Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development
|
|
- Victor de Jonge
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Veilige software door marktbrede samenwerking Ad Reuijl Sogeti 23 juni 2015
2 CIP: Centrum voor Informatiebeveiliging en Privacybescherming Aanleiding voor de overheid: Toenemende afhankelijkheid van het internet, mobile devices,ed. Toenemende (organisatiegraad van) cyber crime De overheid organiseert zich en CIP faciliteert dit door: Werken aan gezamenlijke afspraken en normatiek Aanbieden/toegankelijk maken van kennis en practices Het bouwen aan een IB-community in de overheid 2
3 Kennispnr Agentschap Gemeentelijk Relatie ZBO Ministerieel Zorg Stichting Wetenschappelijk Brancheorg Provinciaal Staatsrechtelijk Water Financieel Energie Samenstelling van het CIP-Netwerk Totaal 1047 personen naar functie Semioverheid 4% Verdeling personen publiek-privaat Professional Overheid 73% Markt: 23% Bestuur Directie Manager Onbekend Uit totaal: 250 organisaties Totaal
4 De PDC in Context CIP-activiteiten en producten Weerbaarheid Herstelvermogen Bevorderen SAMEN DOEN Product Aanbod Practitioners Communities voor SSD BIR KSL Cursus en Teasertrainingen SSD SSD-producten, KSL, div. handreikingen, PIA-paper, beveiligingsovereenkomst, e-learningmodules, CIP-Casts, etc Snelle bereikbaarheid in CIP- Netwerk. Verbinding met NCSC in NENSYS Onderlinge hulp via CIP-pleio Geen CIP-producten Basiswerkvormen Kennisdeling 5 Domeingroepen, Kennissessies, Conferenties Cip.pleio.nl Cyber Security Platform ISAC, Werkgroep SOC 4
5 Oorzaken onveilige software Beveiligingseisen zijn onduidelijk en niet op maat Opdrachtgever verwacht deskundigheid Leverancier verwacht precieze specificaties Er wordt niet of laat getest Opdrachtgever heeft te weinig risico-overzicht Bestaande standaarden bieden te weinig houvast Lange lijsten met technische en organisatorische maatregelen Vooral toegesneden op het hoe, niet het wat
6 Uitgangspunten in opzet Grip op SSD Geeft de opdrachtgever handvat om te sturen op de veiligheid van software Leveranciersonafhankelijk: Geen eisen die ingrijpen op het HOE bij de leverancier Inzetbaar bij meerdere verschillende interne of externe leveranciers Toepasbaar bij alle ontwikkelmethodieken (waterval, agile) of wel of niet via een scrum aanpak én incrementals Aanpak geschikt voor maatwerk, COTS èn cloud. Een andere wijze van controle en sturing leidt tot een proactieve houding bij opdrachtgever en leverancier. Meegeven beveiligingseisen is niet meer een verwijzing naar een (ISO-)standaarden: Maak eisen op maat met een risicoanalyse /-acceptatie Opdrachtgever moet zelf verantwoordelijkheid nemen voor informatieveiligheid Grip op Secure Software Development 6
7 SSD: De normen Comply or explain Gebaseerd op: Risico s voor de bedrijfsvoering Bestaande normenkaders Duidelijkheid over: wie moet wat doen Maakt governance mogelijk: Normen beperkt in omvang Hanteerbaar als auditnorm (SIVA) Eenvoudig uitbreidbaar: Practitionersgroep
8 SSD: Relatie met andere normenkaders en Frameworks Domein Opdrachtgever: de WAT-vraag Stuur op Samenwerking SSD Het Proces Stuur op Producteisen SSD De Normen Stuur op Samenwerking Stuur op Compliancy SSD-normen Voor specifieke uitwerking van de techniek: ASVS SSF Code standaards Eigen richtlijnen Domein Opdrachtnemer: de HOE-vraag
9 SSD: De normen Beveiligingseisen voor applicaties SSD-2: Gebruik van veilige cookies of apps SSD-3: Beveiliging van mobile code SSD-4: Sessie versleuteling SSD-5: Vaststellen identiteit van een externe gebruiker SSD-6: Vaststellen identiteit van een interne gebruiker SSD-7: Functiescheiding SSD-8: Least Privilege SSD-9: Registreren van Unsuccessful Login Attempts SSD-10: Concurrent Session Control SSD-11: System Use Notification SSD-12A: Session lock SSD-12B: Session termination SSD-13: Onweerlegbaarheid SSD-14: Borgen van Sessie Authenticiteit SSD-15: Scheiding van Presentatie, Applicatie en Gegevens SSD-16: Netwerkzonering SSD-17: Beheerinterface SSD-18: HTTP validatie SSD-19: Invoer normalisatie SSD-20: Codering van dynamische onderdelen SSD-21: Geparametriseerde queries SSD-22: Invoervalidatie SSD-23: File includes SSD-24: Beperking van te versturen HTTP-headers SSD-25: Beperken van te tonen HTTP-header informatie SSD-26: HTTP-methoden SSD-27: Error handling SSD-28: Commentaar(regels SSD-29: Directory listing SSD-30: Applicatie logging SSD-31: Standaard stack
10 SSD: De normen Specificatiewijze
11 SSD: De Practitioners Community Leren van elkaars implementatie-ervaringen Stimuleren tot implementatie bij opdrachtgever (overheid) Stimuleren marktpartijen om SSD in aanbod te verwerken Evolutie van SSD o.b.v. inputs uit het veld 70 mensen van 45 organisaties (publiek en privaat) zijn lid.
12 SSD: Manifestpartijen Expliciete support is mogelijk d.m.v. onderschrijven SSD- Manifest Organisaties die onderschrijven: Ad Reuijl Sogeti 23 juni 2015
13 Voorbrengingsketen UWV De omvang Aantal releases: ca. 100 per jaar 10-tal IM s, 400 medewerkers Interne delivery org. 9 IS 8 5 BSU s, 500 medewerkers Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse Gebruikers Acceptatie test BSU Functioneel Ontwerp 1 2 Aansturing 3 Leverancier Leverancier (extern /intern) Software Bouw TSC 120 medewerkers TSC Functionele Acceptatie Test 70 leveranciers, waarvan 6 grote softwareleveranciers
14 Voorbrengingsketen UWV De contactmomenten Security risicomanagement Penetratietesten SSD Interne delivery org. Beoordeling SSD bevindingen IS Rapportage verantwoording SSD normen 9 8 Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse Gebruikers Acceptatie test BSU Functioneel Ontwerp 1 2 Aansturing 3 Leverancier 7 4 Leverancier (extern /intern) Software Bouw Contractuele verplichting SSD eisen 5 6 SSD rapportage leverancier TSC Functionele Acceptatie Test TSC/SSD test en Toetsing rapportage leverancier
15 Voorbrengingsketen UWV De implementatie 7 Interne delivery org. IS Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse 8. Stel prioriteiten obv risico en dashboard 9: Begroot SSD mee in releases (+ 5%) 8. BSU Functioneel Ontwerp 1 Gebruikers 2 Aansturing 3 Acceptatie Leverancier test 5: Toets o-metingen 6. Neem resultaten op in dashboard. 7. Test elke nieuwe release en actualiseer dashboard TSC Functionele Acceptatie Test 10. Neem SSD-eisen mee als non-functionals in opdracht aan leverancier 4 Leverancier (extern /intern) Software Bouw 11. Lever releases op en zorg dat de geraakte code SSD-compliants is. 1: In gesprek met leveranciers over hoe we gaan sturen. 2. Doorspreken methode en normen SSD. 3. Afspreken 0-metingen 4. Afspraak: nieuwe va jan 2014 compliant aan SSD
16 SSD: ambitie voor toekomst Hét instrument voor samenwerking tussen opdrachtgever-opdrachtnemer bij informatieveilige software ontwikkeling en onderhoud in de overheid. Hogere volwassenheidniveau s van softwareveiligheid bereiken. Door toepassing van SSD als standaard binnen de overheid efficiencyvoordelen bereiken voor auditors, interne- en externe leveranciers en aansturende organisaties. Olievlekgewijze uitbreiding van de implementatie. Nu al op weg bij UWV, Cibg, Postnl, ICTU, DICTU. Voornemens bij CAK, SVB, DUO, Logius. Continuous Improvement door verankering in CIP en i.h.b. de Practitioners Community: nieuwe thema s en leerervaringen verrijken de methode en het normenkader.
17 SSD: ambitie voor toekomst Het instrument voor samenwerking tussen opdrachtgever-opdrachtnemer bij software ontwikkeling en onderhoud in de overheid. Hogere volwassenheidsniveau s van softwareveiligheid bereiken Door toepassing van SSD als standaard binnen de overheid efficiency voordelen voor auditors, interne en externe leveranciers en aansturende organisaties. Review-toetsing TNO Olievlekgewijze uitbreiding van de implementatie. Nu al op weg bij UWV, Cibg, Postnl, ICTU, DICTU. Voornemens bij CAK, SVB, DUO, Logius Alles overziend komen we tot de conclusie dat dit document Continuous Improvement door verankering in CIP en i.k.b. de Practitioners Community: veel bruikbaarder nieuwe thema s is dan andere en leerervaringen normenkaders verrijken die we hebben de methode en gezien. Het gebruik van SIVA is daarvoor een belangrijke oorzaak. het normenkader. Grip op SSD, de beveiligingseisen is een voorbeeld dat voor andersoortige scopes navolging verdient. Groeien via en sturen op maturity van SSD is een prima aanpak om niet via een big bang, maar via een groeimodel te komen tot een volwassen SSD"
18 SSD: ambitie voor toekomst Het instrument voor samenwerking tussen opdrachtgever-opdrachtnemer bij software ontwikkeling en onderhoud in de overheid. We menen een goed start te hebben gemaakt: Action dus!! Hogere volwassenheidsniveau s van softwareveiligheid bereiken Door toepassing van SSD als standaard binnen de overheid efficiency voordelen voor auditors, interne en externe leveranciers en aansturende organisaties. Review-toetsing TNO Olievlekgewijze uitbreiding van de implementatie. Nu al op weg bij UWV, Cibg, Postnl, ICTU, DICTU. Voornemens bij CAK, SVB, DUO, Logius Alles overziend komen we tot de conclusie dat dit document Continuous Improvement door verankering in CIP en i.k.b. de Practitioners Community: veel bruikbaarder nieuwe thema s is dan andere en leerervaringen normenkaders verrijken die we hebben de methode en gezien. Het gebruik van SIVA is daarvoor een belangrijke oorzaak. het normenkader. Grip op SSD, de beveiligingseisen is een voorbeeld dat voor andersoortige scopes navolging verdient. Groeien via en sturen op maturity van SSD is een prima aanpak om niet via een big bang, maar via een groeimodel te komen tot een volwassen SSD"
19 Grip op SSD: een vraag Wilt u meehelpen het applicatielandschap in NL veiliger te maken? Sluit je aan bij de PraCo SSD, mail: ad.kint@uwv.nl Een greep uit de huidige samenstelling: Wij delen de kennis om tot veilige software te komen
20 Tot slot Softwareontwikkelaars: gebruik SSD om je opdrachtgever een spiegel voor te houden. Opdrachtgevers: neem het stuur in handen en gebruik SSD om dat te doen. Neem de tijd om te groeien in volwassenheid en begin klein. Downloads: SSD-Methode SSD-normen SSD-training AVAILABLE FOR FREE
Grip op Secure Software Development
Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG
Nadere informatieZo krijg je software veilig: Grip op Secure Software development
Zo krijg je software veilig: Grip op Secure Software development Veilige software door marktbrede samenwerking Ad Kint, Marcel Koers & Rob van der Veer IBO 40 PvIB 5 november 2014 Agenda Ad Kint CIP Rob
Nadere informatieMOBILE-IT SECURE BY DEVELOPMENT IN ALLE ASPECTEN
MOBILE-IT SECURE BY DEVELOPMENT IN ALLE ASPECTEN AD KINT ERIK HEIL WAS HET VROEGER BETER? 1981: DE PC 1995: INTERNET 2009: WINDOWS 7 2007: DE MIND-SHIFT 2010 TITLE PRESENTATION April 30, 2017 2012: THE
Nadere informatieSamen werken aan informatieveiligheid & Privacy. 9 november 2017 PvIB
Samen werken aan informatieveiligheid & Privacy 9 november 2017 PvIB Samenstelling CIP-Netwerk 1-9-17 De PDC in Context CIP-activiteiten en producten Weerbaarheid Herstelvermogen Bevorderen SAMEN DOEN
Nadere informatieSecure Software Alliance
Secure Software Alliance 6 SSD model SSDprocessen Organisatorische inrichting SSD Business impact analyse (BIA) Onderhoud standaard beveiligingseisen Risico attitude organisatie Sturen op maturity Standaard
Nadere informatieFS E. FORUM STANDAARDISATIE 13 december Advies. Agendapunt: 3E Betreft: Intake-advies voor Grip op SSD Aan:
FS 171213.3E Forum Standaardisatie www.forumstandaardisatie.nl info@forumstandaardisatie.nl Bureau Forum Standaardisatie gehuisvest bij Logius Postadres Postbus 96810 2509 JE Den Haag Bezoekadres Wilhelmina
Nadere informatieGrip op Secure Software Development de rol van de tester
Grip op Secure Software Development de rol van de tester Rob van der Veer / Arjan Janssen Testnet 14 oktober 2015 Even voorstellen.. Arjan Janssen Directeur P&O DKTP a.janssen@dktp.nl DKTP is gespecialiseerd
Nadere informatieCentrum Informatieveiligheid en Privacybescherming
Centrum Informatieveiligheid en Privacybescherming Jaaroverzicht 2015 Vooruitblik 2016 Versie 1.1 Datum 12 januari 2016 1. Inhoudsopgave 1 1. Inhoudsopgave 2 2. Voorwoord 3 3. Balans van het jaar 2015
Nadere informatieDe app wordt volwassen kansen en valkuilen. Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app
De app wordt volwassen kansen en valkuilen Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app Introductie CIP Samen werken aan optimale informatieveiligheid en privacy
Nadere informatieJaarverslag 2014 & outlook 2015
Jaarverslag 2014 & outlook 2015 Amsterdam, 7 januari 2015 Ad Reuijl 1. INHOUD 1. Inhoud... 2 2. Highlights 2014... 3 3. Beschikbare producten pu. 31 december 2014... 4 4. Activiteiten i.k.v. Kennisdeling
Nadere informatieGrip op. Secure Software Development
Titel Grip op Voorkom zwakheden in de software en daarmee 75 % incidenten Secure Software Development De opdrachtgever aan het stuur Lunchsessie 7 april 2014 Grip op Secure Software Development 1 Grip
Nadere informatie4-kwartaals terugblik CIP. Datum Verslagperiode:
4-kwartaals terugblik CIP. Datum 1-12-2016. Verslagperiode: 1-1-2016-31-12-2016 Inhoud 1. Over CIP... 2 1.1 CIP-diensten zijn te positioneren op 3 niveaus... 2 1.2 Kernpunten in de opzet, de werkwijze
Nadere informatieNorm ICT-beveiligingsassessments DigiD
Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatieNORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013
NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met
Nadere informatieVoortschrijdend jaarplan CIP. Datum Planperiode:
Voortschrijdend jaarplan CIP. Datum 1-12-2016 Planperiode: 1-1-2017 31-12-2017 Inhoudsopgave 1. Over het CIP.... 2 1.1. Wat is het CIP?... 2 1.2. Doelstelling... 2 1.3. Werkwijze... 2 1.4. Wat heeft u
Nadere informatieJaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl
Jaarverslag 2013 Amsterdam, 10 januari 2014 Ad Reuijl 1. Inhoud Jaarverslag 2013... 1 1. Inhoud... 2 2. Inleiding... 3 3. In 2013 opgeleverde en onderhanden producten... 3 4. Conferenties... 3 5. Overige
Nadere informatieAanmelding van een nieuwe standaard
Aanmelding van een nieuwe standaard Voor dit type aanmelding geldt dat alle criteria van toepassing zijn en alle vragen beantwoord dienen te worden. U wordt als eerst gevraagd uw persoonsgegevens en de
Nadere informatieIII Stream IT Auditing. UWV / CIP / VU- IT auditing
III Stream IT Auditing UWV / CIP / VU- IT auditing Wiekram Tewarie 22-04-2009 Agenda Inleiding/IT auditing Relatie : Accountant IT auditor Context IT audit omgeving Carrièremogelijkheden WT/14 april 2015
Nadere informatieDIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND
DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT
Nadere informatieGrip op Secure Software Development (SSD) SIVA Beveiligingseisen. voor (web)applicaties
Grip op Secure Software Development (SSD) voor (web)applicaties Versie: 1.00 Opdrachtgever A. Reuijl CIP Auteur R. Paans Noordbeek W. Tewarie UWV M. Koers UWV Rapportnummer UWVSSD4-2 Classificatie Publiek
Nadere informatieHeeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?
Asset 1 van 5 Hoe houd je de cloudkosten beheersbaar? Gepubliceerd op 20 april 2015 Hoe krijgt u grip op uw cloud-kosten? Leer de verschillende oorzaken voor onverwachtse kosten te herkennen en lees vijf
Nadere informatieProfessionalisering: CIP-tools en FG-enquête in vogelvlucht
Professionalisering: CIP-tools en FG-enquête in vogelvlucht Introductie CIP Samen werken aan optimale informatieveiligheid en privacy voor Nederlandse overheden Wie zitten er in de zaal? Wie werkt er bij
Nadere informatieWie is er bang voor de privacywetgeving? CIP voor NORA 17 januari
Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari 2017 1 Wie is er bang voor de privacywetgeving? Marcel Koers - marcel.koers@uwv.nl 2 Grip op privacy: hoe? Een ogenschijnlijk eenvoudige
Nadere informatieAssurancerapport DigiD assessment Justis
Auditdienst Rijk Ministerie van Financiën Assurancerapport DigiD assessment Justis Voor Logius Colofon Titel Uitgebracht aan DigiD assessment Justis Ministerie van Veiligheid en Justistie * Justis Datum
Nadere informatieFORUM STANDAARDISATIE
Forum Standaardisatie Wilhelmina van Pruisenweg 52 2595 AN Den Haag Postbus 96810 2509 JE Den Haag www.forumstandaardisatie.nl FORUM STANDAARDISATIE Agendapunt: Betreft: Intake-advies Framework Secure
Nadere informatieHeeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?
Asset 1 van 4 Hoe houd je de cloudkosten beheersbaar? Gepubliceerd op 20 april 2015 Hoe krijgt u grip op uw cloud-kosten? Leer de verschillende oorzaken voor onverwachtse kosten te herkennen en lees vijf
Nadere informatiemakkelijke en toch veilige toegang
voor wie? makkelijke en toch veilige toegang Matthijs Claessen Nausikaä Efstratiades Eric Brouwer Beurs Overheid & ICT 2012 Graag makkelijk voor ons allemaal: 16,7 miljoen inwoners (burgers)! waarvan meer
Nadere informatieAuditen van Agile projecten
Auditen van Agile projecten Platform voor Informatiebeveiliging 10 december 2013 Merijn van der Zalm & Marcel Trijssenaar Agenda Belang van assurance op agile ontwikkelen Agile versus Waterval Perspectief
Nadere informatieBelastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven
Belastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven Bestede digitale tijd Aandeel telefoongebruik in digitale tijd ICT 2.500 FIOD 1.200 Toeslagen 1.200 CA 1.600 Belastingdienst BelTel
Nadere informatieVolwassen Informatiebeveiliging
Volwassen Informatiebeveiliging NBA LIO en NOREA symposium Amersfoort 4 februari 2019 Agenda 15.00-15.05 uur Opening Maureen Vermeij- de Vries, voorzitter NBA LIO bestuur 15.05-15.15 uur Introductie programma
Nadere informatieCloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015. Opvallend betrokken, ongewoon goed
Cloud Computing -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015 Opvallend betrokken, ongewoon goed Agenda Inleiding Mijn achtergrond Over Innvolve Cloud Computing Overwegingen Afsluiting
Nadere informatieDigiD beveiligingsassessment
DigiD beveiligingsassessment Centric Kenmerk DigiD koppeling: Gemeente Dantumadeel1 Inhoudsopgave 1 Assurancerapport van de onafhankelijke auditor 2 1.1 Achtergrond 2 1.2 Opdrachtomschrijving 2 1.3 Reikwijdte
Nadere informatieFactsheet CONTINUOUS VALUE DELIVERY Mirabeau
Factsheet CONTINUOUS VALUE DELIVERY Mirabeau CONTINUOUS VALUE DELIVERY We zorgen ervoor dat u in elke volwassenheidsfase van uw digitale platform snel en continu waarde kunt toevoegen voor eindgebruikers.
Nadere informatiePrivacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance
Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance Versie: 1. Auteur Opdrachtgever CIP A. Reuijl Classificatie Publiek Status Afgerond Datum 5 januari 216 Filenaam 21615 Privacy
Nadere informatieKenissessie Privacy (by Design)
Kenissessie Privacy (by Design) NORA en CIP 14 november 2017 Schuif eens aan bij NORA 1 Welkom! Schuif eens aan bij NORA 2 Programma 13.20 Introductie 14.20 Case-study 15.00 Terugkoppeling case-study en
Nadere informatieSURFmarket O365 propositie
SURFmarket O365 propositie MAART 2017 Carl Reitsma, O365 Service Deliver Manager Agenda 1. Ambitie SURFmarket 2. Regie 3. Groeipad 4. Dienstbeschrijving 5. Ontwikkelscenario 6. Vragen/feedback Ambitie
Nadere informatieDigiD beveiligingsassessment Decos Information Solutions
DigiD beveiligingsassessment 2016-2017 Information Solutions DigiD groepsaansluiting Burgerberichten Kenmerk BKBO/161216/AR Dit assurancerapport heeft 10 pagina s www.bkbo.nl Information Solutions Inhoudsopgave
Nadere informatieTHIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1
THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1 KENMERK: 1603R.AH46 DATUM: 30 MAART 2016 INHOUDSOPGAVE 1. Assurancerapport van de onafhankelijke auditor...
Nadere informatieAdding value to test tooling Hoe en waarom DevOps de wereld van performance testen verandert
Hoe en waarom DevOps de wereld van performance testen verandert Najaarsevenement 14 oktober 2015 Inleiding Wie zijn we Marc Koper: Specialist in performancetesten / testautomatisering HenkJaap van den
Nadere informatieUWV Security SSD Instructies
UWV Security SSD Instructies BESTEMD VOOR : Patrick van Grevenbroek AUTEUR(S) : Gabriele Biondo / T. Uding (vertaling) VERSIE : 1.0 DATUM : 20-03-2014 HISTORIE Datum Auteur(s) Omschrijving 20/03/2014 Gabriele
Nadere informatieGrip op Secure Software Development (SSD)
Grip op Secure Software Development (SSD) De opdrachtgever aan het stuur Versie 2.0 Secure Software Development Contact momenten Standaard beveiligings -eisen Processen Kennis en awareness bij stakeholders
Nadere informatieGETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE
GETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE 2 OMNEXT IN HET KORT Broncode als bron van informatie Gevestigd in NL, UK en USA Kennis van meer dan 40 diverse technologieën Verschillende
Nadere informatieContinuous Delivery. Sander Aernouts
Continuous Delivery Sander Aernouts Info Support in een notendop Maatwerk softwareontwikkeling van bedrijfskritische kantoorapplicaties Business Intelligence oplossingen Managed IT Services Eigen Kenniscentrum
Nadere informatieToepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur
Het doel van deze tabel is de IT auditor een handreiking te verstrekken ten aanzien van het toepassingsgebied, de scope en een testaanpak, alsmede een nadere toelichting, voor het uitvoeren van een DigiD
Nadere informatieIedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.
Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris
Nadere informatieRapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk Minhterie van Financiën
Object Totaaloverzicht - Auditdienst Rijk Minhterie van Financiën Rapportage ICT beveiligingsassessment DigiD 2014 /d. Aan Ministerie van VWS CIBG Datum : 27januari 2015 Van Aansluiting Ministerie van
Nadere informatieSecurity, standaarden en architectuur
Security, standaarden en architectuur Landelijk Architectuur Congres 2014 26 november 2014 Jaap van der Veen Strategisch architect Ministerie van Financiën Bart Knubben Senior adviseur Bureau Forum Standaardisatie
Nadere informatieMeldplicht datalekken: het schiet niet erg op
CIP-post Meldplicht datalekken: het schiet niet erg op Al geruime tijd is in de 2e Kamer een wetsvoorstel Meldplicht datalekken in voorbereiding. Dit wetsvoorstel is bedoeld om de schade te beperken, die
Nadere informatieFramework Secure Software Secure software in de strijd tegen cybercrime
Framework Secure Software Secure software in de strijd tegen cybercrime Woensdag 8 oktober 2014 Postillion Hotel Utrecht Bunnik Fred Hendriks (directeur a.i. Secure Software Foundation) Tim Hemel (CTO
Nadere informatie"Baselines: eigenwijsheid of wijsheid?"
"Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte
Nadere informatieH t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging
Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting
Nadere informatieTraining en workshops
Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen
Nadere informatieProgramma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017
Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm
Nadere informatieAccelerate? Automate!
Accelerate? Automate! TA Flying Squad bij KPN Marco Jansen van Doorn Test Tool Consultant, Business Line Test Automation What s Cooking, Vianen, 24 mei 2016 Vraag & Antwoord Meer rendement uit testautomatisering?
Nadere informatieIPMA Interessegroep Project- en Programmamanagement bij de Overheid PROFESSIONEEL OPDRACHTGEVERSCHAP BIJ DE OVERHEID. 9 september 2014 George Leih
IPMA Interessegroep Project- en Programmamanagement bij de Overheid PROFESSIONEEL OPDRACHTGEVERSCHAP BIJ DE OVERHEID 9 september 2014 George Leih MIJN ACHTERGROND 2002 - nu 30+ projecten geauditeerd UWV,
Nadere informatieBIR comply or explainprocedure
BIR comply or explainprocedure Datum: 7 januari 2014 Versie: 1.0 Inleiding In 2012 is de Baseline Informatiebeveiliging Rijksdienst (BIR) van kracht geworden. De Baseline gaat uit van een comply or explain
Nadere informatieHR deep dive into Enterprise IT. HR bouwt aan de Enterprise IT functie voor de 21 e eeuw
HR deep dive into Enterprise IT HR bouwt aan de Enterprise IT functie voor de 21 e eeuw 1 HR deep dive into Enterprise IT De HR voor IT opgave. Nieuwe informatietechnologie heeft enorme impact op organisaties.
Nadere informatieHet CIP Cyber Security Platform: samenwerking in uitvoering
CIP-post Het CIP Cyber Security Platform: samenwerking in uitvoering Mei 2014 nummer 5 in deze uitgave o.a. Het CIP Cyber Security Platform (CSP) werd in augustus vorig jaar opgericht. Sinds de kick off
Nadere informatieGrip op Secure Software Development (SSD)
(SSD) De opdrachtgever aan het stuur Versie: 1.02 Opdrachtgever A. Reuijl CIP Auteurs M. Koers UWV R. Paans Noordbeek R. van der Veer SIG R. Roukens UWV C. Kok DKTP J. Breeman BKWI Classificatie Publiek
Nadere informatieGrip op Secure Software Development (SSD)
(SSD) De opdrachtgever aan het stuur Versie: 1.03 Opdrachtgever A. Reuijl CIP Auteurs M. Koers UWV R. Paans Noordbeek R. van der Veer SIG R. Roukens UWV C. Kok DKTP J. Breeman BKWI Classificatie Publiek
Nadere informatieHandreiking Mobiele App Ontwikkeling en Beheer voor de Rijksoverheid
Handreiking Mobiele App Ontwikkeling en Beheer voor de Rijksoverheid Ronald Heukers Architect Dictu w.j.r.heukers@dictu.nl Margreet van der Krans Architect SSC- I m.van.der.krans@dji.minjus.nl Leendert
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatieDevOps Waarom moeilijk doen 31 oktober 2013. als het samen kan
DEVOPS?! INLEIDING Wat gaan we doen? 18:00 Introductie 19:00 Uitleg open space 19:30 Koffie + start open space 20:30 Wrap-up INLEIDING Even vooraf Samen Duurzaam Innoveren INLEIDING Ik ben Jan Buurman
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieDe impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing.
Bijlagen 1 en 2: Aanbevelingen en opvolging Gateway Reviews (corsa 2018017934) Bijlage 1: Aanbevelingen en opvolging Gateway Review 2018 Aanbeveling Opvolging Status Opmerking 1. Richt een apart project
Nadere informatiegetronicspinkroccade.nl EPD en BiSL! 13 e EPD-ICT Congres NVMA 12 juni 2008 Thijs de Jong Senior adviseur en trainer
getronicspinkroccade.nl EPD en BiSL! 13 e EPD-ICT Congres NVMA 12 juni 2008 Thijs de Jong Senior adviseur en trainer Kennismaking 1 Beheer Van project naar beheer Grootschalige Vernieuwing Applicatiebeheer
Nadere informatieBijeenkomst DigiD-assessments
Bijeenkomst DigiD-assessments De weg naar de toekomst 2 december 2014 Agenda DigiD ICT-beveiligingsassessments in beeld DigiD assessment 2014 Rapportage template Third Party Mededelingen Overige toelichtingen
Nadere informatieNieuwsbrief GIR juni/juli Informatiebeveiliging
Nieuwsbrief GIR juni/juli 2017 Informatiebeveiliging Het A+O fonds stelt hoge eisen aan bescherming van persoonsgegevens en informatiebeveiliging in het GIR. Om gemeenten te informeren over informatiebeveiliging
Nadere informatieDynamisch risicomanagement eenvoudig met behulp van GRCcontrol
Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement
Nadere informatieDé cloud bestaat niet. maakt cloud concreet
Dé cloud bestaat niet. maakt cloud concreet 1 Wilbert Teunissen wilbert.teunissen@sogeti.nl Cloud Cases Strategie De rol van Functioneel Beheer 2 Onderwerpen 1. Context? Hug 3. the Impact cloud! FB 2.
Nadere informatieHet gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem
Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling
Nadere informatieBijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum
Collegeverklaring ENSIA 2017 - Bijlage 1 Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen? Vraag 2: Hoeveel
Nadere informatieWelkom bij parallellijn 1 On the Move 14.20 15.10 uur
Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag
Nadere informatieBrandID Centrum Informatiebeveiliging en Privacybescherming (CIP)
VERANDEREN IS GEEN KUNST VERBETEREN WEL Een onderzoek onder de deelnemers aan de CIP Voorjaarsconferentie 2014 Renee van Beckhoven Inez de Fluiter BrandID Centrum Informatiebeveiliging en Privacybescherming
Nadere informatieDevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?
DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps? Rachid Kherrazi 10-10-2018 Even voorstelen Rachid Kherrazi Test Manager @ InTraffic in Nieuwegein 18 jaar werkervaring bij
Nadere informatieENSIA voor informatieveiligheid
ENSIA voor informatieveiligheid Introductie ENSIA 2018 Handreiking voor ENSIA coördinatoren 2018 Agenda Welkom & introductie ENSIA ENSIA stelsel & participanten Rol ENSIA coördinator Fasen verantwoording
Nadere informatieNorm ICT-beveiligingsassessments DigiD
Norm ICT-beveiligingsassessments DigiD Versie 2.0 Datum 16 december 2016 Status Definitief Colofon Projectnaam DigiD Versienummer 2.0 Contactpersoon Servicecentrum Organisatie Logius Bezoekadres Wilhelmina
Nadere informatieSecurity (in) architectuur
Security (in) architectuur ISC2 chapter Netherlands Donderdag 21 november 2013 Ing Renato Kuiper, CISSP, CISA, TOGAF, CSF Logo Klant Focus op: Security, risicomanagement, IAM, Cloud en architectuur Vanuit
Nadere informatieIn 2017 groeide het CIP netwerk in een gestaag tempo verder. De groei van het CIP-netwerk laat door de jaren heen een stabiel verloop zien:
Geachte lezer, Wordt dit land nu eigenlijk veiliger doordat CIP bestaat? Een moeilijk te beantwoorden vraag. Het steeds verder uitbreidende dreigingslandschap, de in hoog tempo ontwikkelende technologie
Nadere informatieGDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering
GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering FLAGIS Studienamiddag Donderdag 15 maart 2018 - Leuven - KU Leuven Ivan Stuer Afdelingshoofd IT Informatie Vlaanderen
Nadere informatieICT Accountancy. Praktijkdag Webwinkels en Boekhouden
ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst
Nadere informatieUITNODIGING ICT MARKTTOETS
UITNODIGING ICT MARKTTOETS Infrastructuur Managed Services LOGIUS 28 maart 2019 Voor de digitale economie Op donderdag 28 maart 2019 organiseert Nederland ICT in opdracht van Logius een ICT Markttoets
Nadere informatieInhoud. 1. Even voorstellen. 2. Doel van deze sessie. 3. Veranderende omgeving bij de Nationale Politie. 4. Nationale Politie. 5. Portfoliomanagement
Inhoud 1. Even voorstellen 2. Doel van deze sessie 3. Veranderende omgeving bij de Nationale Politie 4. Nationale Politie 5. Portfoliomanagement 6. Sturen op resultaat effectmeting 7. Next Practices? 8.
Nadere informatieNORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.
NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal
Nadere informatieGETTING THE BEST OUT OF YOUR SOURCE CODE FIT TEST VOOR UNIFACE
GETTING THE BEST OUT OF YOUR SOURCE CODE FIT TEST VOOR UNIFACE 2 DIGITALISATIE VEREIST: Toegevoegde waarde Agility en snelheid Security en betrouwbaarheid 3 COMBINATIE BUSINESS & IT BUSINESS TECHNOLOGY
Nadere informatieRapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C
DigiD aansluiting no.1 - Bijlage B + C Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C gemeente Renswoude Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen?
Nadere informatieInnovatie in een veranderd risicolandschap
Innovatie in een veranderd risicolandschap Kees Hintzbergen, adviseur IBD Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze bijeenkomst. Foto s mogen niet zonder toestemming van de afgebeelde
Nadere informatieDoe de poll via the Live App
INGRID LIGTHART Je software in de private cloud Doe de poll via the Live App Iedereen heeft het over cloud Cloud is de toekomst Doe mee aan de private cloud poll! Geef nu uw mening via de Exact live app
Nadere informatieProject Fasering Documentatie Applicatie Ontwikkelaar
Project Fasering Documentatie Applicatie Ontwikkelaar Auteurs: Erik Seldenthuis Aminah Balfaqih Datum: 31 Januari 2011 Kerntaak 1 Ontwerpen van applicaties De volgordelijke plaats van de documenten binnen
Nadere informatieHandreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017
Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017 Versie 2.0 van mei 2019 Inhoud 1 Inleiding... 3 Waarom een handreiking voor de implementatie van het nieuwe normenkader?... 3 2 Algemene
Nadere informatieProcesvalidatie voor een veiliger ketentest
Procesvalidatie voor een veiliger ketentest Johan Vink TestNet Voorjaarsevenement 2010 Agenda Inleiding Typering project & testaanpak Werkwijze business proces Probleem De opdracht voor het testteam Probleemanalyse
Nadere informatieRISK ASSESSMENTS. A Must Do, or.
RISK ASSESSMENTS A Must Do, or. NCSC LIAISON CSA Waar gaan we naar toe Mobile Social Cloud Big Data By 2016 smartphones and tablets will put power In the pockets of a billion global consumers Millennials
Nadere informatieALERT project; Cyber security en de menselijke factor
SBIR cyber security Projecttitel: Bedrijf: In samenwerking met: ALERT project; Cyber security en de menselijke factor InfoSecure BeOne Development / TNO / BusinessGames Projectsamenvatting De doelstelling
Nadere informatieBelastingdienst Mobile Competence Centre. Toine Veenhuis
Belastingdienst Mobile Competence Centre Toine Veenhuis Belastingdienst / Mobile Competence Center 21-5-2015 Toine Veenhuis B/CAO Belastingdienst Minfin DGBel Toeslagen 1200 Dienstverlening BelTel 1200
Nadere informatieSCRUM en Agile IT ontwikkeling en de impact op governance
SCRUM en Agile IT ontwikkeling en de impact op governance NCD Dag voor Commissarissen en Toezichthouders 16 Maart 2017 NCD Nationale Dag van de Commissarissen & toezichthouders, commissaris en IT, maart
Nadere informatieAfspraken zijn de essentie
Forum Standaardisatie Afspraken zijn de essentie De rol van standaardisatie bij het realiseren van interoperabiliteit Peter Waters Hoofd Bureau Forum Standaardisatie Versterking Interbestuurlijke samenwerking
Nadere informatieResponsive web applicaties op Oracle
APEX Responsive web applicaties op Oracle Spreker(s) : Datum : E-mail : Arian Macleane & Jacob Beeuwkes 06-06-2013 info@transfer-solutions.com WWW.TRANSFER-SOLUTIONS.COM Outline Trends APEX intro APEX
Nadere informatieVisie op Cloud & ICT Outsourcing
HEALTHCARE & LOCAL GOVERNMENT Visie op Cloud & ICT Outsourcing Regionaal ICT Beraad, gemeente Midden-Delfland 25 oktober 2016 Voorstellen - Sinds 2013 werkzaam bij PinkRoccade Local Government - Productmanager
Nadere informatie