image

NCSC publiceert richtlijnen voor ontwikkeling veilige software

donderdag 5 juli 2018, 16:49 door Redactie, 5 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid heeft richtlijnen gepubliceerd die moeten helpen bij het ontwikkelen van veilige software. Volgens het NCSC is het bij de ontwikkeling van veilige software niet alleen van belang om op technisch vlak kwetsbaarheden te voorkomen of verhelpen, maar moeten ook de processen zo zijn ingericht dat ontwikkelaars goed hun werk kunnen doen.

De "Beleids- en beheersingsrichtlijnen voor de ontwikkeling van veilige software" moeten hierbij helpen (pdf). De richtlijnen zijn ingedeeld volgen het SIVA-raamwerk. Dit raamwerk beschrijft richtlijnen voor het beleids-, uitvoerings- en beheersingsdomein. De beleids- en beheersingsdomeinen zijn daarin overkoepelend van toepassing over het gehele applicatiestelsel. De uitvoeringsrichtlijnen zijn afhankelijk van het type software.

Concreet noemt het document zaken als het opstellen van een informatiebeveiligingsbeleid, het toepassen van risicomanagement, processen voor penetratietests, logging, monitoring en patchmanagement. Het document van het NCSC is bedoeld voor securitymanagers, it-auditors en personen die betrokken zijn bij het ontwerp­ en ontwikkelproces, de implementatie en het beheer van applicaties.

Reacties (5)
05-07-2018, 20:44 door karma4
Dis is overkoepelend beleid, prima mag van mij meer gepromoot worden. Doelgroep "personen die betrokken zijn bij het ontwerp­ en ontwikkelproces, de implementatie en het beheer van applicaties" laat het vaak afweten.
06-07-2018, 06:58 door Anoniem
Misschien kan iemand helpen deze richtlijn te duiden? De titel van het document "Beleids- en beheersingsrichtlijnen voor de ontwikkeling van veilige software" wekte bij mij de suggestie dat er ergens iets staat over de ontwikkeling van veilige software. Maar de richtlijn lijkt vooral te gaan over de organisatie zelf die de software ontwikkelt. En dan wel op een dusdanig hoog abstractieniveau dat het weinig extra toevoegt aan 27001/27002. Dus als je "ontwikkeling van veilige software" weglaat dan kun je het eigelijk voor elke organisatie gebruiken.
06-07-2018, 10:06 door [Account Verwijderd]
Dit is natuurlijk niets nieuws. Je had al de 2015-versie "ICT-Beveiligingsrichtlijnen voor Webapplicaties" welke richtlijnen bevatte en daarnaast een verdiepings-document. Vooral dat laatste document was van belang en juist dát mis ik (nog?) bij deze nieuwe versie. Bovendien vraag ik mij af wat er nu wérkelijk veranderd is t.o.v. de 2015-versie. Een eerste scan laat geen schokkende nieuwe dingen zien. Voorlopig richt ik mij nog op het "oude" verdiepingsdeel.
06-07-2018, 11:11 door Anoniem
Je kan voor de praktische invulling ("wat moet ik nou controleren als developer") misschien beter OWASP pakken.
06-07-2018, 20:44 door karma4
Door Anoniem: Je kan voor de praktische invulling ("wat moet ik nou controleren als developer") misschien beter OWASP pakken.
Dat owasp helpt maar geeft geen verband wat nodig is in bepaalde situaties. Daarmee kan het omgekeerd uitpakken dat je zaken doet die niet nodig zijn maar de echt benodigde zaken mist.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.