5.7 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+=====================================================================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Toepassingsbeveili- ging #Borging_van_infor- matiebeveiliging #Systeem-_en_net- werkbeveiliging | #Bescherming | +------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------------------+---------------------+
Beheersmaatregel
Processen voor het testen van de beveiliging behoren te worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus.
Doel
Valideren of aan de informatiebeveiligingseisen wordt voldaan wanneer toepassingen of code in de productieomgeving worden uitgerold.
Richtlijn
Nieuwe informatiesystemen, upgrades en nieuwe versies behoren tijdens de ontwikkelingsprocessen grondig te worden getest en geverifieerdet testen van de beveiliging behoort een integraal onderdeel te zijn van het testen voor systemen of componenten.
Het testen van de beveiliging behoort te worden uitgevoerd aan de hand van een verzameling eisen die als functioneel of niet-functioneel kunnen worden uitgedruktet testen van de beveiliging behoort het testen te omvatten van:
a) beveiligingsfuncties [bijv. authenticatie van gebruikers (zie 8.5), toegangsbeperking (zie 8.3) en het gebruik van cryptografie (zie 8.24)];
b) veilig coderen (zie 8.28);
c) beveiligde configuraties (zie 8.9, 8.20 en 8.21) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten.
Testplannen behoren met behulp van een verzameling criteria te worden vastgestelde omvang van de tests behoort in verhouding te staan tot het belang, de aard van het systeem en de mogelijke impact van de verandering die wordt ingevoerdet testplan behoort het volgende te omvatten:
a) een gedetailleerd schema van de activiteiten en tests;
b) input en verwachte output onder allerlei omstandigheden;
c) criteria om de resultaten te evalueren;
d) een besluit over verdere acties naarmate nodig is.
De organisatie kan geautomatiseerde instrumenten inzetten zoals instrumenten om codes te analyseren of om op kwetsbaarheden te scannen, en behoort het herstel van beveiligingsgerelateerde tekortkomingen te verifiëren.
Voor interne ontwikkelactiviteiten behoren dergelijke tests in eerste instantie te worden uitgevoerd door het ontwikkelteamervolgens behoren onafhankelijke tests te worden uitgevoerd om te bewerkstelligen dat het systeem uitsluitend werkt zoals voorzien (zie 5.8). Het volgende behoort te worden overwogen:
a) het uitvoeren van activiteiten om code te beoordelen als relevant element voor het testen op zwakke plekken in de beveiliging, met inbegrip van onvoorziene inputs en omstandigheden;
b) het scannen op kwetsbaarheden om onveilige configuraties en kwetsbaarheden in systemen te identificeren;
c) het uitvoeren van penetratietests om onveilige code en ontwerpen te identificeren.
Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgd. In de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5.20). Voordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria.
Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8.31).
Overige informatie
Er kunnen meer testomgevingen worden opgezet die gebruikt kunnen worden voor verschillende soorten tests (bijvunctionele en prestatietests)eze verschillende omgevingen kunnen virtueel zijn, met individuele configuraties om allerlei verschillende bedrijfsomgevingen te simuleren.
Het testen en monitoren van testomgevingen, -instrumenten en -technologieën behoort ook te worden overwogen om doeltreffend testen te bewerkstelligenezelfde overwegingen gelden voor het monitoren van de monitoringsystemen die worden ingezet in ontwikkel-, test- en productieomgevingenan de hand van de gevoeligheid van de systemen en gegevens behoort te worden beoordeeld hoeveel lagen metatests zinvol zijn.