Logging en monitoring applicatieontwikkeling
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Omvat het vastleggen van informatiebeveiligingsgerelateerde gebeurtenissen en het bewaken en onderkennen van afwijkingen op beleidsregels.
Objecttoelichting
In de te ontwikkelen software moeten faciliteiten voor logging en monitoring zijn ingebouwd die ertoe bijdragen dat bewuste of onbewuste pogingen om informatie in de applicatie te verminken of onterecht te benaderen gedetecteerd en vastgelegd worden.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Gedrag.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is CIP-netwerk
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
APO_U.14.01 | Logging |
Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden, is vastgelegd. |
APO_U.14.02 | Logging |
Informatie over autorisatie(s) wordt vastgelegd. |
APO_U.14.03 | Logging |
De loggegevens zijn beveiligd. |
APO_U.14.04 | Logging |
De locatie van de vastlegging van de loggegevens is vastgesteld. |
APO_U.14.05 | Monitoring |
De applicatie geeft signalen aan de beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. |
APO_U.14.06 | Monitoring |
De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. |