ISO 25010 – Beveiligbaarheid

Beveiligbaarheid – ISO 25010


De mate waarin een product of systeem informatie en gegevens beschermt zodat personen, andere producten of systemen de juiste mate van gegevenstoegang hebben passend bij hun soort en niveau van autorisatie.


Geregeld zien we nieuwsberichten over hackers die vertrouwelijke informatie hebben buitgemaakt. De toegang tot de data was onvoldoende afgeschermd. Hoe zit het dan met toegang tot de systemen zodat ongemerkt criminele activiteiten kunnen worden uitgevoerd onder valse naam. Ik vergelijk dit altijd maar met het rondrijden met mijn kentekenplaten op een andere auto. Ik heb er zolang er niets gebeurt geen last van, maar ik loop wel ongemerkt een risico.

In de productrisicoanalyse onderkennen we drie doelgroepen, namelijk de business (product owner), beheer(ders) en gebruik(ers). Iedere doelgroep heeft zijn eigen argumenten waarom met Beveiligbaarheid meer of minder risico wordt gelopen. Als we kijken naar de attributen binnen Beveiligbaarheid ligt dit meer genuanceerd. Onweerlegbaarheid is misschien voor de product owner belangrijk, maar voor een beheerder wellicht niet of nauwelijks. Hierover communiceren, zodat men van elkaar weet waarom wat voor de een belangrijk is en voor de ander niet, is dan ook zeer belangrijk.


In mijn komende blogs zal ik geregeld terugkomen op vaststellen de business value, welke prioriteit geven we aan het attribuut en hoeveel inspanning (omvang) denken we nodig hebben om de risico’s te elimineren of te minimaliseren. De business value komt met name van de product owner, risico’s is door alle doelgroepen gezamenlijk te bepalen, de omvang met name door de ontwikkelaars / testers. Als Onweerlegbaarheid belangrijk én risicovol is, dan is het zaak om de criteria met betrekking tot Onweerlegbaarheid te beschrijven, de risico’s die worden gelopen als we niets met Onweerlegbaarheid doen en welke kwaliteitsmaatregelen gaan we inzetten. Niet alles op testen laten aankomen in een van de laatste fasen van het project, dan is het namelijk in veel gevallen te laat.


Definities attributen


Authenticiteit (Authenticity)

  • De mate waarin bewezen kan worden dat de identiteit van een onderwerp of bron is zoals wordt beweerd.
  • De mate waarin een claim over de oorsprong of de auteur van de informatie verifieerbaar is, bijvoorbeeld aan handschrift.

Verantwoording (Accountability)

  • De mate waarin acties van een entiteit getraceerd kunnen worden naar die specifieke entiteit.

Onweerlegbaarheid (Non-repudiation)

  • De mate waarin kan worden bewezen dat acties of gebeurtenissen plaats hebben gevonden, zodat later deze acties of gebeurtenissen niet ontkend kunnen worden.

Integriteit (Integrity)

  • De mate waarin een systeem, product of component ongeautoriseerde toegang tot of aanpassing van computerprogramma’s of gegevens verhindert.

Vertrouwelijkheid (Confidentiality)

  • De mate waarin een product of systeem er voor zorgt dat gegevens alleen toegankelijk zijn voor diegenen die geautoriseerd zijn.

Beveiligbaarheid begint niet pas bij de applicatie of houdt juist op bij de applicatie. Beveiligbaarheid gaat over de gehele keten, van de start van een transactie tot het verwijderen van (verouderde) gegevens. Toegangscontroles door enkel controle op naam en wachtwoord is niet voldoende, dit strekt zich zelfs uit tot het beperken van fysieke toegang. Hoe waardevoller de gegevens zijn voor oneigenlijk gebruik, hoe hoger het risico is dat men loopt op Beveiligbaarheid.


Is Beveiligbaarheid belangrijk, bepaal dan op welke van de onderliggende attributen risico wordt gelopen. Is de kans dat het risico optreedt laag en zijn de faal- en herstelkosten laag, dan lijft Beveiligbaarheid van belang maar kan de inspanning om aan te tonen dat het risico niet aanwezig is, beperkt blijven tot de standaard maatregelen.

 

Contact

  • Telefoon

    0318 - 240 044

  • Email

    info@2b4qa.nl

  • KVK

    601.397.73

  • Postadres

    Cuneraweg 322
    3911 RT Rhenen

  • Bezoekadres

    Plesmanstraat 59
    Kamer 21
    3905 KZ  Veenendaal

2B4QA BV  (c) 2018