iso27diy-corp/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/a-8.25-Beveiligen-tijdens-de-ontwikkelcyclus.md

#iso27002/2022/NL

Standard: ISO 27002:2022 NL

+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+================================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-_en_net- werkbeveiliging | #Bescherming | +------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+

Beheersmaatregel

Voor het veilig ontwikkelen van software en systemen behoren regels te worden vastgesteld en toegepast.

Doel

Bewerkstelligen dat informatiebeveiliging binnen de veilige ontwikkelcyclus van software en systemen wordt ontworpen en geïmplementeerd.

Richtlijn

Beveiligd ontwikkelen is een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeemm dit te bereiken behoort met de volgende aspecten rekening te worden gehouden:

a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8.31);

b) richtlijnen betreffende beveiliging in de levenscyclus van systeemontwikkeling:

1. beveiliging in de softwareontwikkelmethodiek (zie 8.27 en 8.28);

2. richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8.28);

c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5.8)

d) beveiligingscontrolepunten in projecten (zie 5.8)

e) het testen van de systemen en de beveiliging, zoals regressietests, codescan- en penetratietests

(zie 8.29);

f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8.4 en 8.9)

g) beveiliging in het versiebeheer (zie 8.9);

h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8.28);

i) het vermogen van de ontwikkelaar om kwetsbaarheden te voorkomen, te vinden en te repareren

(zie 8.8);

j) licentie-eisen en alternatieven om kosteneffectieve oplossingen te bewerkstelligen en tegelijkertijd

toekomstige licentieproblemen te voorkomen (zie 5.32).

Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8.30).

Overige informatie

Ook binnen toepassingen kan ontwikkeling plaatsvinden, zoals binnen kantoortoepassingen, scripting, browsers en databases.