Skip to main content

Beheer en actueel houden van interne informatiesystemen

In dit hoofdstuk gaat het om de interne informatiesystemen. Ontwikkelprocessen in het kader van klantproducten vallen onder het primaire development proces.

Beveiligingseisen interne informatiesystemen

Beoordeling informatiebeveiliging als onderdeel van projecten

  • Bij de aanschaf of uitbreiding van een nieuw informatiesysteem worden al in het begin van het project risico’s beoordeeld en wordt nagedacht over de beveiligingseisen. De beveiligingseisen dienen in lijn te liggen met de bestaande beveiligingseisen. Eisen worden meegenomen in eventuele inkoopeisen.

Beveiligingsrichtlijnen

De volgende punten worden, indien van toepassing, in overweging genomen:

  • Wet- regelgeving, contractuele verplichtingen/eisen stakeholders;
  • Classificatie van informatie;
  • Potentiële risico's en gevolgen;
  • Toegang en autorisaties;
  • Eisen m.b.t beschikbaarheid, integriteit en vertrouwelijkheid;
  • Eisen m.b.t. implementatie in de operationele bedrijfsvoering /continuïteitsrisico's;
  • Zijn bestaande systemen geschikt voor wijziging (prestaties, capaciteit);
  • Is berichtenverkeer van toepassing? Zo ja, hoe wordt authenticiteit en integriteit van berichten gewaarborgd?;
  • Moeten bedieningsprocedures of continuïteitsplannen worden opgesteld of aangepast?;
  • Moeten medewerkers worden betrokken, getraind?

Wijzigingenbeheer

  • Wijzigingen binnen de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen kunnen van invloed zijn op informatiebeveiliging.
  • Wijzigingen mogen niet willekeurig in de praktijk worden doorgevoerd. Afhankelijk van de mogelijke impact wordt een wijzigingenproces gevolgd. Afhankelijk van resultaten van een risicobeoordeling wordt in het proces voorzien in: testen, goedkeuring, verificatie informatiebeveiligingseisen, uitwijkprocedures bij niet geslaagde wijzigingen, onvoorziene gebeurtenissen en het gebruik van gescheiden ontwikkel- en testomgevingen.

Beveiligd ontwikkelproces leverancier

Principes voor beveiligde ontwikkeling

  • Uitgangspunt is dat gebruik wordt gemaakt van standaard softwaresystemen.
  • Maglr verzekert zich ervan dat de leverancier de principes voor engineering van beveiligde systemen toepast voor het veilig maken en houden van systemen. Het gaat hierbij o.a. om toepassing van:
  • Het OTAP principe,
  • Security en privacy by design, privacy by default;
  • Regelmatige beoordeling van de principes in relatie tot nieuwe potentiële bedreigingen en bij wijzigingen en verbeteringen in technologieën en functionaliteiten.

Maatwerkontwikkeling

  • Bij eventuele maatwerkontwikkeling op standaard software wordt vastgesteld dat de leverancier bovenstaande principes voor veilig ontwikkelen naleeft. Daarnaast worden, indien van toepassing, afspraken gemaakt over versiebeheer voor updates en release-notes.
  • Indien van toepassing worden afspraken vastgelegd met betrekking tot intellectuele eigendom en broncode.

Doorvoeren van wijzigingen

  • Voordat wijzigingen worden doorgevoerd in de operationele omgeving verzekert Maglr zich ervan dat de leverancier systeemacceptatietest heeft uitgevoerd.
  • Afhankelijk van de waarde van het systeem en de impact van de wijziging wordt bepaald of test en acceptatie door functionarissen van Maglr onderdeel dient te zijn van het proces. In dat geval wordt getest op functionaliteiten en beveiligingsmaatregelen.

Redundantie

  • Informatieverwerkende faciliteiten zijn met voldoende redundantie uitgevoerd zodat deze aan de beschikbaarheidseisen van Maglr voldoen.
  • Voor redundante toepassingen die niet simultaan operationeel zijn wordt de overschakeling getest.
  • Bij het introduceren van redundante componenten wordt rekening gehouden met eventuele nieuwe risico’s met betrekking tot integriteit of vertrouwelijkheid van informatie.