Ontwerpen op basis van eisen

Uit NORA Online
Ga naar: navigatie, zoeken

Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. De komende periode zal hieraan nog de ISOR (Information Security Object Repository) van het CIP (Centrum Informatiebeveiliging en Privacybescherming) worden toegevoegd. Contactpersonen: Annemieke de Wit & Ruud de Bruin

Ruud.deBruijn@uwv.nl;annemieke.dewit@cip-overheid.nl


De stappen die doorlopen worden vanuit een businessvraag tot en met exploitatie van een informatievoorziening is geschetst in onderstaande figuur. Vaak wordt gestart met een businesscase, waarin o.a. kosten/baten analyse wordt uitgevoerd. Dat gebeurt in de eerste stap van opdrachtformulering en Definitiestudie. De figuur geeft aan in welke fase de verschillende onderdelen van risicoanalyse worden uitgevoerd.

Gestart wordt met een Business Impact Analyse (BIA). De resultaten van de BIA worden ingebracht in het proces van definitiestudie en interactie met de business en leidt tot het z.g. Acceptabel Rest Risico. (ARR) Samengevat: welke uitvalduur van systemen en welk verlies van data is nog acceptabel voor de bedrijfsvoering? Sommige bedrijven gebruiken een Afhankelijkheden & Kwetsbaarheden analyse (A&K), waarin globaal dezelfde vragen worden gesteld als in de BIA en de eerste stappen van de Dreigingen en Kwetsbaarheden analyse (D&K).

Na de ontwerpfase waarin de maatregelen selectie voor beveiliging wordt uitgevoerd, wordt het z.g. Ontworpen Rest Risico (ORR) bepaald en gerapporteerd aan de business. Als de opdrachtgever het risico accepteert, wordt het detailontwerp gemaakt en vervolgens gerealiseerd. In de realisatiefase worden meestal aanbestedingen gedaan, producten geselecteerd en ingekocht. Vooral wat betreft security lukt het niet altijd om alle ontworpen beveiligingsfunctionaliteit op het functioneel beste product in te kopen. Dat veroorzaakt, dat het restrisico van de voorziening in exploitatie kan afwijken van het Ontworpen Rest Risico, dat met de business is afgestemd. Tijdens penetratie- en acceptatietesten wordt daarom het z.g. Exploitatie Rest Risico (ERR) bepaald, waarin de opdrachtgever nogmaals wordt geïnformeerd over de status van beveiliging van de voorziening. In exploitatie worden Service Level Agreements (SLA) afgesloten, waarin afspraken worden gemaakt over de dienstverlening en rapportage van voorkomende risico’s.

Risico-analyse en acceptatie in de businessketen