null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Een veilige toepassing implementeren door vanaf de start bij het ontwerp tot aan de ingebruikname een aantal informatieveiligheidseisen in acht te nemen.

 OP DEZE PAGINA

Samengevat

Doelstelling

We nemen beveiligingseisen ten harte gedurende de volledige levenscyclus van een product of dienst.

Indicatoren

Eigenaarschap

Scope en toepassingsgebied

De algemene scope en toepassingsgebied van ISMS kan u hier terugvinden, indien hierop afwijkingen of verduidelijkingen van toepassing zijn worden deze hieronder in detail omschreven.

Implementatiemaatregelen

Deze implementatiemaatregelen beschrijven de richtlijnen (verplicht of optioneel) die we noodzakelijk achten om de informatie en bedrijfsmiddelen van Digitaal Vlaanderen afdoende te beschermen. Het vereiste beveiligingsniveau is echter afhankelijk van de informatieklasse van de desbetreffende toepassing.

  • Page:
    IM_SD.01

    Implementatiemaatregel

    Informatieveiligheid moet worden geïntegreerd in projectmanagement om ervoor te zorgen dat informatieveiligheidsrisico's in het kader van projectmanagement worden aangepakt. 

  • Page:
    IM_SD.02

    Implementatiemaatregel

    Naast het beleid voor Risicobeheer MOETEN de volgende maatregelen worden gevolgd tijdens het projectmanagement:

    • Informatieveiligheidsrisico’s moeten tijdens een vroeg stadium en periodiek gedurende de volledige levenscyclus van het project als onderdeel van de projectrisico's worden beoordeeld en behandeld.

  • Page:
    IM_SD.03

    Implementatiemaatregel

    Informatieveiligheidseisen inzake de naleving van intellectuele eigendomsrechten (zie Leveranciersrelaties) MOETEN in de vroege stadia van projecten worden aangepakt.

  • Page:
    IM_SD.04

    Implementatiemaatregel

    De gepastheid van de informatieveiligheidsoverwegingen en -activiteiten MOET in vooraf bepaalde stadia worden gecontroleerd door geschikte personen of instanties, zoals bijv. de projectstuurgroep. 

  • Page:
    IM_SD.05

    Implementatiemaatregel

    Verantwoordelijkheden en bevoegdheden voor informatieveiligheid relevant voor het project MOETEN worden gedefinieerd en worden toegewezen aan gespecificeerde rollen. 

  • Page:
    IM_SD.06

    Implementatiemaatregel

    Informatieveiligheidseisen voor de door het project te leveren producten of diensten MOETEN worden vastgesteld met gebruikmaking van verschillende methoden zoals het afleiden van nalevingseisen uit informatieveiligheidsbeleid, onderwerp-specifieke beleidsregels en regelgeving.

    Het is aangewezen om verdere informatieveiligheidseisen te ontlenen aan activiteiten zoals dreigingsmodellering, beoordelingen van incidenten, het gebruik van kwetsbaarheidsdrempels of het opstellen van noodplannen om zo te bewerkstelligen dat de architectuur en het ontwerp van informatiesystemen worden beschermd tegen bekende dreigingen die gebaseerd zijn op de operationele omgeving. 

  • Page:
    IM_SD.07

    Implementatiemaatregel

    Informatieveiligheidseisen MOETEN worden vastgesteld voor alle soorten projecten, niet alleen voor ICT-ontwikkelprojecten. Bij het vaststellen van deze eisen moet het volgende in aanmerking worden genomen:

    • welke informatie het betreft, wat de bijbehorende informatieveiligheidsbehoeften zijn (classificatie) en de mogelijke negatieve bedrijfsimpact die het gevolg kan zijn van ontoereikende beveiliging;

  • Page:
    IM_SD.08

    Implementatiemaatregel

    Broncode MOET gecontroleerd centraal worden opgeslagen in een versiebeheersysteem voor code (GIT). 

  • Page:
    IM_SD.09

    Implementatiemaatregel

    Lees- en schrijftoegang tot broncode MOET afgestemd worden conform Toegangsbeveiliging.

  • Page:
    IM_SD.10

    Implementatiemaatregel

    Om de impact van niet-geautoriseerde wijzigingen en het lekken van vertrouwelijke informatie via broncode te minimaliseren, MOETEN de broncodebibliotheken afgeschermd worden. Voor deze beveiliging MOETEN volgende richtlijnen worden gehanteerd: 

    • De toegang tot broncodebibliotheken MOET beperkt worden tot bevoegde personen en het beleid voor toegangsbeveiliging Toegangsbeveiliging volgen;

  • Page:
    IM_SD.11

    Implementatiemaatregel

    Ontwikkel-, test-, acceptatie-, en productieomgevingen MOETEN gescheiden worden. 

  • Page:
    IM_SD.12

    Implementatiemaatregel

    Bij het opzetten van ontwikkel-, test-, acceptatie-, en productieomgevingen MOETEN de volgende maatregelen worden geïmplementeerd: 

    • Er MOETEN regels en autorisaties worden opgezet en gedocumenteerd voor het transporteren van systeem componenten vanuit de ontwikkel- naar de productieomgeving; 

  • Page:
    IM_SD.13

    Implementatiemaatregel

    Het MAG NIET mogelijk zijn dat één persoon zonder voorafgaande beoordeling en goedkeuring veranderingen aan zowel de ontwikkel- als de productie-omgeving kan doorvoeren. Dit kan bijvoorbeeld worden bereikt door toegangsrechten te scheiden of door middel van regels die worden gemonitord.

  • Page:
    IM_SD.14

    Implementatiemaatregel

    Beveiligingseisen voor toepassingen MOETEN worden geïdentificeerd en gespecificeerd aan de hand van een risicobeoordeling. De eisen moeten met ondersteuning van informatieveiligheidsspecialisten worden ontwikkeld.

  • Page:
    IM_SD.15

    Implementatiemaatregel

    Beveiligingseisen MOETEN worden gespecificeerd en geïntegreerd tijdens de specificatie- en ontwerpfase. De implementatie maatregelen uit het informatieveiligheidsbeleid MOETEN in het software ontwerp worden vermeld in zoverre van toepassing.

  • Page:
    IM_SD.16

    Implementatiemaatregel

    Toepassingsbeveiligingseisen MOETEN het volgende omvatten, al naargelang de situatie:  

    • het niveau van vertrouwen in de identiteit van entiteiten (bijv. via authenticatie);  

  • Page:
    IM_SD.17

    Implementatiemaatregel

    In aanvulling op de algemene beveiligingseisen, MOETEN voor transactie-systemen, de volgende informatieveiligheidseisen worden in acht genomen: 

    • de mate van vertrouwen die beide partijen eisen van elkaars beweerde identiteit; 

  • Page:
    IM_SD.18

    Implementatiemaatregel

    In aanvulling hierop MOET het volgende in aanmerking worden genomen voor toepassingen waarbij er sprake is van elektronisch bestellen en betalen: 

    1. eisen om de vertrouwelijkheid en integriteit van orderinformatie in stand te houden; 

  • Page:
    IM_SD.19

    Implementatiemaatregel

    Beveiliging MOET deel uitmaken van het ontwerp bij alle architectuurlagen (bedrijf, gegevens, toepassingen en technologie).

  • Page:
    IM_SD.20

    Implementatiemaatregel

    Nieuwe technologie MOET worden geanalyseerd op veiligheidsrisico’s en het ontwerp MOET worden beoordeeld aan de hand van bekende aanvalspatronen. 

    De volgende aspecten MOETEN worden in acht genomen:

  • Page:
    IM_SD.21

    Implementatiemaatregel

    Het ontwerp van een systeem MOET een analyse omvatten van: 

    • het volledige spectrum van beheersmaatregelen voor beveiliging dat vereist is om het systeem tegen geïdentificeerde dreigingen te beschermen, gebaseerd op de geïdentificeerde kwetsbaarheden binnen risicobeheer (zie Risicobeheer); 

  • Page:
    IM_SD.22

    Implementatiemaatregel

    Het ontwerp van een systeem MOET gepaard gaan met: 

    • het gebruik van uitgangspunten voor beveiligingsarchitectuur zoals ‘security by design’ (beveiliging door ontwerp), ‘defence in depth’, ‘security by default’, ‘default deny’ (standaard weigeren), ‘fail securely’, ‘distrust input from external applications’ (input van externe toepassingen wantrouwen), ‘security in deployment’ (beveiliging tijdens implementatie), ‘assume breach’ (uitgaan van inbreuk), ‘least privilege’ (mininimaal benodigde rechten), ‘usability and manageability’ (bruikbaarheid en beheerbaarheid) en ‘least functionality’ (minimale benodigde functionaliteit); 

  • Page:
    IM_SD.23

    Implementatiemaatregel

    De organisatie MOET ‘zero trust’-beginselen overwegen zoals: 

    • ervan uitgaan dat er al sprake is van een inbreuk op de informatiesystemen van de organisatie en er daarom niet alleen kan worden vertrouwd op beveiliging van de buitengrenzen van netwerken; 

  • Page:
    IM_SD.24

    Implementatiemaatregel

    De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen MOETEN waar van toepassing worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedt.

  • Page:
    IM_SD.25

    Implementatiemaatregel

    Voor uitbestede ontwikkeling en het inkopen van componenten MOET een verwervingsprocedure worden gevolgd.

    In de contracten met de leverancier MOETEN de vastgestelde beveiligingseisen zijn opgenomen.

  • Page:
    IM_SD.26

    Implementatiemaatregel

    De organisatie MOET organisatie-brede processen opstellen om te voorzien in goede governance voor veilig coderen. In aanvulling hierop MOETEN dergelijke processen en governance worden uitgebreid naar softwarecomponenten van derden en opensource software.  

  • Page:
    IM_SD.27

    Implementatiemaatregel

    De organisatie MOET monitoren op dreigingen in de echte wereld en actueel advies en actuele informatie over kwetsbaarheden in software als richtlijn om de principes voor veilig coderen van de organisatie te sturen door middel van continue verbetering en voortdurend leren.

  • Page:
    IM_SD.28

    Implementatiemaatregel

    De organisatie MOET principes voor veilig coderen zowel voor nieuwe ontwikkelingen als bij hergebruik (nieuwe features / versies) toepassen. 

  • Page:
    IM_SD.29

    Implementatiemaatregel

    De planning en voorbereiding voor het ontwikkelen MOET de volgende elementen omvatten: 

    • organisatie-specifieke verwachtingen en goedgekeurde principes voor veilig coderen die zowel voor interne als voor uitbestede codeontwikkelingen behoren te worden gebruikt;

  • Page:
    IM_SD.30

    Implementatiemaatregel

    De organisatie MOET veilige coderingspraktijken die specifiek zijn voor de programmeertalen en -technieken, gebruiken.

    Specifiek MOETEN de volgende regels worden gehanteerd:

Rollen en verantwoordelijkheden

Overzicht van de rollen en verantwoordelijkheden die van specifiek van toepassing zijn op dit beleidsdomein. Een algemeen overzicht van alle rollen en verantwoordelijkheden kun u hier terugvinden.
Rollen (personen) aan wie verantwoordelijkheden inzake informatieveiligheid zijn toegekend (=eigenaar), kunnen beveiligingstaken aan anderen toewijzen (=gedelegeerde eigenaar), echter de eigenaar blijft steeds de eindverantwoordelijke. 

ISO Beheersmaatregelen

Hieronder vind u een overzicht van de gerelateerde ISO beheersmaatregelen.

Gerelateerde documentatie

Overzicht van documenten die betrekking hebben tot dit beleidsdomein (Bvb. plan, register, procesbeschrijving, procedure, …), alsook de eigenaar die verantwoordelijk is om deze document aan te leveren en te onderhouden.  

Verklarende woordenlijst

Verklarende woordenlijst van specifieke termen gebruikt in dit beleid.  Een volledig overzicht van termen en afkorting zijn beschreven in de glossary informatieveiligheid

  • No labels