Grip op Secure Software Development



Vergelijkbare documenten
Grip op Secure Software Development de rol van de tester

Grip op. Secure Software Development

Zo krijg je software veilig: Grip op Secure Software development

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Secure Software Alliance

Grip op Secure Software Development (SSD)

Grip op Secure Software Development (SSD)

De app wordt volwassen kansen en valkuilen. Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app

Grip op Secure Software Development (SSD)

Informatiebeveiliging voor gemeenten: een helder stappenplan

Professionalisering: CIP-tools en FG-enquête in vogelvlucht

Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari

Jacques Herman 21 februari 2013

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

Testen = Monitoren. Hoe de werkzaamheden van de boodschapper van de koning gaan veranderen. Datum: 30 April 2015

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

Auditen van Agile projecten

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau

Bedrijvenbijeenkomst informatiebeveiliging en privacy

NEN 7510 & ziekenhuizen. Beer Franken, Piasau Hans van Hemert, Maasstad Ziekenhuis

Keuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code

IB-Governance bij de Rijksdienst. Complex en goed geregeld

Checklist Beveiliging Persoonsgegevens

BEVEILIGINGSARCHITECTUUR

Security Operations Centre (SOC) for Information Assurance

Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1

Thema 2: aanschaf en gebruik van e-healthtoepassingen

III Stream IT Auditing. UWV / CIP / VU- IT auditing

Volwassen Informatiebeveiliging

Toelatingsassessment. Portfolio. Assessment t.b.v. toelating tot de deeltijdopleiding HBO-ICT. Naam Adres Telefoon Datum

Informatiebeveiligingsbeleid

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Gemeente Alphen aan den Rijn

Succes = Noodzaak x Visie x Draagvlak 2. Case: Implementatie Requirements Lifecycle management bij Rabobank International

Het avontuur van een nieuw intranet. Frank Alta Product Owner intranet Sociale Verzekeringsbank (SVB)

"Baselines: eigenwijsheid of wijsheid?"

Heeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?

Cloud computing Helena Verhagen & Gert-Jan Kroese

SOC inrichten: begin klein

Wim Eysink Deloitte IIA Raad van Advies. Voorstellen herziene Corporate Governance Code

UWV Testservice. Resultaatgerichte invoering van een adaptief procesmodel

Hoezo dé nieuwe ISO-normen?

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Technisch projectmedewerker

Beoordelingskader Informatiebeveiliging DNB

Kickstart-aanpak. Een start maken met architectuur op basis van best practices.

Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten.

Een Information Security Management System: iedereen moet het, niemand doet het.

BrandID Centrum Informatiebeveiliging en Privacybescherming (CIP)

BIR comply or explainprocedure

Afspraken zijn de essentie

Dutch Agile AGILE. Survey report 2014

De impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing.

getronicspinkroccade.nl EPD en BiSL! 13 e EPD-ICT Congres NVMA 12 juni 2008 Thijs de Jong Senior adviseur en trainer

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Stappenplan naar GDPR compliance

IAM en Cloud Computing

Business Control binnen de gemeente DATA GOVERNANCE. Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016

OUTSOURCING In dit document wordt het begrip outscourcing of aanbesteding nader toegelicht.

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE

Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance

Vertrouwen in ketens. Jean-Paul Bakkers

Introductie. NAV performance. Derk Jan Oelemans. Manager Development, BI en E-Business Qurius Business Solutions

Heeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?

doel bereikt zelfsturing inrichten veiligheid fundament Behoeftepiramide van een "Social Business"

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Voorlopige resultaten Informatiemanagement onderzoek Woensdag 19 oktober NGI IM Utrecht

Jaarverslag 2014 & outlook 2015

Test rapportage Waarom eigenlijk?

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

Goed functioneel beheer noodzaak voor effectievere SPI

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : Kies voor de map Acceptatietesten

Kernregistratie Openbare Ruimte Overheid & ICT, Utrecht

Wees in control over uw digitale landschap

Whitepaper implementatie workflow in een organisatie

Van 6 weken naar 6 minuten. met. OpenSource. Jan-Taeke Schuilenga Infrastructuur Architect Jantaeke.schuilenga@duo.nl

Datalekken (en privacy!)

Continuous Delivery. Sander Aernouts

Wie durft? Kwaliteit rapporteren voor het IT project start! Bart-Jan de Leuw TestNet 10 mei 2011

Het CIP Cyber Security Platform: samenwerking in uitvoering

Vragenlijst voor het in beheer nemen van de afspraak Doorstroommonitor

Transcriptie:

Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1

CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG Normen DG Aware ness DG Ketens Subcommunity Publiek-Private Samenwerking DG Privacy Cyber Security Platform

Overheidsparticipanten en -relaties 3

Overheidsparticipanten en -relaties 4

Voor niets gaat de zon op: Veilige software via een effectieve assurance tactiek

Eisen aan de methode Leveranciersonafhankelijk: Geen eisen die ingrijpen op het HOE bij de leverancier Inzetbaar bij meerdere verschillende leveranciers Toepasbaar bij verschillende ontwikkelmethodieken Meegeven beveiligingseisen is niet een verwijzing naar een (ISO-)standaard: Maak eisen op maat met een risicoanalyse Maak de leveranciers duidelijk dat je (steeds meer) gaat sturen Grip op Secure Software Development 6

De methode: In contact en in control komen Standaard beveiligingseisen Security Architectuur Blokken Baseline security Classificatie Systemen Gegevens Attack patterns De SSD-processen Risicoanalyse & PIA (Misuse & abuse) Bijhouden risicomitigatie en risicoacceptatie Risicoacceptatie Contactmomenten Beveiligingstestplan Code review Testen en toetsen Beveiligingseisen Pentesten Initiatie verandering Ontwerp Het voortbrengingsproces Software ontwikkeling Testen Acceptatie Implementatie Grip op Secure Software Development 7

De methode: Governance Organisatorische inrichting SSD SSD-processen: volwassen ingevuld Business Impact Analyse Onderhoud standaard beveiligingseisen Sturen op maturity Standaard beveiligingseisen Security Architectuur Blokken Baseline security Classificatie Systemen Gegevens Attack patterns Grip op Secure Software Development 8

Normen volgens SIVA methodiek Onderwerp werkwoord Criterium (wie en wat) Doelstelling (waarom) Risico x(wat)xxx werkwoord xxxx trefwoord xxxx audit-invalshoek Indicatoren trefwoord xxx xxx implementatieinvalshoek

Groeien naar volwassenheid 5 4 3 2 gebruik dashboard dezelfde prestatie-indicatoren leveranciers afgestemde selectie baseline beveiligingseisen dezelfde tooling en prestatie-indicatoren leveranciers methodische aanpak voor onderlinge vergelijking standaard voor bedrijfskritische systemen steekproefsgewijs SSD-processen dezelfde tooling en prestatie-indicatoren leveranciers hogere voorspelbaarheid met kortcyclische processen 4. Vergroten bewustzijn: Campagneleider testset afgestemd op Voorbeeld de bedrijfs- publiceren en 1. Faciliteren security-architectuur testproces: Uitleg van de methode Uitleg van de baseline tegen bedrijfsbreed vastgestelde baseline beveiligingseisen pentest na externe melding beveiligingsdreiging onderdeel van het acceptatieproces periodiek voor bedrijfskritische systemen incidenteel voor bedrijfskritische systemen Security by design vergelijking indicatoren leveranciers 8. Rapportages op de afwijkingen (Rood/Groen) de applicatieeigenaar voorkomt kortcyclisch negatieve bevindingen 6. Formele acceptatie actieve monitoring 3. gedoogsituatie Applicatielijst: van de Prioriteren vervolgafspraken applicaties Inventarisatie hanteren baseline acceptatie mèt vervolgafspraken met applicatie-eigenaar formele processen 1 kopie baseline beveiligingseisen op ad-hoc basis op ad-hoc basis slechts na beveiligingsincidenten acceptatie zonder vervolgafspraken met applicatie-eigenaar 7. Meenemen context: BIA prestatie-indicatoren en IB risico-analyse voor versneld gebruik 5. Security-architectuur Feedback nieuwe leveranciers: eisen Eerst als bijlage op versie in lijn met de bedrijfs- 2. in de Afspraken: contracten. securityarchitectuur Uitleg methode aan de IM s Contract leveranciers CMMniveau Beveiligingseisen Code review Testen en toetsen Pentesten Risicoacceptatie Grip op Secure Software Development 10

Een succesvolle invoering van de methode Grip op SSD Comply or explain Begin met een minimum baseline. en start met het dashboard. Stel de beveiligingsrisicoanalyse verplicht voor alle IV-projecten WBP PIA Baselines en risicoanalyses maken is een vak: Organiseer kennis CIP netwerk Doe aan verwachtingsmanagement: Zet CMM als roadmap in. Nog niet Zet de methode niet om in een implementatieplan Zorg voor commitment Grip op Secure Software Development 11

Een vooruitblik SSD-methode verder versterkt met: Tips & Tricks Artikel in generieke beveiligingsovereenkomst Uitbreiden van de SSD normen (SIVA based) Start practitioners groep op 11 juni

Grip op SSD als open methode (Overheids)partijen hebben een gemeenschappelijk belang: Veelal dezelfde leveranciers: Zelfde manier van aansturen: Gebruik van dezelfde normen: Deel je inzicht met de SSD partitioners groep Contact: Petra.vanDellen@UWV.nl 020-6879108 www.cip-overheid.nl/downloads Grip op SSD methode Grip op SSD SIVA beveiligingsnormen Grip op Secure Software Development 13

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback