Veilige systeemarchitectuur en technische uitgangspunten

Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	APO_B.04
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Objectdefinitie

Regel, norm of beginsel voor ‘goed gedrag’, specifiek voor het ontwikkelen van software en systemen die beveiligd moeten worden.

Objecttoelichting

Bij het ontwikkelen van software en systemen worden engineeringsprincipes in acht genomen. In de BIO is het principe security by design expliciet genoemd. In de ISO 27033-2 2012 is het principe defence in depth expliciet genoemd. Hiernaast bestaan nog verschillende andere van belang zijnde (engineerings)principes die in andere baselines zijn opgenomen.

Criterium

Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen

Doelstelling

Waarborgen dat informatiesystemen veilig worden ontworpen, geïmplementeerd en beheerd binnen de ontwikkelingslevenscyclus.

Risico

Als bij het ontwerpen en ontwikkelen van software en systemen geen consistente veilige architectuurprincipes en technische uitgangspunten worden toegepast, bestaat het risico dat informatiebeveiligingsmaatregelen niet effectief zijn ingebed in het systeemontwerp, waardoor structurele kwetsbaarheden ontstaan die tijdens beheer en gebruik moeilijk of kostbaar te corrigeren zijn.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO2 8.27ISO 27002 2022 8.27

Onderliggende normen

ID	Conformiteitsindicator	Stelling
APO_B.04.01	Uitgangspunten	Architectuurprincipes zoals ‘security by design’ en ‘security by default’ voor het ontwerpen van beveiliging van informatiesystemen worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten over het ontwikkelen van informatiesystemen.
APO_B.04.02	Uitgangspunten	Voor het beveiligen van informatiesystemen zijn de volgende principes van belang: Defence in depth (beveiliging op verschillende lagen) Secure by default Default deny Fail secure Input van externe applicaties wantrouwen Secure in deployment Bruikbaarheid en beheersbaarheid
APO_B.04.03	Uitgangspunten	Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld.
APO_B.04.04	Uitgangspunten	Ontwikkelaars zijn getraind om veilige software te ontwikkelen.