Veilige software

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	CLD_U.03
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Functie

Objectdefinitie

Veilige software is geen vanzelfsprekendheid, het meenemen van de informatieveiligheid tijdens de ontwikkeling en het up-to-date houden van de te nemen maatregelen vormen de basis voor veilige software.

Objecttoelichting

Informatie over de samenwerking tussen opdrachtgever en opdrachtnemer om veilig software veilig te krijgen kunt u vinden in ‘Grip op SSD’ van het CIP

Criterium

Voor het veilig ontwikkelen van software en het voorkomen van besmetting met malware zijn regels vastgesteld en toegepast.

Doelstelling

Informatiebeveiligingsmaatregelen worden ontworpen en geïmplementeerd tijdens de gehele levenscyclus van software.

Risico

Als informatiebeveiligingsmaatregelen niet structureel worden meegenomen tijdens alle fasen van de software-levenscyclus, bestaat het risico dat kwetsbaarheden in de software ontstaan of blijven bestaan, waardoor beveiligingsincidenten kunnen optreden met impact op de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en dienstverlening.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Functie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002:2022 8.25

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CLD_U.03.01	vastgesteld	Door de CSC en de CSP worden de basisvereisten voor het beveiligen van applicaties toegepast en up-to-date gehouden.
CLD_U.03.02	vastgesteld	De CSC vraagt bij de CSP informatie op over de door de CSP gebruikte informatiebeveiligingsmaatregelen binnen de ontwikkelingscyclus, ook wanneer (een deel van) de ontwikkeling bij een toeleverancier plaatsvindt. Deze informatie moet informatief zijn, zonder informatie vrij te geven die nuttig kan zijn voor iemand met kwade bedoelingen.
CLD_U.03.03	toegpast	De CSP waarborgt dat nieuwe informatiesystemen/software, upgrades en nieuwe versies veilig zijn door deze te testen op de vereisten voor het beveiligen van applicaties en ze tijdig te implementeren. De CSP doet dit door daar waar mogelijk te voldoen aan de principes van continuous delivery.
CLD_U.03.04	toegpast	De CSP voorziet de componenten/software binnen de clouddienst van malwarebescherming. Als er beveiligingsprogramma’s zijn opgezet met handtekening en gedrag gebaseerde detectie en verwijdering van malware, worden deze beveiligingsprogramma’s minimaal dagelijks bijgewerkt.