Voorwoord
Deze BIO Thema-uitwerking is door CIP opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen, met name voor de verwerving van standaard software. Daarmee wordt bestaande software bedoeld, die als product op de markt is gebracht om binnen een groot aantal organisaties te kunnen worden gebruikt.

De belangrijkste aanleiding voor het opstellen van dit thema is dat de Baseline Informatiebeveiliging Overheid (BIO) de overheden weinig concrete handvatten biedt voor het verwerven van standaard softwarepakketten. Daarnaast is er de visie dat de complexiteit van de IT verschuift van infrastructuur naar applicaties. Daarom behandelt dit thema in samenhang de beveiligingseisen voor de verwerving van softwarepakketten.

Het kiezen van een softwarepakket blijkt in de praktijk vooral een integratievraagstuk. Hoe past de technologie en het gebruik van een softwarepakket (of dienst) veilig binnen de bestaande bedrijfsvoering? Dit is vooral een taak van de klantorganisatie. De verwervingseisen voor een softwarepakket zijn daarom geënt op zowel de noodzakelijke bedrijfs- en beveiligingsfunctionaliteiten als integratie of koppelingsmogelijkheden.

CIP
Centrum Informatiebeveiliging en Privacybescherming is een publiek-private netwerkorganisatie die bestaat uit Participanten en Kennispartners (klik op deze links voor meer informatie). Participanten zijn overheidsbedrijven waarvan medewerkers meedoen aan een of meer van de werkverbanden binnen de samenwerking. Kennispartners zijn marktpartijen die met een convenant verbonden zijn en een hoeveelheid uren hebben toegezegd in de samenwerking. We werken op basis van ‘voor allen, door allen’.
Meer informatie over CIP.

Inleiding document
Dit document bevat een referentiekader voor het thema Softwarepakketten. Het is geënt op controls uit de BIO die gebaseerd is op NEN-ISO/IEC 27002: 2017 (hierna genoemd ISO 27002). Er is bij de samenstelling van dit thema tevens gebruik gemaakt van andere normenkaders en internationale standaarden zoals Application Security Verification Standard (ASVS) van Open Source Foundation for Application Security (OWASP), de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC) en SIG Evaluation Criteria Security: Guidance for producers. Voor het concretiseren van de controls uit de BIO zijn deze eisen tevens gerelateerd aan normen uit de CIP-publicatie Secure Software Development (SSD). Hoewel SSD zich specifiek richt op softwareontwikkeling zijn bepaalde objecten en hieraan gerelateerde controls ook van toepassing op de aanschaf van standaard softwarepakketten.

Het landschap van softwarepakketten is zeer divers qua functionaliteit en schaalgrootte. Daarom is het onmogelijk om daarvoor één dekkende lijst van beveiligingseisen op te stellen. Wel is aan te geven welke onderwerpen tijdens het verwervingsproces van belang zijn en waar beveiligingseisen uit afgeleid kunnen worden. Daarom wordt specifiek gericht op objecten die bij het verwerven van belang zijn. Om de juiste objecten te identificeren, wordt uitgegaan van de fases van het verwervingsproces. Hierbij wordt gericht op de fases plannen en selecteren waarin een business case en het stellen van Programma van Eisen (PvE) een onderdeel zijn. Binnen de business case wordt met name aandacht besteed aan objecten gerelateerd aan informatieveiligheid en privacybescherming.

In dit thema wordt een softwarepakket beschouwd als een bestaand softwarepakket dat op de markt is gebracht door een leverancier en kan in verschillende organisaties worden toegepast. Het betreft standaard softwarepakketten die gebaseerd zijn op best practices binnen een bepaalde sector en op een verzameling van op elkaar afgestemde computerprogramma’s, die bepaalde bedrijfsfunctionaliteiten bieden. Voorbeelden van softwarepakketten zijn Enterprise Resource Planning (ERP)-pakket en Office-suites.

Eigen rekencentrum of in de cloud
Softwarepakketten kunnen na verwerving in een eigen rekencentrum geïnstalleerd worden, maar ook afgenomen worden als een standaard clouddienst of als een hybride vorm hiervan, dat wil zeggen: in eigen rekencentrum en in de cloud. Web-gebaseerde toepassingen kunnen ook op een lokale server draaien.

Levenscyclus van een softwarepakket
De ISO 27034-5 ‘Protocols and application security controls data structure’ uit 2017 beschrijft een referentiemodel, waarin de levenscyclus van software is gedefinieerd, vanaf de voorbereiding via de verwerving tot en met de uitfasering van het product. Onderstaande afbeelding is daarvan afgeleid en wordt gebruikt bij de uitleg van beveiligingseisen.

Complete document
Download "BIO Thema-uitwerking Softwarepakketten" (PDF). 
.