Beleid voor (beveiligd) ontwikkelen

Beveiligingsprincipe
ID:	AppO_B.01
Versie:	1.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	1-2-2019
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	1-2-2019
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Verwante principes

→ BIO Thema Applicatieontwikkeling

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

De ISO baseline (ISO pg. 74) formuleert ‘Beveiligd ontwikkelen’ als een eis voor het opbouwen van een beveiligde dienstverlening, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., software en een beveiligd systeem. In dit thema worden bij het object ‘beleid voor (beveiligd) ontwikkelen’ aan applicatieontwikkeling beleid gerelateerde specifieke aspecten benadrukt. In zo’n beleid worden onder andere methoden en technieken voor requirementanalyse en richtlijnen met betrekking tot beveiliging in de levenscyclus van softwareontwikkeling besproken.

Criterium

Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.

Doelstelling

De reden waarom de norm gehanteerd wordt.

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Beleid
valt binnen de IFGS-indeling IFGS Intentie
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 14.2.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling
AppO_B.01.01	regels	De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.
AppO_B.01.02	regels	De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.
AppO_B.01.03	regels	In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen: beveiliging van de ontwikkelomgeving; richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling; beveiliging in de softwareontwikkelmethodologie; beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt; beveiligingseisen in de ontwikkelfase; beveiligingscontrolepunten binnen de mijlpalen van het project; beveiliging van de versiecontrole; vereiste kennis over toepassingsbeveiliging; het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
AppO_B.01.04	regels	Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.