Informatiebeveiliging voor de requirementsanalist



Vergelijkbare documenten
Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : Versie : 1.0. Opgesteld door :

Johan Zandhuis Boek: Succes met de requirements! Voorjaarsevent Testnet: 22 juni 2009

Informatiebeveiliging voor kwaliteitsmanager

Workshop verkrijgen requirements. Draaiboek requirementsontwikkeling sessie. SYSQA B.V. Almere

Een duivelse samenwerking (Projectmanagement vs. Testmanagement) Albrie Beemer & Erik Bits 18 april 2012

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Testen+ Testaanpak Sogeti testteam bij de Friesland Bank. Versie: 13 februari 2012 André Louwes / Arjan van der Haar

Portal Planning Process

van TESTmanagement naar testmanagement

Beveiligingsbeleid Stichting Kennisnet

Concretere eisen om te (kunnen) voldoen aan relevante wet- en regelgeving zijn specifiek benoemd

Introductie Informatiebeveiliging

Kwaliteit van ICT vergt samenwerking

Vereenvoudigd sjabloon requirementsdocument. <<Organisatie>>

De beheerrisico s van architectuur

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Je weet wat je wilt bereiken, maar wie & wat loop je tegen het lijf?

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Stakeholder behoeften beschrijven binnen Togaf 9

Risico s bij ERP. SYSQA B.V. Almere. Datum : 6 mei 2013 Status : Definitief Versie : 2.0 Opgesteld door :

Er valt veel te zeggen over enterprise architectuur. Dit document wil een deel van het onderwerp aansnijden vanuit twee motto s: Begrippen...

NORA Sessie mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

Data Warehouse. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

TROWA. Visie en scope Informatiemodel Waterschapsverordening. Datum : : 2.0, definitief

Keuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code

Beleid Informatiebeveiliging InfinitCare

notitie Systems Engineering Lesplan Requirements Engineering (RE) Werkgroep opleidingen Definitief; vastgesteld Stuurgroep 4P

Auditen van Agile projecten

Verschillen in QA aanpak tussen ERP projecten en niet-erp projecten

Stakeholdermanagement

Wij testen..maar....wat test jij?

RUM. requirements Management. SPIder session Project. driven by requirements 25th april. Risk assessed User

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Van requirements naar teststrategie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Extended ISO 9126: Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Het succes van samen werken!

Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : Kies voor de map Acceptatietesten

Technische architectuur Beschrijving

AVG Routeplanner voor woningcorporaties

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Data en Applicatie Migratie naar de Cloud

Data Quality Een vereiste voor elke datagedreven organisatie

Non Functional Requirements SMART maken

Stappenplan Social Return on Investment. Onderdeel van de Toolkit maatschappelijke business case ehealth

Testrisicoanalyse. Introductie

Belastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven

Requirements en testen. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

Succes = Noodzaak x Visie x Draagvlak 2. Case: Implementatie Requirements Lifecycle management bij Rabobank International

Plan van aanpak <<projectnaam>> <<Organisatie>>

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Subwerkgroep Methoden. Toelichting inhoud en voortgang tot nu toe

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Projectmanagement onderzoek. Meest succesvolle projectmanagement methodiek is PINO. 6 december 2006 Barry Derksen MSc MMC CISA CGEIT RI

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Werksessie DLWO. 25 juni Nico Juist, Danny Greefhorst en Lianne van Elk

Security Health Check

DATAMODELLERING CRUD MATRIX

Richtlijnen voor het ontwerpen een Intranetportal Door Bas Fockens

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Adding value to test tooling Hoe en waarom DevOps de wereld van performance testen verandert

Agile bij grote administratieve systemen. Omgaan met requirements

Registratie Data Verslaglegging

Business Case. <<Naam project>>

DATAMODELLERING SCORE MATRIX

Cloudsourcing & Forensic Readiness. Over verwachtingen, transparantie en samenwerking. Platform voor Informatiebeveiliging! Uit de serie in the cloud!

Stakeholdermanagement

Template Privacy Assessment

WHITE PAPER STAKEHOLDERMANAGEMENT

Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen.

Raad voor Accreditatie (RvA) Beleidsregel Evaluatie van conformiteitsbeoordelingsschema s

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Test Management Assessment

Steenwinkel Kruithof Associates Management en Informatica Consultants. Opzetten en inrichten Shared Service Center in de zorg

DATAMODELLERING BEGRIPPENBOOM

Voorbeeldvraag 1. Welke uitspraak is JUIST:

Checklist Slimme vragenlijst regievoering

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

bedrijfsprocessen en vormt daarmee de kapstok voor de producten van andere disciplines. Het PAM is geen RUP concept.

AAN DE SLAG MET INFORMATIEMANAGEMENT. Masterclass Informatiemanagement

Vrijgaveadvies. Project <naam project>

Conclusie: voor elke organisatie die dit nastreeft is het goed besturen en beheersen van de bedrijfsprocessen

Informatiebeveiligingsbeleid

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

BentVoorbeeld. Proces en informatie onderzoek DECLA. consultancy. Versie : 1.0 Datum : 3 juli 2013 Auteur : D.W.F.

Testen. Presentatie. Open-i Software Services BV, Maarssen Datum : Versie : 1.2

Security in systemen en netwerken 2

Transcriptie:

voor de requirementsanalist SYSQA B.V. Almere Datum : 15 april 2013 Versie : 1.0 Status : Definitief Opgesteld door :

Organisatie: SYSQA BV Pagina 2 van 11 Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 1.1 Relatie met andere documenten van expertisegroep Security... 3 1.2 Doel en veronderstelde voorkennis... 3 1.3 Indeling van het document... 3 2 Requirementsanalist rol beschrijving... 4 3 Requirementsontwikkeling... 5 3.1 Elicitatie... 6 3.2 Analyse... 7 3.3 Specificatie & Validatie... 9 3.4 Conclusie... 9 4 Bijlage 1... 10 4.1 Bronvermelding en overige informatie... 10

Organisatie: SYSQA BV Pagina 3 van 11 1 Inleiding 1.1 Relatie met andere documenten van expertisegroep Security De expertisegroep Security van SYSQA B.V. heeft een set van documenten over informatiebeveiliging opgeleverd. Introductie Basiskennis voor de Requirementsanalist voor Testmanagement voor Functioneel Beheer Figuur 1 Documentstructuur IB documenten expertisegroep Security voor de Kwaliteitsmanager In het zwart omlijnde blok is het voorliggende document weergegeven. 1.2 Doel en veronderstelde voorkennis Dit document is bedoeld om requirementsanalisten meer handvatten te geven bij het uitvoeren van de rol van requirementsanalist en dan met name op het gebied van informatiebeveiliging. Er wordt verondersteld dat de requirementsanalist basiskennis heeft van informatiebeveiliging. Op de kennisbank van SYSQA staat een introductie tot informatiebeveiliging, dit document verstrekt deze basiskennis. Verder kunnen de documenten voor kwaliteitsmanager, testmanager en functioneel beheer als aanvulling worden gezien. In het document staan geen uitputtende beschrijvingen van technieken en processen. Er worden vooral aandachtspunten benoemd om de requirementsanalist aan het denken te zetten bij het requirementsproces wat deze doorloopt. Hierdoor zal hij of zij meer kritische vragen op het gebied van informatiebeveiliging kunnen stellen in zijn opdracht. 1.3 Indeling van het document De opzet van dit document is als volgt. Als eerste wordt de rol van requirementsanalist toegelicht. Aanvullend wordt de requirementsontwikkeling behandeld, hier wordt het proces rondom requirementsontwikkeling in relatie met IB verder toegelicht. Een aantal tips en aandachtspunten worden aangereikt om specifiek de requirements rondom IB helder te krijgen. Als laatste zijn referenties opgenomen naar interessante en relevante artikelen in relatie tot.

Organisatie: SYSQA BV Pagina 4 van 11 2 Requirementsanalist rol beschrijving De requirementsanalist is in eerste instantie verantwoordelijk voor de verdere detaillering van de business requirements die in relatie met informatiebeveiliging staan, met name die zaken waar door een informatiearchitect rekening mee moet worden gehouden. In de meeste organisaties zullen deze twee rollen veelal samen werken aan de informatiebeveiliging. Figuur 2: Soorten requirements en hun samenhang In vergelijking met alle andere aandachtsgebieden waar een requirementsanalist zijn aandacht aan moet besteden, is het onderwerp voor een requirementsanalist niet heel veel anders. Het probleem is vaak dat informatiebeveiliging (IB) bij veel bedrijven een aandachtsgebied is wat onderbelicht blijft, veelal omdat het een onderwerp is waar vanuit de business wat angstig op gereageerd wordt. IB is een onderwerp wat voor veel stakeholders als een onbekend fenomeen wordt beschouwd, maar eigenlijk ook als iets vanzelfsprekends: Uiteraard moet het veilig zijn!. De benodigde informatie om tot een goede set requirements betreffende IB te komen moet dan ook veelal van de informatiebeveiligingsspecialisten in een organisatie komen. Men weet vaak nog wel dat voor bepaalde wensen aan wet- en regelgeving voldaan moet worden, maar inhoudelijk kan men dan niet aangeven om welke wet- en regelgeving het

Organisatie: SYSQA BV Pagina 5 van 11 specifiek gaat. Laat staan dat men kan vertellen hoe aan deze van toepassing zijnde weten regelgeving voldaan moet worden. Hierin ligt voor een requirementsanalist dan ook een rol weggelegd om de business te helpen om dit gebrek aan kennis aan te vullen. De insteek van dit document is dan ook niet om te beschrijven hoe het requirementsproces voor IB ingestoken moet worden. Hiervoor wordt verwezen naar het boek Succes met de Requirements of naar de documenten over Requirements op de kennisbank van SYSQA. Het doel van dit document is om de requirementsanalist op voorhand aan het denken te zetten over het onderwerp IB tijdens de requirementsontwikkeling, zodat de requirementsanalist tijdens dit proces de juiste vragen bij de juiste personen kan vragen omtrent IB. In dit document wordt uitgegaan van het proces voor requirementsontwikkeling zoals deze in het boek wordt beschreven. 3 Requirementsontwikkeling Figuur 3: Onderverdeling van het requirementsproces Requirementsontwikkeling is een onderdeel van het requirementsproces en is een proces op zich. Zie hiervoor ook hoofdstuk 3 Requirementsontwikkeling in Succes met de Requirements. Het deelproces requirementsontwikkeling is de scope van dit document, waarbij alleen de onderdelen Elicitatie en Analyse met betrekking tot IB toegelicht worden. Figuur 4: Proces van requirementsontwikkeling

Organisatie: SYSQA BV Pagina 6 van 11 3.1 Elicitatie 3.1.1 Belanghebbenden De belanghebbenden (stakeholders) zijn de uiteindelijke doelgroep van een project. Het project moet een product of dienst opleveren waar de gebruikers iets mee moeten doen.. De belanghebbenden zouden dus moeten weten wat benodigd is om dit product of deze dienst te verwezenlijken. Het is dus noodzakelijk om voldoende tijd te claimen van de belanghebbenden om uiteindelijk tot een set van requirements omtrent IB te komen. Deze set van requirements moet van voldoende kwaliteit en diepgang zijn, zodat het project een juiste inschatting van de impact door deze requirements kan maken. In theorie start het requirementsproces bij de opstart, of liever zelfs nog voor de opstart, van het project (de inceptie fase). Het is dan van belang om de uitgangspunten voor het eindresultaat van het product of de dienst te bepalen, met name voor IB. Tijdens dit voorwerk moeten er een aantal randvoorwaarden en uitgangspunten worden overeengekomen: De business case, o.a. beargumenteerd vanuit het IB oogpunt; Betrokkenheid van de opdrachtgever, het topmanagement en de gebruikers; draagvlak voor IB is essentieel; Definitie van het te realiseren product of de te realiseren dienst; Acceptatiecriteria; Kwaliteitscriteria. In de inceptie fase zal blijken dat er omtrent IB in de meeste organisaties een wat ongemakkelijk gevoel heerst. Dit is meestal ontstaan door de ergernis van de gebruikers bij het omgaan met de huidige beveiligingsmaatregelen en/of onbekendheid met IB als thema. De inceptie fase is dus het uitgelezen moment om dit ongemakkelijke gevoel om te zetten in een situatie waar de beveilingseisen op een juiste wijze geëliciteerd en gespecificeerd kunnen worden. Een externe requirementsanalist zou hierin het best kunnen faciliteren, deze heeft nog geen band met de organisatie. Dit kan voorkomen dat er teveel sentimenten in de beveiligingseisen doorsijpelen en uiteindelijk geen eenduidige verwoording van de requirements wordt bewerkstelligd. Uiteraard kan een interne requirementsanalist dezelfde rol vervullen, key blijft dat het een onafhankelijke rol binnen de organisatie is. Voordat requirements worden opgesteld wordt een stakeholderanalyse gedaan. Controleer of hierbij ook voldoende wordt gekeken naar rollen die inhoudelijk meer kunnen zeggen over bedrijfscontinuïteit en IB. De vraag is ook of de requirementsanalist of business analist voldoende van deze onderwerpen afweten en er ook voldoende focus op hebben en zo nodig de mensen met kennis op deze gebieden opschakelen. Denk aan security officer of functioneel beheerder. Een stakeholdersanalyse in combinatie met een omgevingsanalyse is dan een goed startpunt om de veelal onbekende stakeholders omtrent security en IB in kaart te brengen. Deze personen komen (vaak) gewoon uit de business en/of de ICT, maar worden vaak bewust of onbewust niet betrokken. Uiteindelijk zijn ze vaak wel heel belangrijk bij de uiteindelijke acceptatie en in productie name van een resultaat. Na uitgebreide interviews met deze personen zou er dan een compleet beeld moeten ontstaan waarmee het ongemakkelijke gevoel bij de gebruikers weggenomen kan worden, omdat er dan duidelijke antwoorden zijn waarom IB noodzakelijk is en in welke richtingen er gezocht kan worden naar mogelijk oplossingen.

Organisatie: SYSQA BV Pagina 7 van 11 Mogelijke onbekende stakeholders: (Lijn)managers; ICT-managers; Product owners; Beheerorganisatie; Eindgebruikers; Overheid; smanager. Allen hebben een eigen referentiekader, (dus beperking en) hierdoor loopt men het risico dat de input voor requirements omtrent IB beknot wordt. Noodzaak blijft het om in deze eerste fase voldoende tijd te nemen om antwoord te krijgen in het waarom en hoe. Indien hier bij het opstarten te snel aan voorbij gegaan wordt of zelfs wordt vergeten, kan dit in het project kostbaar tijdsverlies opleveren. Geen of niet volledige beveiligingseisen creëren een gebrekkige beveiligingscomponent. Hierdoor ontstaat een verhoogde kans op een ondeugdelijke link met de reeds aanwezige beveiligingsinfrastructuur en/of geen overeenstemming met het bestaande beleid omtrent IB of de architectuur voor IB in de organisatie. Om het waarom te kunnen definiëren is het belangrijk om de doelstelling van het resultaat van het project te weten, dit hoort onder andere uit de business case naar voren te komen. Verder kunnen schriftelijke bronnen als input dienen om requirements voor IB te eliciteren. Voorbeelden schriftelijke bronnen: Wet- en regelgeving (WPB, Telecomunicatiewet, VIR, SoX, etc.); IB standaarden (ISO, NIST, ISF, etc.); IB organisaties en communities (OWASP, ISECOM); Business rules (ICT richtlijnen, bijv. password renewal, maar ook eisen die aan derde partijen gesteld kunnen worden); Gedocumenteerde incidenten met betrekking tot IB; Het hoe zijn oplossingen en die zijn voor de requirementsanalist in eerste instantie niet zo van belang, tenzij de oplossingen richtlijnen vanuit de organisatie zijn. Deze richtlijnen kunnen o.a. voortkomen uit wet- en regelgeving, best practices in de ICT en/of de enterprise-architectuur. 3.2 Analyse 3.2.1 Onderwerpen Mogelijke onderwerpen die in de requirements analyse fase naar voren gebracht kunnen worden: Opslag Secure opslaan (encryption, redundancy); Lokatie data (private/public datacenter, cloud, local disks, USB); Beschikbaarheid van de data.

Organisatie: SYSQA BV Pagina 8 van 11 Toegang Toegang tot data (lokatie, methode); Autorisaties van gebruikers of processen; Authenticatie van gebruikers of processen; Integriteit van de data. Betrouwbaarheid Informatie moet betrouwbaar zijn, met andere woorden: beschikbaar, integer en vertrouwelijk of exclusief (niet voor iedereen); De hoofduitgangspunten die van invloed kunnen zijn op deze (non-functional) requirements zijn: o Het belang van de informatie voor de bedrijfsprocessen; o De onmisbaarheid van de informatie binnen de bedrijfsprocessen; o De herstelbaarheid van de informatie. Maar ook de 6 elementen uit de Parkerian Hexad kunnen als input dienen. De elementen van de Parkerian hexad zijn: 1. Vertrouwelijkheid (exclusiviteit); 2. Bezit of controle; 3. Integriteit; 4. Authenticiteit; 5. Beschikbaarheid; 6. Utiliteit. Voor een toelichting op de Parkerian Hexad wordt verwezen naar Basiskennis IB op basis van ISO27001 en ISO27002 en Wikipedia. 3.2.2 Product Risico Analyse Risico en maatregel Er is een correlatie tussen risico (= kans x impact) en maatregel. geen risico = geen maatregelen weinig risico = weinig maatregelen veel risico = veel maatregelen en alle tussenliggende varianten. Maatregelen kan dan in het geval van risico s omtrent IB vervangen worden door het woord beveiliging. In de Product Risico Analyse (PRA, zie hiervoor o.a. het boek Succes met de Requirements ) moet duidelijk worden welke risico s er zijn, wat uiteindelijk met behulp van de stakeholders moet leiden naar een set requirements. De gevalideerde set requirements moet dan uiteindelijk leiden naar een set maatregelen die deze risico s kan afdekken. Aandachtspunten voor de PRA: Waar ligt de focus tijdens de PRA? Welke kwaliteitsattributen van ISO 25010 vindt men belangrijk? Kent men de security attributen?

Organisatie: SYSQA BV Pagina 9 van 11 Heeft de testmanager de (security) kwaliteitsattributen uitgelegd/toegelicht? Is een security officer aanwezig bij de PRA? Wordt het sbeleid goed in de PRA sessie meegenomen en wordt dit ook in de uitwerking van de PRA goed verwerkt? Zijn de systeem- en proceseigenaren zich voldoende bewust van de srisico s? Staat men genoeg stil bij de risico s wanneer een security requirement niet wordt gehaald? Een requirementsanalist hoort ook te kijken naar wat voor risico s men loopt als een requirement niet of niet goed wordt ingevuld. 3.3 Specificatie & Validatie Deze stappen wijken niet af van zoals beschreven in het boek Succes met de Requirements of in de documenten over Requirements op de kennisbank van SYSQA en zullen daarom hier niet verder worden toegelicht. 3.4 Conclusie Het requirementsontwikkelingsproces voor IB wijkt niet veel af van het requirementsontwikkelingsproces voor andere onderdelen in een IT project. Maar vanwege de onbekendheid met IB en de mogelijk impact als er in het opstarttraject van een ontwikkeltraject te lichtzinnig over gedacht wordt, is het een proces wat er ook voor moet zorgen dat er awareness over IB ontstaat. De requirementsanalist speelt daar dus een grote rol in.

Organisatie: SYSQA BV Pagina 10 van 11 4 Bijlage 1 4.1 Bronvermelding en overige informatie Succes met de requirements! - ISBN 978 90 12 12598 7 - Martin Arendsen, Jan Jaap Cannegieter, Petra Heck, Serge de Klerk en Johan Zandhuis; Basiskennis op basis van ISO27001 en ISO27002 ISBN 978 90 8753 567 4 Hans Baars, Jule Hintzbergen, Kees Hintzbergen en Andre Smulders; Expertbrief - IB standaarden - Platform voor - 2009; Expertbrief - PM & IB v1.01 - Platform voor - juni 2007; OWASP: https://www.owasp.org/ OWASP search naar requirements: https://www.owasp.org/index.php?title=special%3asearch&search=requirements&go=g o

Organisatie: SYSQA BV Pagina 11 van 11

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback