Softwarepakketten Beleid

Uit NORA Online
Naar navigatie springen Naar zoeken springen
Versie 1.1 van 30 maart 2021 van de BIO Thema-uitwerking Softwarepakketten is vervangen door versie 1.2 van 26 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Softwarepakketten.

Meer lezen

BIO Thema-uitwerking Softwarepakketten
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR (Information Security Object Repository)

Doelstelling[bewerken]

Het doel van het beleidsdomein is om de conditionele- of beleidselementen die van belang zijn bij het selecteren en verwerven van softwarepakketten te identificeren. Het zijn elementen die vooraf bekend moeten zijn en die uitgevaardigd en gecommuniceerd worden door het hogere management.

Risico's[bewerken]

Als toereikend beleid ontbreekt, dan bestaat het risico dat er geen systematische analyse van de noodzakelijke requirements plaatsvindt waardoor het verworven softwarepakket niet voorziet in de gewenste (non)functionaliteiten.

Objecten, controls en maatregelen

Onderstaande afbeelding geeft de ordening van beveiligingsobjecten in het beleidsdomein weer met invalshoeken voor deze BIO Thema-uitwerking. Elk objectblok bevat de objectnaam, het basiselement en het objectnummer. Geelgekleurde objecten zijn afgeleid van de Baseline Informatiebeveiliging Overheid (BIO). De witte objecten zijn afgeleid van andere best practices.


”Dit schema geeft alle beveiligingsobjecten weer voor softwarepakketten die horen in het beleidsdomein”
Overzicht objecten voor softwarepakketten in het beleidsdomein


De objecten zijn deels in de onderstaande tabellen uitgewerkt. Echter niet elk object is van toepassing voor elke softwarepakketselectie. Dit hangt af van verschillende factoren zoals: schaalgrootte, hostingslocatie, soort en integreerbaarheid met de bestaande IT. Anders dan andere BIO Thema-uitwerkingen zijn aan deze uitwerking toegevoegd:


  1. Schaalgrootte, De schaalgrootte geeft een globale indicatie (klein, middel of groot) in hoeverre de schaalgrootte van softwarepakketten van invloed kan zijn op de relevantie van een object. Met klein wordt bedoeld getalsmatig en/of bedrijfsmatige impactbeperkte toepassing. Middel is voor middelgrote bedrijfstoepassingen, zoals boekhouding- en officetoepassingen. De waarde groot is voor grootschalig gebruik, enerzijds in aantallen, anderzijds in omvang van het softwarepakket zoals Enterprise Resource Planning (ERP) en Enterprise Data Warehouses (EDW).
  2. Voor wie de control van toepassing is, Het gaat om de klant en/of de leverancier. In veel gevallen is samenwerking tussen de klant en leverancier nodig om risico’s tijdens het gebruik van de softwarepakketten afdoende te beperken.


Principes uit de BIO Thema-uitwerking Softwarepakketten binnen dit aspect[bewerken]

IDPrincipeCriterium
SWP_B.01Verwervingsbeleid softwarepakkettenVoor het verwerven van software behoren regels te worden vastgesteld en op verwervingsactiviteiten binnen de organisatie te worden toegepast.
SWP_B.02Informatiebeveiligingsbeleid voor leveranciersrelatiesMet de leverancier behoren de informatiebeveiligingseisen en een periodieke actualisering daarvan te worden overeengekomen.
SWP_B.03Exit-strategie softwarepakkettenIn de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal bepalingen over exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit.
SWP_B.04Bedrijfs- en beveiligingsfunctiesDe noodzakelijke bedrijfs- en beveiligingsfuncties binnen het veranderingsgebied behoren te worden vastgesteld met organisatorische en technisch uitgangspunten.
SWP_B.05Cryptografie SoftwarepakkettenTer bescherming van de communicatie en opslag van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
SWP_B.06BeveiligingsarchitectuurDe klant behoort het architectuurlandschap in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en beveiligingsprincipes te hebben ontwikkeld.

Normen uit de BIO Thema-uitwerking Softwarepakketten binnen dit aspect[bewerken]

IDStellingNorm
SWP_B.01.01In het verwervingsbeleid voor softwarepakketten zijn regels vastgesteld die bij de verwerving van softwarepakketten in acht dienen te worden genomen. De regels kunnen onder andere betrekking hebben op:
  • analyse van de context waarin het softwarepakket moet functioneren;
  • mobiliseren van kennis die bij het verwerven van belang is;
  • vaststelling van de eigenaarschap van data;
  • tijdige scholing van de betrokken medewerkers;
  • naleven van contractuele verplichtingen.
Regels voor beleid bij verwerving softwarepakketten
SWP_B.01.02De verwerving van een softwarepakket vindt plaats met een business case, waarbij verschillende toepassingsscenario’s worden overwogen:
  • bedrijfsfuncties vanuit een softwarepakket in een eigen rekencentrum;
  • bedrijfsfuncties als Software as a Service (SaaS) aangeboden;
  • hybridevorm van IT-dienstverlening, waarbij SaaS-dienstverlening wordt aangevuld door diensten vanuit het eigen rekencentrum.
  • Verwerven softwarepakket met business case
    SWP_B.01.03Verwerving van een softwarepakket vindt plaats met een functioneel ontwerp, waarin de beoogde functionele en niet-functionele requirements zijn uitgewerkt in een op te stellen softwarepakket van eisen en wensen.Verwerven softwarepakket met functioneel ontwerp
    SWP_B.01.04Leveranciers zijn ISO 27001-gecertificeerd.Leveranciers zijn gecertificeerd
    SWP_B.02.01De overeenkomsten en documentatie omvatten afspraken over:
  • procedures voor levenscyclusmanagement, actualisaties en patches;
  • beveiligingseisen voor fysieke toegang, monitoring en beheer op afstand;
  • verplichtingen voor leveranciers om vertrouwelijke informatie van de klant te beschermen;
  • het bepalen van aanvullende beveiligingseisen zoals het recht op een audit;
  • de bewaking van informatiebeveiligingsprestaties met overeengekomen beveiligingsafspraken voor externe leveranciers;
  • het vaststellen van een methode voor het afsluiten, beëindigen, verlengen en heronderhandelen van contracten met externe leveranciers (exit-strategie);
  • de wijze van rapportage over de dienstverlening.
  • Overeenkomsten en documentatie omvatten afspraken
    SWP_B.03.01De klant legt in de overeenkomst bepalingen over exit vast dat:
  • De exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de klant (zie norm B.03.02 bij conformiteitsindicator Condities).
  • De overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd.
  • De opzegtermijn voldoende tijd geeft om te kunnen migreren.
  • Data en configuratiegegevens (indien relevant) pas na succesvolle migratie verwijderd mogen worden.
  • Door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd.
  • De exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
  • Vastleggen exit-bepalingen in overeenkomst
    SWP_B.03.02De klant kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
  • Contracten:
    • niet beschikbaar zijn van de afgesproken prestatie;
    • eenzijdige wijziging door de leverancier van het Service Level Agreement (SLA);
    • prijsverhoging.
  • Geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of prestatie;
    • gebrekkige ondersteuning.
  • Clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • einde van de levensduur van clouddiensten als softwarepakket;
    • achterwege blijvende features.
  • Besluiten over te gaan tot exit
    SWP_B.04.01Bij de afleiding van de bedrijfsfuncties worden stakeholders uit het veranderingsgebied betrokken.Betrekken stakeholders bij afleiden bedrijfsfuncties
    SWP_B.04.02Voor het afleiden van bedrijfs- en beveiligingsfuncties worden formele methoden voor een gegevensimpactanalyse toegepast, zoals een (Business Impact Analyse) BIA en Data Protection Impact Assessment (DPIA) en wordt rekening gehouden met het informatieclassificatie-beleid.Toepassen methoden voor gegevensimpactanalyse
    SWP_B.04.03Het softwarepakket dekt de eisen van de organisatie zodanig dat geen maatwerk noodzakelijk is. Wanneer de functionaliteit door een SaaS (Software as a Service)-leverancier wordt aangeboden via een app-centre, dan wordt het volgende onderzocht en overeengekomen:
  • Wie zijn de leveranciers of contractpartners van apps?
  • Wie is verantwoordelijk voor het goed functioneren van de app en de continuïteit?
  • Afdekken organisatie-eisen voor softwarepakketten
    SWP_B.04.04Het softwarepakket biedt de noodzakelijke veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties, bij voorkeur gerelateerd aan open standaarden.Bieden veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties
    SWP_B.04.05De documentatie van het softwarepakket beschrijft alle componenten voor de beveiligingsfuncties die ze bevatten.Beschrijven componenten voor beveiligingsfuncties
    SWP_B.05.01Communicatie en opslag van informatie door softwarepakketten is passend bij de classificatie van de gegevens, al dan niet beschermd door versleuteling.Passende gegevensclassificatie bij informatiecommunicatie en -opslag
    SWP_B.05.02In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • Wie verantwoordelijkheid is voor de implementatie en het sleutelbeheer.
  • Het bewaren van geheime authenticatie-informatie tijdens verwerking, transport en opslag.
  • De wijze waarop de normen van het Forum Standaardisatie worden toegepast.
  • Uitwerken cryptografiebeleid
    SWP_B.06.01De beveiligingsarchitectuur ondersteunt een bedrijfsbreed proces voor het implementeren van samenhangende beveiligingsmechanismen en tot stand brengen van gemeenschappelijke gebruikersinterfaces en Application Programming Interfaces (API’s), als onderdeel van softwarepakketten.Ondersteunen proces voor beveilgingsmechnismen
    SWP_B.06.02Er zijn beveiligingsprincipes voorgeschreven waaraan een te verwerven softwarepakket getoetst moet worden, zoals:
  • Security by default, Standaard instellingen van beveiligingsparameters.
  • Fail secure, Tijdens systeemstoringen in het softwarepakket is informatie daarover niet toegankelijk voor onbevoegde personen.
  • Defence in depth, Gelaagde, diepgaande bescherming, die niet afhankelijk is van één beveiligingsmethode).
  • Default deny, Het voorkomen van ongeautoriseerde toegang.
  • Voorschrijven beveiligingsprincipes