Engineeringsprincipe voor beveiligde systemen

Uit NORA Online
ISOR:Engineeringprincipes beveiligde systemen
Naar navigatie springen Naar zoeken springen
Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft een regel, norm of beginsel voor ‘goed gedrag’, specifiek voor het ontwikkelen van applicaties die beveiligd moeten worden.

Objecttoelichting

Bij het ontwikkelen van applicaties worden engineeringsprincipes in acht genomen. In de Baseline Informatiebeveiliging Overheid (BIO) is het principe security by design expliciet genoemd. In de ISO 27033-2 2012 is het principe defence in depth expliciet genoemd. Hiernaast bestaan nog verschillende andere van belang zijnde (engineerings)principes die in andere baselines zijn opgenomen.


Criterium

Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.

Doelstelling

Het continue hebben van een toegepaste beveiligingsbasis voor alle verrichtingen voor het implementeren van informatiesystemen.

Risico

Informatiebeveiligingsmaatregelen voor het implementeren van informatiesystemen zijn niet/minder effectief.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 14.2.5

Onderliggende normen

IDConformiteitsindicatorStelling
APO_B.04.01 Principes

De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.

APO_B.04.02 Principes

Voor het beveiligen van informatiesystemen zijn de volgende principes van belang:

  • Defence in depth (beveiliging op verschillende lagen)
  • Secure by default
  • Default deny
  • Fail secure
  • Input van externe applicaties wantrouwen
  • Secure in deployment
  • Bruikbaarheid en beheersbaarheid
APO_B.04.03 Principes

Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld.

APO_B.04.04 Principes

Ontwikkelaars zijn getraind om veilige software te ontwikkelen.