Nationaal Cyber Security Centrum publiceert richtlijnen voor veilige software

Het Nationaal Cyber Security Centrum (NCSC) heeft een whitepaper gepubliceerd met richtlijnen die als uitgangspunt voor de beveiliging van applicaties dienen. Organisaties kunnen de beveiliging van applica­ties (laten) toetsen op basis van deze richtlijnen.

De Beleids- en beheersingsrichtlijnen voor de ontwikkeling van veilige software van het NCSC vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van alle vormen van software. Deze richtlijnen zijn ingedeeld volgens het SIVA-raamwerk, dat drie domeinen beschrijft waarvoor richtlijnen worden beschreven: beleidsdomein; uitvoeringsdomein; beheersingsdomein.

Het beleidsdomein beschrijft organisatorische maatregelen en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, informatiebeveiligingsbeleid, strategie en vernieuwing, organisatiestructuur en architectuur.Het beheersingsdomein bevat evaluatie- en meetaspecten. Daarnaast staan hier ook de beheerprocessen beschreven, die noodzakelijk zijn voor de instandhouding van ICT-diensten.

Het uitvoeringsdomein is afhankelijk van de software die ontwikkeld wordt en is daarom nader uitgewerkt in aparte documenten van het NCSC: ICT-beveiligingsrichtlijnen voor webapplicaties en ICT-beveiligingsrichtlijnen voor mobiele apps. De uitvoeringsdomeinen uit die richtlijnen kunnen worden gekozen op basis van de toepassingsbehoefte. Een webapplicatie zal vanzelfsprekend de richtlijnen voor webapplicaties toepassen. Een mobiele app kan een webapplicatie als serverzijde gebruiken, waardoor de richtlijnen voor webapplicaties van toepassing zijn op de serverzijde, en de richtlijnen voor mobiele apps op de app zelf.

Meer informatie: Beleids- en beheersingsrichtlijnen voor de ontwikkeling van veilige software