Grip op. Secure Software Development

Vergelijkbare documenten
Grip op Secure Software Development

Grip op Secure Software Development de rol van de tester

Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten.

NORA principes beveiliging. Wijzigingsvoorstel voor de Gebruikersraad van 12 feb. 2014

Zo krijg je software veilig: Grip op Secure Software development

2015; definitief Verslag van bevindingen

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Jacques Herman 21 februari 2013

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Secure Software Alliance

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Informatiebeveiliging voor gemeenten: een helder stappenplan

Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari

Generieke systeemeisen

Norm 1.3 Beveiligingsplan

Volwassen Informatiebeveiliging

Gemeente Alphen aan den Rijn

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.

Security Health Check

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

Grip op Secure Software Development (SSD)

Een Information Security Management System: iedereen moet het, niemand doet het.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

De app wordt volwassen kansen en valkuilen. Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

College bescherming persoonsgegevens

Grip op Secure Software Development (SSD)

Thema 2: aanschaf en gebruik van e-healthtoepassingen

Concretere eisen om te (kunnen) voldoen aan relevante wet- en regelgeving zijn specifiek benoemd

Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Het avontuur van een nieuw intranet. Frank Alta Product Owner intranet Sociale Verzekeringsbank (SVB)

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Risicomanagement en NARIS gemeente Amsterdam

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Grip op Secure Software Development (SSD)

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

Meer Business mogelijk maken met Identity Management

Aan welke eisen moet het beveiligingsplan voldoen?

Informatiebeveiligingsbeleid

NEN 7510 & ziekenhuizen. Beer Franken, Piasau Hans van Hemert, Maasstad Ziekenhuis

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Verbeterplan Suwinet

Werkdocument interpretatie keuzedeel Security in systemen en netwerken

Informatiebeveiligingsbeleid

LIO NOREA bijeenkomst 4 februari 2019

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance

Functioneel Applicatie Beheer

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

SIVA-methode voor de ontwikkeling van auditreferentiekaders

Werkdocument interpretatie keuzedeel Security in systemen en netwerken

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

IB-Governance bij de Rijksdienst. Complex en goed geregeld

De impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing.

Cloud computing Helena Verhagen & Gert-Jan Kroese

Wie doet wat? Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2

Verantwoordingsrichtlijn

Op weg naar een hoger niveau testorganisatie. Tim Koomen TestNet najaarsevenement 2009

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent

Digikoppeling adapter

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST?

Kickstart-aanpak. Een start maken met architectuur op basis van best practices.

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

BEVEILIGINGSARCHITECTUUR

Functieprofiel Beheerder ICT Functieprofiel titel Functiecode 00

Checklist Beveiliging Persoonsgegevens

Wees in control over uw digitale landschap

Project Fasering Documentatie ICT Beheerder. Auteurs: Angelique Snippe Tymen Kuperus

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Het Sebyde aanbod. Secure By Design

Test rapportage Waarom eigenlijk?

Transcriptie:

Titel Grip op Voorkom zwakheden in de software en daarmee 75 % incidenten Secure Software Development De opdrachtgever aan het stuur Lunchsessie 7 april 2014 Grip op Secure Software Development 1

Grip op SSD Leden CIP- SSD werkgroep: Taeke de Jong Bart van Staveren Marcel Koers DICTU CIP UWV/CIP Peter de WiIe SVB Rob van der Veer SIG Sape Nauta BelasOngdienst Elleke Oosterwijk CIP Henk LieTink BelasOngdienst Marcel van Nunen DICTU Bas Cornelissen SIG Ad Kint UWV/CIP Welkom

Agenda 11:00 Grip op SSD 11:00 Intro - Ad Kint 11:05 Loopgraven - Rob van der Veer 11:15 Beeldvorming: Stellingen en interacoe - Rob van der Veer 11:35 De SSD methode en de normen - Marcel Koers & Wiekram Tewarie 12:00 Pause 12:10 Ervaringen bij UWV 12:15 Veranderen - Ad Kint & Bas Weber 12:30 OperaOonaliseren SSD - Arie Franke & Patrick van Grevenbroek Vragen 12:45 Conclusies, toekomst - Marcel Koers & Rob van der veer 12:55 AfsluiIng - Ad Kint 13:00 Einde

Loopgraven Rob van der Veer

Beeldvorming: Stellingen en interactie Rob van der Veer

Wel Niet Stellingen over eisen 1. Mijn organisaoe stelt beveiligingseisen aan sotware. 2. Wij hebben standaard beveiligingseisen. 3. De beveiligingseisen zijn voor alle projecten gelijk. 4. Onze beveiligingseisen zijn specifiek, duidelijk en meetbaar. 5. Onze beveiligingseisen geven expliciet aan wie wat moet doen: de leverancier of de hosongparoj. 6. Als de beveiligingseisen worden opgevolgd is de sotware voldoende veilig. 7. Het is haalbaar om alles op te schrijven wat niet mag ivm security.

Wel Niet Stellingen over toetsen 1. Wij toetsen de beveiligingseisen voldoende. 2. Wij toetsen beveiligingseisen met penetraoetests. 3. Als de penetraoetest slaagt hoeven we ons geen zorgen meer te maken. 4. We herhalen regemaog de penetraoetests. 5. Wij toetsen beveiligingseisen met codereviews. 6. Wij doen die codereviews al vroeg Ojdens de bouw. 7. Wij passen onze eisen aan, als blijkt dat we in de prakojk er niet aan voldoen. 8. Leesbaarheid van de broncode is een belangrijke factor in het voorkomen van securityfouten.

Wel Niet Stellingen over risico s 1. Wij doen regelmaog een dreigingsanalyse. 2. Voor elk project wordt een risico- analyse uitgevoerd. 3. De risico- analyse wordt gecommuniceerd naar de leverancier. 4. Die communicaoe gebeurt bij de uitvraag. 5. Gedoogde/geaccepteerde risico s worden bijgehouden. 6. Deze risico s worden regelmaog weer overwogen. 7. Wij hebben een overzicht van applicaoes met hun risicocategorie en bekende risico s.

De SSD methode en de normen Marcel Koers & Wiekram Tewarie

Oorzaken onveilige software Beveiligingseisen zijn onduidelijk en niet op maat Opdrachtgever verwacht deskundigheid Leverancier verwacht precieze specificaoes Er wordt niet of laat getoetst Opdrachtgever heet te weinig risico- overzicht Bestaande standaarden bieden te weinig houvast Lange lijsten met technische en organisatorische maatregelen Vooral toegesneden op het hoe, niet het wat Grip op Secure Software Development 11

Eisen aan een methode om te kunnen sturen Leveranciersonafankelijk: ü Geen eisen die ingrijpen op het HOE bij de leverancier ü Inzetbaar bij meerdere verschillende leveranciers Toepasbaar bij verschillende ontwikkelmethodieken Meegeven beveiligingseisen is niet een verwijzing naar een (ISO- )standaard: ü Maak eisen op maat met een risicoanalyse Maak de leveranciers duidelijk dat je (steeds meer) gaat sturen Grip op Secure Software Development 12

De methode: In contact en in control komen Standaard beveiligingseisen Security Architectuur Blokken Baseline security ClassificaOe Systemen Gegevens AIack paierns De SSD- processen Risicoanalyse & PIA (Misuse & abuse) Bijhouden risicomiogaoe en risicoacceptaoe Beveiligings- eisen Contact- momenten Beveiligings- testplan Code review Testen en toetsen Risico- acceptaoe Pentesten IniOaOe verandering Ontwerp Het voortbrengingsproces SoTware ontwikkeling Testen AcceptaOe ImplementaOe Grip op Secure Software Development 13

De methode: Governance Organisatorische inrichong SSD SSD- processen: volwassen ingevuld Business Impact Analyse Onderhoud standaard beveiligingseisen Sturen op maturity Standaard beveiligingseisen Security Architectuur Blokken Baseline security ClassificaOe Systemen Gegevens AIack paierns Grip op Secure Software Development 14

Groeien naar volwassenheid 5 4 3 2 gebruik dashboard dezelfde prestatie-indicatoren leveranciers afgestemde selectie baseline beveiligingseisen dezelfde tooling en prestatie-indicatoren leveranciers methodische aanpak voor onderlinge vergelijking standaard voor bedrijfskritische systemen steekproefsgewijs SSD-processen dezelfde tooling en prestatie-indicatoren leveranciers hogere voorspelbaarheid met kortcyclische processen 4. Vergroten bewustzijn: Campagneleider testset afgestemd op Voorbeeld de bedrijfs- publiceren en 1. Faciliteren security-architectuur testproces: Uitleg van de methode Uitleg van de baseline tegen bedrijfsbreed vastgestelde baseline beveiligingseisen pentest na externe melding beveiligingsdreiging onderdeel van het acceptatieproces periodiek voor bedrijfskritische systemen incidenteel voor bedrijfskritische systemen Security by design vergelijking indicatoren leveranciers de applicatieeigenaar voorkomt kortcyclisch negatieve bevindingen 6. Formele acceptaoe actieve monitoring 3. gedoogsituaoe ApplicaOelijst: van de Prioriteren vervolgafspraken applicaoes InventarisaOe hanteren baseline acceptatie mèt vervolgafspraken met applicatie-eigenaar formele processen 8. Rapportages op de afwijkingen (Rood/Groen) 1 kopie baseline beveiligingseisen op ad-hoc basis op ad-hoc basis slechts na beveiligingsincidenten acceptatie zonder vervolgafspraken met applicatie-eigenaar 7. Meenemen context: BIA prestatie-indicatoren en IB risico- analyse voor versneld gebruik nieuwe eisen 5. Security- architectuur Feedback leveranciers: Eerst als bijlage op versie in in lijn met de bedrijfsde contracten. securityarchitectuur 2. Afspraken: Uitleg methode aan de IM s Contract leveranciers CMMniveau Beveiligingseisen Code review Testen en toetsen Pentesten Risicoacceptatie Grip op Secure Software Development 15

Een succesvolle invoering van de methode Grip op SSD Comply or explain ü Begin met een minimum baseline. en start met het dashboard. ü Stel de beveiligingsrisicoanalyse verplicht voor alle IV- projecten ü Baselines en risicoanalyses maken is een vak: ü Organiseer kennis CIP netwerk ü Doe aan verwachongsmanagement: ü Zet CMM als roadmap in. ü Zet de methode om in een implementaoeplan WBP Nog niet Grip op Secure Software Development 16 PIA Zorg voor een opdrachtgever Zorg voor commitment

Vorm: Template Onderwerp werkwoord Criterium (wie en wat) Doelstelling (waarom) Risico x(wat)xxx werkwoord xxxx trefwoord xxxx audit- invalshoek Indicatoren trefwoord implementaae- invalshoek xxx xxx

Voorbeeld objecten analyse (Suwi norm 5, TF) De Security Officer beheert en beheerst beveiligingsprocedures en maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwi overeenkomstig wettelijke eisen is geïmplementeerd. De Security Officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat m.b.t. de beveiliging van Suwinet de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet De Security Officer rapporteert rechtstreeks aan het hoogste management

Voorbeeld: Formulering (SUWI Norm 5) Informatiebeveiligingsfunctionaris benoemen Criterium (wie en wat) Doelstelling (waarom) Risico Er is een Security Officer benoemd met specifieke verantwoordelijkheid voor het formuleren van beleid, het adviseren over de beveiliging van de Suwinet, het controleren/evalueren van en rapporteren over de getroffen beveiligingsmaatregelen en presenteren van verbetervoorstellen. Het zeker stellen dat effectieve en consistente informatiebeveiliging binnen de organisatie wordt geïmplementeerd. Het ontbreken van een Informatiebeveiligingsfunctionaris zal ertoe leiden dat informatiebeveiliging niet gecoördineerd plaatsvindt waardoor een varieteit aan beveiligingsmaatregelen worden getroffen. Dit zal leiden tot inconsitenties en kwetsbaarheden in de infrastructuur van de organisatie. audit-invalshoek implementatieinvalshoek

Voorbeeld: Formulering Beveiligingsfunctionaris benoemen audit-invalshoek Indicatoren Security Officer De Security Officer is adequaat in de organisaie geposiioneerd en rapporteert aan het hoogste management De taken en verantwoordelijkheden van de Security Officer zijn vastgelegd en vastgesteld. implementatieinvalshoek Formuleren De Security Officer formuleert beveiligingsrichtlijnen, procedures en instrucies voor de implementaie van beveiligingsmaatregelen inzake het gebruik van Suwi- diensten Adviseren De Security Officer adviseert: de organisaie over de beveiliging van de koppeling tussen het netwerk van de organisaie en het Suwinet, het gebruik van gegevens van Suwinet vanuit IT omgeving van de organisaie, het gebruik van gegevens van Suwinet vanuit een vreemde omgeving (bijv. het gebruik van gegevens vanuit thuis situaie)

Voorbeeld: Formulering Beveiligingsfunctionaris benoemen audit-invalshoek Indicatoren Controleren /Evalueren De Security Officer : Controleert en evalueert de beveiliging van Suwinet of de getroffen maatregelen worden nageleefd, Voert periodiek compliancy checks uit waarbij de getroffen maatregelen afgezet worden tegen de wet- en regelgeving Rapporteren De Security Officer rapporteert evaluaies: over de getroffen beveiligingsmaatregelen. over opgetreden security incidenten, over de stand van zaken rond beveiligingsbewust zijn van gebruikers (eindgebruikers en beheerders) binnen de organisaie m.b.t. het gebruik van gegevens vanuit Suwinet. implementatieinvalshoek

Voorbeeld: Formulering Netwerkaansluitingen configureren B0-2*, B0-3* Criterium (wie en wat) Doelstelling (waarom) Risico Indicatoren De op het netwerk aangesloten componenten zijn uniform en conform richtlijnen geconfigureerd en gedocumenteerd. Verschaffen van een adequaat inzicht in de opbouw van de infrastructuur. Introductie van beveiligingsproblemen bij onderhoud of wijzigingen, als gevolg van misinterpretatie of onwetendheid. audit-invalshoek richtlijnen de (beveiligings)instellingen van de ICT-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is (verantwoording en onderbouwing) implementatieinvalshoek Besteed speciale aandacht aan de defaultwaarden voor systeeminstellingen. documentatie de plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de impact van wijzigingen goed kan worden bepaald

SIVA normen SSD: één structuur één taal (één syntax) één methode Thema: Grip op SSD Invalshoeken: Doel FuncAe Gedrag Structuur Invalshoeken: Doel FuncAe Gedrag Structuur Buitencirkel: SIVA- principes Binnencirkel: SelecOe van principes afankelijk van thema Invalshoeken: Doel FuncAe Gedrag Structuur

Ervaringen bij UWV Veranderen Ad Kint & Bas Weber Voorbereiding DOEN DOEN DOEN Start met klein team 4-5 personen (leidende coalioe IM/BS/Testers/LM/leverancier) Benoem uitgangspunten Uitvoering Start bij de leveranciers/contracten: (bijvoorbeeld 0 meong + Impact analyse laten uitvoeren om SSD Compliant te worden) Parallel aan de invoering: awareness trainingen Iedereen: DocumentaOe lezen en bedenken wat dit specifiek voor jouw afdeling/proces betekent. PresentaOes en Opleidingen zijn beschikbaar op aanvraag Algemeen Pas de CMM aanpak toe (Capability Maturity Model geet niveau sotware- ontwikkeling aan) Meld voortgang (inktvlek) Gebruik bestaande governance structuren van de lijnorganisaoe (processen, overlegstructuren) Het is regulier voortbrengingsproces (geen eenmalige opdracht) Voor BSU verantwoording via maandelijkse KPI rapportage

Ervaringen bij UWV: Operationaliseren SSD Arie Franke & Patrick van Grevenbroek

Leveranciersmanagement Arie Franke Borging in contracten Leverancier specifieke zaken onderkennen Generieke templates ontwikkelen Testperiode Directe afstemming tussen parojen Delen van informaoe en kennis van belang

SSD Dashboard

Test Service Center (TSC) Patrick van Grevenbroek Contractuele borging afgerond à start TSC. Implementeren SSD binnen het TSC. Inregelen Security opleiding en Security Awerness training t.b.v. Testers, BSU, IM, etc SSD, elke release, opgeleverd in de releasenotes 31 Review, 12 funcoonele tests i.s.m. Security Team (PENtesten) RegistraOe in bevindingtool o.v.v. Security Rapporteren naar opdrachtgever/eigenaar en leverancier, vullen SSD dashboard. Einde release opleveren FtSO (GO/NO GO)

Conclusie, toekomst Marcel Koers & Rob van der veer

Toekomst SSD- methode verder versterkt met: Tips & Tricks Uitbreiden van de SSD normen (SIVA based) Kom tot een manifest van pracoooners? Conclusie.

Grip op SSD is een open methode We hebben een gemeenschappelijk belang: Dezelfde leveranciers: Gebruik van dezelfde normen: Zelfde manier van aansturen: Deel je inzicht met de SSD werkgroep Contact: Petra.vanDellen@UWV.nl 020-6879108 www.cip- overheid.nl/downloads Grip op SSD SIVA beveiligingsnormen Grip op SSD methode Grip op Secure Software Development 31

Grip op SSD Dank voor uw aanwezigheid namens de werkgroep CIP- SSD

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback