontwikkel- en onderhoudsactiviteiten moeten plaatsvinden.

Principes uit de BIO Thema Applicatieontwikkeling binnen dit aspect

IDprincipeCriterium
AppO_U.01Procedures voor wijzigingsbeheer m.b.t. applicatiesWijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door het gebruik van formele procedures voor wijzigingsbeheer.
AppO_U.02Beperkingen voor de installatie van software(richtlijnen)Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.
AppO_U.03Richtlijnen voor programmacode (best practices)Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices.
AppO_U.04Analyse en specificatie van informatiesystemenDe functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.
AppO_U.05Analyse en specificatie van informatiebeveiligingseisenDe beveiligingseisen die verband houden met informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen.
AppO_U.06Applicatie ontwerpHet applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: Business vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging.
AppO_U.07Applicatie functionaliteitenInformatiesystemen behoren zo te worden ontworpen, dat de invoer-, verwerking- en outputfuncties van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. om het businessproces optimaal te kunnen ondersteunen.
AppO_U.08ApplicatiebouwDe bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van (industrie) good practice en door ontwikkelaars die beschikken over de juiste skills/tools en de applicaties behoren te worden gereviewd.
AppO_U.09Testen van systeembeveiligingTijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest.
AppO_U.10Systeem acceptatietestsVoor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.
AppO_U.11Beschermen van testgegevensTestgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.
AppO_U.12Beveiligde ontwikkel- (en test) omgevingOrganisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.
AppO_U.13ApplicatiekoppelingenDe koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen waarborgen.
AppO_U.14Logging en monitoringApplicaties behoren faciliteiten te bieden voor logging en monitoring om ongeoorloofde en onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.
AppO_U.15Applicatie architectuurDe functionele- en beveiligingseisen behoren in een applicatie-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., conform architectuurvoorschriften, in samenhang te zijn vastgelegd.
AppO_U.16Tooling ontwikkelmethodeDe ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus.

Normen uit de BIO Thema Applicatieontwikkeling binnen dit aspect

IDStellingNorm
AppO_U.01.01Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD.Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks
AppO_U.01.02Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren.Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren
AppO_U.01.03Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces
AppO_U.01.04Enkele elementen van de procedures voor wijzigingsbeheer zijn:
  1. alle wijzigingsverzoeken (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  2. het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  3. wijzigingen worden doorgevoerd door bevoegde medewerkers.
  4. van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  5. uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  6. aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
Elementen van de procedures voor wijzigingsbeheer
AppO_U.02.01De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren.Beleid ten aanzien van het type software dat mag worden geïnstalleerd
AppO_U.02.02Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'.Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'
AppO_U.02.03De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars.De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars
AppO_U.03.01De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
  • gebruikte tools;
  • gebruikte licenties;
  • versiebeheer;
  • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.
De programmacode voor functionele specificaties is reproduceerbaar
AppO_U.03.02(Programma)code wordt aantoonbaar veilig gecreëerd.programmacode wordt aantoonbaar veilig gecreëerd
AppO_U.03.03(Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van code bugs;
  • het voorkomen van herintroductie van code bugs;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten);
  • het adequaat documenteren van software-interface, koppelingen en API’s.
  • programmacode is effectief, veranderbaar en testbaar
    AppO_U.03.04Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt.Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt
    AppO_U.03.05Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010.Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire
    AppO_U.03.06Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem.Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten
    AppO_U.03.07Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt.Gebruik van programmacode uit externe programmabibliotheken
    AppO_U.04.01De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO).Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd
    AppO_U.04.02Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden.Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden
    AppO_U.04.03Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris..Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd
    AppO_U.04.04Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode).Alle vereisten worden gevalideerd door peer review of prototyping
    AppO_U.04.05Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd.Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp
    AppO_U.05.01Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen.Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen
    AppO_U.05.02De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen.De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005
    AppO_U.05.03Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
  • beleidsregels, wet en regelgeving;
  • context- en kwetsbaarheidanalyse van de te ondersteunen bedrijfsprocessen;
  • afspraken met en afhankelijkheden van ketenpartijen.
  • Informatiebeveiligingseisen
    AppO_U.05.04Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
  • authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. eisen van gebruikers;
  • toegangsbeveiligingseisen;
  • eisen ten aanzien van beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen;
  • eisen afgeleid uit bedrijfsprocessen;
  • eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.
  • Overwogen informatiebeveiligingseisen
    AppO_U.06.01Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
  • gebruikerseisen, beveiligingseisen en kwaliteitseisen;
  • business vereisten, (o.a. nut, noodzaak en kosten);
  • eisen welke voortvloeien uit risico assessments, dreigingsanalyse en prioritering ervan, en technische beveiligingsreviews (en de prioritering daarvan);
  • eisen welke voortvloeien uit BIA en PIA (GEB) analyses.
  • Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie
    AppO_U.06.02Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
  • mogelijke invoerbronnen voor data en connecties met andere applicaties(componenten);
  • connecties tussen modules binnen applicatie en connecties met andere applicaties;
  • gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage;
  • uitvoer van informatie naar andere applicaties en beveiliging hiervan;
  • mogelijke transmissie van data tussen applicaties.
  • Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie
    AppO_U.06.03Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit.Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur
    AppO_U.07.01Bereikcontroles worden toegepast en gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd.Bereikcontroles worden toegepast en gegevens worden gevalideerd
    AppO_U.07.02Geprogrammeerde controles worden ondersteund.Geprogrammeerde controles worden ondersteund
    AppO_U.07.03Het uitvoeren van onopzettelijke mutaties wordt tegengegaan.Het uitvoeren van onopzettelijke mutaties wordt tegengegaan
    AppO_U.07.04Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar.Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar
    AppO_U.07.05Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail).Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar
    AppO_U.07.06Opgeleverde/over te dragen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd.Opgeleverde en over te dragen gegevens worden gevalideerd
    AppO_U.07.07Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd) en op de verwerking en output van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (versterkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd) wordt uitgevoerd.Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens
    AppO_U.07.08Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd buiten de applicatie om (kunnen) worden benaderd.Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd
    AppO_U.07.09Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid.Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd
    AppO_U.08.01Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
  • dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd;
  • dat mechanismen worden gebruikt op basis waarvan zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).
  • Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld
    AppO_U.08.02Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages.Veilige methodes ter voorkoming van veranderingen in basis code of in software packages
    AppO_U.08.03Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering).Voor het creëren van programma code wordt gebruik gemaakt van good practices
    AppO_U.08.04Het gebruik van onveilig programmatechnieken is niet toegestaan.Geen gebruik van onveilig programmatechnieken
    AppO_U.08.05Programmacode is beschermd tegen ongeautoriseerde wijzigingen.(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen
    AppO_U.08.06Activiteiten van applicatiebouw worden gereviewd.Activiteiten van applicatiebouw worden gereviewd
    AppO_U.08.07De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren.De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren
    AppO_U.09.01Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules).Functionarissen testen functionele requirements
    AppO_U.09.02De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur.In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek
    AppO_U.10.01Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd.Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt
    AppO_U.10.02Van de resultaten van de testen wordt een verslag gemaakt.Van de resultaten van de testen wordt een verslag gemaakt
    AppO_U.10.03Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase.Testresultaten worden formeel geëvalueerd en beoordeeld
    AppO_U.10.04(Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving.Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving
    AppO_U.10.05Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd.Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang
    AppO_U.10.06Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens.Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens
    AppO_U.10.07Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
  • het testen van de functionele requirements.
  • het testen van de business rules voor de betrokken bedrijfsprocessen.
  • de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.
  • Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken
    AppO_U.11.01De volgende richtlijnen worden toegepast om operationele gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die voor testdoeleinden worden gebruikt te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
  • Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen
    AppO_U.12.01Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
    AppO_U.12.02De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces.Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen
    AppO_U.12.03De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen.De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen
    AppO_U.12.04Voor remote werkzaamheden is een werkwijze vastgelegd.Voor remote werkzaamheden is een werkwijze vastgelegd
    AppO_U.12.05Ontwikkelaars hebben geen toegang tot de Productie-omgeving.Ontwikkelaars hebben geen toegang tot productieomgeving
    AppO_U.12.06T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures.Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen
    AppO_U.12.07De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats.De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats
    AppO_U.12.08De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats.De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats
    AppO_U.12.09De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.De overdracht naar de Productieomgeving vindt gecontroleerd plaats
    AppO_U.13.01Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen.Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen
    AppO_U.13.02Van het type koppelingen is een overzicht aanwezig.Van het type koppelingen is een overzicht aanwezig
    AppO_U.13.03Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten.Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten
    AppO_U.13.04De uitgevoerde koppelingen worden geregistreerd.De uitgevoerde koppelingen worden geregistreerd
    AppO_U.14.01Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd.Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden
    AppO_U.14.02InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd.Informatie ten aanzien van autorisatie(s) wordt vastgelegd
    AppO_U.14.03De loggegevens zijn beveiligd.De loggegevens zijn beveiligd
    AppO_U.14.04De locatie van de vastlegging van de loggegevens is vastgesteld.De locatie van de vastlegging van de loggegevens is vastgesteld
    AppO_U.14.05De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden.De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden
    AppO_U.14.06De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd.De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd
    AppO_U.15.01De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld
    AppO_U.15.02Het architectuurdocument wordt actief onderhouden.Het architectuur document wordt actief onderhouden
    AppO_U.15.03De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast.De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast
    AppO_U.15.04Tussen in- en uitstroom van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang.Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten
    AppO_U.15.05Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten).Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar
    AppO_U.15.06De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is inzichtelijk.De relatie tussen de persoonsgegevens is inzichtelijk
    AppO_U.16.01Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages.Het tool ondersteunt alle fasen van het ontwikkelproces
    AppO_U.16.02Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden.Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden
    AppO_U.16.03Het tool beschikt over faciliteiten voor versie- en releasebeheer.Het tool beschikt over faciliteiten voor versie- en releasebeheer
    AppO_U.16.04Het tool beschikt over faciliteiten voor:
  • het registreren van eisen en wensen;
  • het afhandelen van fouten;
  • het beveiligen van registraties (programmacode);
  • het continu integreren van componenten;
  • het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.
  • Faciliteiten van het tool
    AppO_U.16.05Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen.Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen