ICT beveiligingsrichtlijnen voor webapplicaties
De ICT-beveiligingsrichtlijnen voor webapplicaties geven een leidraad voor veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur. Deze beveiligingsrichtlijnen zijn breed toepasbaar voor ICT-voorzieningen die gebruikmaken van webapplicaties. Zowel afnemers als leveranciers kunnen deze richtlijnen inzetten bij het bepalen van aan- en uitbestedingen, toezicht en onderlinge afspraken.
De richtlijnen zijn van toepassing in een context van beleids- en beheersingsmaatregelen die zijn gepubliceerd in de Beleids- en beheersingsrichtlijnen voor de ontwikkeling van veilige software.
Waarom ICT-beveiligingsrichtlijnen voor webapplicaties
Vrijwel iedere organisatie gebruikt webapplicaties, zowel voor informatievoorziening als voor het ondersteunen van bedrijfsprocessen. Webapplicaties verwerken vaak persoonsgegevens of andere gevoelige informatie. De betrouwbaarheid van webapplicaties is daarom belangrijk voor het goed draaien van de organisatie. Goede beveiligingsmaatregelen dragen bij aan de betrouwbaarheid van de dienstverlening en bedrijfsvoering. Het veilig (laten) ontwikkelen van webapplicaties is een van die maatregelen. Het voorkomt digitale inbraken in jouw systemen met ernstige gevolgen zoals ransomware en datalekken, en helpt jouw organisatie om de digitale weerbaarheid te verhogen.
Wat is er veranderd
Alle teksten zijn herschreven om duidelijker en beter toepasbaar te zijn. De structuur van de richtlijnen is hetzelfde gebleven, en er zijn geen richtlijnen toegevoegd of verwijderd.
Om de richtlijnen te kunnen vergelijken met andere standaarden wordt gebruik gemaakt van verwijzingen via OpenCRE. Daarmee is iedere richtlijn te koppelen aan bijvoorbeeld de ISO27002 of NIST 800-53v5. Dit moet het makkelijker maken om bij te houden hoe je aan verschillende standaarden tegelijk conformeert.
De richtlijnen zijn inhoudelijk aangescherpt op de volgende punten
De maatregelen zijn aangepast om meer te sturen op phishingbestendige (wachtwoordloze) authenticatie.
De tekst van de maatregelen is aangescherpt om duidelijker te zijn in het doel.
De tekst van maatregelen 04 en 05 is aangescherpt om aan te sluiten bij de huidige stand van de techniek.
De tekst van maatregelen 03 en 04 is aangepast om beter toepasbaar te zijn bij andere soorten back-ends dan webapplicaties, zoals REST-API's.
Maatregel 02 is aangepast om directory listings indien functioneel noodzakelijk mogelijk te maken. De maatregelen 03 en 04 zijn aangepast om nieuwe browserstandaarden voor HTML-headers en cookies te ondersteunen.
De tekst van de maatregelen is aangescherpt om duidelijker te zijn in het doel.
Wat is er gebeurd met de Beleids- en Beheersingsdomeinen
De Beleids- en Beheersingsdomeinen zijn eerder gesplitst uit dit document, omdat ze ook van toepassing zijn bij andere vormen van software-ontwikkeling. Dit document werkt daardoor overkoepelend boven zowel de ICT-beveiligingsrichtlijnen voor webapplicaties, als die voor mobiele apps. Lees meer over de Beleids- en Beheersingsdomeinen op deze pagina.
Empty layout section