Applicatieontwikkeling Beleid

Uit NORA Online
ISOR:BIO Thema Applicatieontwikkeling Beleid
Naar navigatie springen Naar zoeken springen
Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Applicatieontwikkeling.

Meer lezen

BIO Thema-uitwerking Applicatieontwikkeling
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR (Information Security Object Repository)

Doelstelling[bewerken]

De doelstelling van het beleidsdomein is om vast te stellen of afdoende randvoorwaarden en condities binnen de ontwikkelorganisatie zijn gecreëerd om applicaties adequaat te kunnen ontwikkelen.


In dit domein worden objecten en daaraan gerelateerde normen opgenomen die het mogelijk maken de applicaties op een veilige manier te ontwikkelen.

Risico's[bewerken]

Wanneer de juiste beleidsaspecten voor het ontwikkelen van applicaties ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van een applicatie. Dit zal een negatieve impact hebben op het bereiken van doelstellingen waarvoor de applicatie is ontworpen en ingericht.

Objecten, controls en maatregelen

Onderstaande afbeelding toont de objecten die specifiek voor dit domein een rol spelen. Het geeft een overzicht en de ordening van objecten. De geel gemarkeerde objecten komen voor in de Baseline Informatiebeveiliging Overheid (BIO). De wit gemarkeerde objecten zijn betrokken uit andere best practices. Voor de identificatie van de objecten en de ordening is gebruik gemaakt van basiselementen (zie de grijs gemarkeerde tekst). Ze zijn ingedeeld naar de invalshoek: Intentie, Functie, Gedrag of Structuur.


”Onderwerpen die binnen het Beleid domein een rol spelen”
Overzicht objecten voor applicatieontwikkeling in het beleidsdomein


Principes uit de BIO Thema Applicatieontwikkeling binnen dit aspect[bewerken]

IDPrincipeCriterium
APO_B.01Beleid voor (beveiligd) ontwikkelenVoor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
APO_B.02Systeem-ontwikkelmethodeOntwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd.
APO_B.03Classificatie van informatieInformatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
APO_B.04Engineeringsprincipe voor beveiligde systemenPrincipes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
APO_B.05Business Impact Analyse (BIA)De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid hebben op de organisatie.
APO_B.06Privacy en bescherming persoonsgegevens applicatieontwikkelingBij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd volgens relevante wet- en regelgeving.
APO_B.07KwaliteitsmanagementsysteemDe doelorganisatie behoort conform een uitgestippeld ontwikkel- en onderhoudsbeleid een kwaliteitsmanagementsysteem in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.
APO_B.08Toegangsbeveiliging op programmacodeToegang tot de programmabroncodebibliotheken behoren te worden beperkt.
APO_B.09ProjectorganisatieBinnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem-ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.

Normen uit de BIO Thema Applicatieontwikkeling binnen dit aspect[bewerken]

IDStellingNorm
APO_B.01.01De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
APO_B.01.02De handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
APO_B.01.03In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  • beveiliging van de ontwikkelomgeving;
  • richtlijnen over de beveiliging in de levenscyclus van softwareontwikkeling:
    • beveiliging in de software-ontwikkelmethodologie;
    • beveiligde coderingsrichtlijnen voor elke gebruikte programmeertaal;
  • beveiligingseisen in de ontwikkelfase;
  • beveiligingscontrolepunten binnen de mijlpalen van het project;
  • beveiliging van de versiecontrole;
  • vereiste kennis over toepassingsbeveiliging;
  • het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
Overwegingen bij het beleid voor beveiligd ontwikkelen van software
APO_B.01.04Technieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen.Technieken voor beveiligd programmeren
APO_B.02.01Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling).Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
APO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
APO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitord.Adoptie van ontwikkelmethodologie wordt gemonitord
APO_B.02.04Standaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van de ontwikkelde applicatie naar de productie-omgeving;
  • de training van softwareontwikkelaars.
  • Software wordt ontwikkelen conform standaarden en procedures
    APO_B.02.05De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet- en regelgeving inclusief privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit de business;
  • het classificatiemodel van de organisatie.
  • De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
    APO_B.02.06Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van een assessment voor beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid;
  • het creëren van een risicoregister;
  • het registreren van belangrijke details in een bedrijfsapplicatieregister.
  • Het softwareontwikkeling wordt projectmatig aangepakt
    APO_B.03.01De handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen.Dataclassificatie als uitgangspunt voor softwareontwikkeling
    APO_B.03.02De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
    APO_B.03.03Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
    APO_B.03.04In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements.Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
    APO_B.04.01De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.Security by Design als uitgangspunt voor softwareontwikkeling
    APO_B.04.02Voor het beveiligen van informatiesystemen zijn de volgende principes van belang:
  • Defence in depth (beveiliging op verschillende lagen)
  • Secure by default
  • Default deny
  • Fail secure
  • Input van externe applicaties wantrouwen
  • Secure in deployment
  • Bruikbaarheid en beheersbaarheid
  • Principes voor het beveiligen van informatiesystemen
    APO_B.04.03Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld.Beveiliging is integraal onderdeel van systeemontwikkeling
    APO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelen.Ontwikkelaars zijn getraind om veilige software te ontwikkelen
    APO_B.05.01Bij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners, business- en IT-specialisten);
  • de scope van de risico-assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving.
  • Perspectieven bij de Business Impact Analyse
    APO_B.05.02De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
  • Scenario's voor de Business Impact Analyse
    APO_B.05.03Met de business impact analyse wordt vastgesteld op welke wijze een eventuele inbreuk op de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • Verlies van orders en contracten en klanten
  • Verlies van tastbare assets
  • Onvoorziene kosten
  • Verlies van managementcontrol
  • Concurrentie
  • Late leveringen
  • Verlies van productiviteit
  • Compliance
  • Reputatie
  • Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
    APO_B.06.01Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd.GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
    APO_B.06.02Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten
    APO_B.06.03Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen.Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
    APO_B.06.04Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak.Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
    APO_B.06.05De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.Risicomanagement aanpak aantoonbaar toegepast
    APO_B.06.06Conform de Algemene Verordening Gegevensbescherming (AVG) worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd.Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
    APO_B.07.01De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
    APO_B.07.02De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek.De doelorganisatie beschikt over QA- en KMS-methodiek
    APO_B.07.03De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
    APO_B.07.04Er zijn informatie- en communicatieprocessen ingericht.Voor informatie- en communicatie zijn processen ingericht
    APO_B.07.05Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd.Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
    APO_B.07.06Aan het management worden evaluatierapportages verstrekt.Aan het management worden evaluatierapportages verstrekt
    APO_B.07.07De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem.Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS
    APO_B.08.01Om de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen:
  • De broncodebibliotheken worden niet in operationele systemen opgeslagen.
  • De programmacode en de broncodebibliotheek behoren te worden beheerd conform vastgestelde procedures.
  • Ondersteunend personeel heeft geen onbeperkte toegang tot broncodebibliotheken.
  • Het updaten van de programmacode en samenhangende items en het verstrekken van de programmacode aan programmeurs vinden alleen plaats na ontvangst van een passend autorisatiebewijs.
  • Programma-uitdraaien worden in een beveiligde omgeving bewaard.
  • Van elke toegang tot broncodebibliotheken wordt een registratie bijgehouden in een auditlogbestand.
  • Onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
  • Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
    APO_B.08.02Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen.Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
    APO_B.09.01De beveiligingsfunctionaris zorgt onder andere voor:
  • de actualisatie van beveiligingsbeleid;
  • een afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met onder andere de ketenpartijen;
  • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
  • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
  • de bespreking van beveiligingsissues met ketenpartijen.
  • Taken van de beveiligingsfunctionaris
    APO_B.09.02De beveiligingsfunctionaris geeft onder andere inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoudsvoorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
  • Inzicht gegeven door de beveiligingsfunctionaris