Nieuws GBNED

Nieuw rapport over beoordelen veiligheid (web)applicaties (en IT-organisaties): vraag altijd naar een toelichting op de beoordeling

Plaatsingsdatum 07-03-2018
Berichtdatum 7 maart 2018

In relatie tot (web)applicaties worden we regelmatig geconfronteerd met het onderwerp ‘beveiliging’. Als het gaat om het beoordelen van de beveiliging van (web)applicaties komen we dan termen tegen als: ISO27001 en ISO27002, (naast de nog ruim 30 andere ISO-begrippen). ISAE 3402, Richtlijn 3402 en Standaard 3402 (die in de praktijk allemaal over het zelfde gaan). En ook OWASP en SOC 2 zijn bekende termen. Tel daar bij op inhoudelijke termen als: Injection, SQL-injectie en Cross-Site Scripting (XSS), waarna menig lezer al snel afhaakt.

Aanleiding voor Gerard Bottemanne van Onderzoeksbureau GBNED om in eerste instantie voor zich zelf op een rij te zetten welke standaarden en normen op het gebied van het beoordelen van beveiliging van (web)applicaties en IT-organisaties gebruikt worden en wat deze betekenen. Uiteindelijk heeft Gerard, met inbreng van enkele deskundigen, het rapport “Assurance: beoordelen veiligheid (web)applicaties en IT-organisaties” samengesteld om met de markt zijn opgedane kennis te delen.

Naast de hoeveelheid aan standaarden (die elkaar voor een deel weer overlappen) viel Gerard tijdens zijn onderzoek het meest op dat:

  1. Niet alle standaarden open en vrij beschikbaar zijn;
  2. Een beoordeling op basis van ISO 27001 het meest gebruikt wordt door IT-leveranciers;
  3. Bevindingen en resultaten van beoordelingen lang niet in alle gevallen openbaar zijn.

Het advies is in elk geval: vraag bij certificering altijd naar een rapportage met, naast de normen, een toelichting op de beoordeling.

Gratis rapport
Het complete (38 pagina’s tellende) rapport “Assurance: beoordelen veiligheid (web)applicaties en IT-organisaties” gaat in op de volgende standaarden: ISO / IEC 27001, ISO 27002, OWASP, SANS, COBIT, ISAE 3402, SOC en de ICT-Beveiligingsrichtlijnen van het NCSC.
Daarnaast komen enkele gerelateerde onderwerpen aan bod, zoals: webapplicatie penetratietest en verwerkersovereenkomst. Voor een verdiepingsslag wordt zoveel mogelijk naar gehanteerde bronnen en gerelateerde websites verwezen. Het rapport is hier gratis beschikbaar of via www.softwarepakketten.nl.

Suggesties die het rapport kunnen verbeteren zijn altijd welkom en kunnen gemaild worden aan gerard@gbned.nl.

Bronvermelding Onderzoeksbureau GBNED
Internet URL http://www.softwarepakketten.nl