Norm SD.01 Methodiek veilige softwareontwikkeling en -implementatie
Waarom is dit nodig?
Een gestructureerde aanpak zorgt ervoor dat de ontwikkeling en aanschaf van software gebeurt in lijn met de strategie van de organisatie. Dit draagt eraan bij dat software op een veilige manier wordt ontwikkeld en voldoet aan de functionele, technische en beveiligingseisen, goedkeuringsnormen en de informatiearchitectuur. Daarmee voorkom je digitaal onveilige situaties.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen gestructureerde aanpak.
- Systeem- en softwareontwikkeling gebeuren ad hoc.
2 Herhaalbaar
- Er zijn richtlijnen voor veilig coderen, maar die worden niet altijd toegepast.
- Evaluatie van beveiligingseisen en broncodes vindt plaats op individueel initiatief.
- Er zijn geen formele beveiligingsmijlpalen ingevoerd in projectmanagementmethodiek en beveiligingstesten.
3 Bepaald (streefniveau)
- De organisatie heeft een gestructureerde aanpak voor interne ontwikkeling en aanschaf van software ingevoerd.
- Er zijn verplichte standaarden voor veilig coderen bepaald. Security by designBij security by design wordt al vanaf de start van het ontwerp informatiebeveiliging meegenomen in de ontwikkeling. Hierdoor worden geen losse maatregelen genomen, maar ontstaat er een geheel aan ontwerpprincipes die gezamenlijk de veiligheid verhogen., privacy by designAl vanaf de start van het ontwerp wordt privacy meegenomen in de ontwikkeling. Standaardproducten of -diensten staan zo ingesteld dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard ‘uit’. en privacy by defaultStandaard producten of diensten zo instellen dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard 'uit'. worden geborgd door richtlijnen en standaarden.
- Voor elke nieuwe ontwikkeling of aanschaf is goedkeuring nodig van het juiste niveau van het school- of it-management.
- De methodiek voor toetsing van softwarekwaliteit bevat verplichte ‘mijlpalen voor informatiebeveiliging’ (met inbegrip van risicobeoordeling, broncodebeoordeling en tests) die niet kunnen worden omzeild. Deze worden gedocumenteerd.
- Bewustwordingstraining voor beveiliging wordt op vrijwillige basis gevolgd.
4 Beheerst
Aanvullend op niveau 3:
- De effectiviteit van een formele en gestructureerde aanpak wordt periodiek geëvalueerd en indien nodig herzien.
- Er is een verplicht beveiligings- en risicotrainingsprogramma voor ontwikkelaars.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Op basis van ontwikkelingen in dreigingen worden periodiek risicoanalyses uitgevoerd. De scope van deze analyses omvat de ingevoerde softwareproducten en de ontwikkelingsmethodiek zelf.
- Restrisico’s worden gerapporteerd aan het verantwoordelijke (senior) it-management.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een procedure op voor de ontwikkeling van nieuwe software. Zorg dat binnen deze procedure de verantwoordelijkheden zijn belegd en standaarden voor veilig coderen en secure code review zijn opgenomen.
- Besteed periodiek binnen het ontwikkelteam aandacht aan training voor veilige softwareontwikkeling.
- Zorg dat informatiebeveiligingseisen voor softwareontwikkeling deel uitmaken van een aanbesteding.
Gerelateerde wetten en normen
Norm SD.01 Methodiek veilige softwareontwikkeling en -implementatie is gerelateerd aan de ISO-standaard 27001/2:2022, het certificeringsschema ROSA en privacynormen.
ISO 27001/2:2022
- 8.1
- A5.8
- A8.25
- A8.26
- A8.27
- A8.28
- A8.29
- A8.30
- A8.31
- A8.32
Certificeringsschema ROSA
- Beschikbaarheid/Ontwerp
- Integriteit van de gegevens/Application controls
- Integriteit van de toepassing/Controle integriteit