Doelstelling: Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via openbare netwerken.
Beheersmaatregel
De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Informatiebeveiligingseisen behoren te worden vastgesteld met gebruikmaking van verschillende methoden zoals het afleiden van nalevingseisen van beleidsregels en regelgeving, dreigingsmodellering, beoordelingen van voorvallen of het gebruiken van kwetsbaarheidsdrempels. Resultaten van de identificatie behoren te worden gedocumenteerd en beoordeeld door alle belanghebbenden.
Informatiebeveiligingseisen en beheersmaatregelen behoren een afspiegeling te zijn van de waarde van de betrokken informatie voor het bedrijf (zie 8.2) en de potentiële schade voor het bedrijf als gevolg van een gebrek aan adequate beveiliging.
Het vaststellen en beheren van informatiebeveiligingseisen en samenhangende processen behoort te worden geïntegreerd in een vroeg stadium van informatiesysteemprojecten. Vroegtijdige overweging van informatiebeveiligingseisen, bijv. in het ontwerpstadium, kan leiden tot oplossingen die doeltreffender en goedkoper zijn.
Met betrekking tot informatiebeveiligingseisen behoren ook de volgende aspecten in overweging te worden genomen:
a) de vereiste mate van betrouwbaarheid ten opzichte van de beweerde identiteit van gebruikers om authenticatie-eisen voor gebruikers af te leiden;
b) procedures voor het verlenen van toegang en autorisatie, voor zakelijke en voor bevoorrechte of technische gebruikers;
c) gebruikers en operators informeren over hun plichten en verantwoordelijkheden;
d) de vereiste beschermingsbehoeften van de betrokken bedrijfsmiddelen, in het bijzonder met betrekking tot de beschikbaarheid, vertrouwelijkheid en integriteit;
e) eisen die zijn afgeleid van bedrijfsprocessen, zoals registreren en monitoren van transacties, eisen voor onweerlegbaarheid;
f) eisen die verplicht zijn gesteld door andere beheersmaatregelen met betrekking tot beveiliging, bijv. interfaces voor het registreren en monitoren of systemen voor het opsporen van lekken van gegevens.
Voor toepassingen die diensten verlenen via openbare netwerken of die transacties implementeren, behoren de beheersmaatregelen 14.1.2 en 14.1.3 in overweging te worden genomen.
Bij het kopen van producten behoort een formele test- en acquisitieprocedure te worden gevolgd. In de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen. Als de beveiligingsfunctionaliteit in een voorgesteld product niet voldoet aan de voorgeschreven eis, behoren het geïntroduceerde risico en de daarmee samenhangende beheersmaatregelen te worden heroverwogen voordat het product wordt gekocht.
Beschikbare richtlijnen voor de beveiligingsconfiguratie van het product die in overeenstemming zijn gebracht met de uiteindelijke software/dienstverlening van dat systeem behoren te worden geëvalueerd en geïmplementeerd.
Criteria voor het accepteren van producten behoren te worden gedefinieerd, bijv. in de zin van hun functionaliteit, wat zekerheid verschaft dat aan de geïdentificeerde beveiligingseisen is voldaan. Voordat producten worden gekocht behoren ze te worden geëvalueerd tegen deze criteria. Om te waarborgen dat de producten geen onacceptabele extra risico’s introduceren, behoort extra functionaliteit te worden beoordeeld.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
ISO/IEC 27005 en ISO 31000 bieden richtlijnen voor het toepassen van risicobeheerprocessen om beheersmaatregelen vast te stellen die voldoen aan informatiebeveiligingseisen.
Overige zorgspecifieke informatie
ISO/TS 14441 bevat een gedetailleerd pakket functionele privacy- en beveiligingseisen voor EHR-systemen.
Beheersmaatregel
<geen>
Zorgspecifieke beheersmaatregel
Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, behoren:
a) zeker te stellen dat elke cliënt op unieke wijze kan worden geïdentificeerd binnen het systeem;
b) in staat te zijn dubbele of meerdere registraties samen te voegen indien wordt vastgesteld dat er onbedoeld meer registraties voor dezelfde cliënt zijn aangemaakt, of tijdens een medisch noodgeval.
Implementatierichtlijn
<geen>
Zorgspecifieke implementatierichtlijn
Het voorzien in zorg in noodgevallen en andere situaties waar toereikende identificatie van cliënten wellicht niet mogelijk is geweest, zal er onvermijdelijk toe leiden dat er meerdere registraties ontstaan voor een en dezelfde cliënt. Binnen elk gezondheidsinformatiesysteem behoort er de nodige capaciteit te zijn om meerdere cliëntregistraties tot één registratie samen te voegen. Dit samenvoegen behoort met de grootst mogelijke zorg te gebeuren en vereist daarom niet alleen personeel dat daarvoor is opgeleid, maar wellicht ook technische hulpmiddelen om betere integratie van informatie uit de oorspronkelijke registraties tot één geheel mogelijk te maken.
Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren te garanderen dat gegevens op basis waarvan personen kunnen worden geïdentificeerd alleen maar wordt bewaard indien dit nodig is en dat verwijderings-, anonimiserings- en pseudonimiseringstechnieken op gepaste wijze en zo uitgebreid mogelijk worden gebruikt om het risico op onbedoelde openbaarmaking van persoonlijke informatie te minimaliseren.
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
<geen>
Zorgspecifieke beheersmaatregel
Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, behoren te voorzien in persoonsidentificatie-informatie die zorgverleners helpt bevestigen dat de opgevraagde elektronische gezondheidsregistratie overeenkomt met de cliënt die wordt behandeld.
Implementatierichtlijn
<geen>
Zorgspecifieke implementatierichtlijn
Het is nodig een aantal aanvullende belangrijke factoren in aanmerking te nemen. Alvorens te vertrouwen op persoonlijke gezondheidsinformatie die wordt verstrekt door een gezondheidsinformatiesysteem, behoort aan zorgverleners voldoende informatie te worden getoond om te garanderen dat de cliënt die zij behandelen bij de opgevraagde informatie hoort. Het aan een bestaand dossier koppelen van een cliënt is niet altijd een triviale taak. Sommige systemen verhogen de beveiliging door een identificatie aan de hand van een foto op te nemen in elk dossier van een cliënt. Dergelijke verbeteringen kunnen op zich tot privacyproblemen leiden aangezien zij mogelijk het impliciet vastleggen toestaan van gelaatskenmerken zoals ras, die niet als gegevensvelden worden opgenomen. De eisen voor het identificeren van cliënten en de beschikbaarheid van gegevens die worden gebruikt om dit te ondersteunen, kunnen van rechtsgebied tot rechtsgebied verschillen. Er behoort een hoge mate van zorg te worden betracht bij het ontwerpen van gezondheidsinformatiesystemen om te garanderen dat zorgverleners erop kunnen vertrouwen dat het systeem de informatie levert die nodig is om te bevestigen dat elk opgevraagd dossier bij de persoon die onder behandeling is, hoort.
Gezondheidsinformatiesystemen behoren controle mogelijk te maken op het volledig zijn van uitdraaien op papier (bijv. ‘pagina 3 van 5’).
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Overwegingen betreffende informatiebeveiliging voor toepassingen die zich over openbare netwerken bewegen, behoren de volgende aspecten te bevatten:
a) de mate van betrouwbaarheid die beide partijen eisen van elkaars beweerde identiteit, bijv. via authenticatie;
b) autorisatieprocedures voor wie de inhoud van belangrijke transactiedocumenten mag goedkeuren, belangrijke transactiedocumenten in circulatie mag brengen of mag ondertekenen;
c) bewerkstelligen dat communicatiepartners volledig zijn geïnformeerd over hun bevoegdheden om de dienst te verschaffen of te gebruiken;
d) vaststellen van en voldoen aan eisen ten aanzien van vertrouwelijkheid, integriteit, bewijs van verzending en ontvangst van belangrijke documenten en de onweerlegbaarheid van contracten, bijv. in samenhang met inschrijvings- en contractprocedures;
e) de vereiste mate van vertrouwen in de integriteit van belangrijke documenten;
f) de eisen ten aanzien van bescherming van vertrouwelijke informatie;
g) de vertrouwelijkheid en integriteit van ordertransacties, betalingsinformatie, gegevens betreffende afleveringsadressen en ontvangstbevestigingen;
h) de mate van verificatie die passend is voor controle van betalingsinformatie die door een klant is verstrekt;
i) de keuze van de meest geschikte betalingsvorm ter bescherming tegen fraude;
j) het vereiste beschermingsniveau om de vertrouwelijkheid en integriteit van orderinformatie te handhaven;
k) vermijding van verlies van of vermenigvuldiging van transactie-informatie;
l) aansprakelijkheid in verband met frauduleuze transacties;
m)eisen met betrekking tot verzekering.
Veel van bovengenoemde aspecten kunnen worden aangepakt door toepassing van cryptografische beheersmaatregelen (zie hoofdstuk 10), waarbij rekening wordt gehouden met naleving van wettelijke eisen (zie hoofdstuk 18, zie in het bijzonder 18.1.5 voor wetgeving betreffende cryptografie).
Regelingen tussen partners betreffende toepassingen behoren te worden ondersteund door een schriftelijke overeenkomst die beide partijen bindt aan de overeengekomen voorwaarden van de diensten, met inbegrip van afspraken over autorisaties (zie bovenstaand punt b).
Eisen betreffende veerkracht tegen aanvallen behoren te worden overwogen; hierbij kan worden gedacht aan eisen ter bescherming van de betrokken toepassingsservers of het waarborgen van de beschikbaarheid van onderlinge netwerkverbindingen die nodig zijn om de dienst te leveren.
Zorgspecifieke implementatierichtlijn
Het is belangrijk om te verwijzen naar de zorg die moet worden betracht bij het bepalen of gegevens die betrokken zijn bij elektronische handel en online transacties, persoonlijke gezondheidsinformatie bevatten. Als dat het geval is, behoort deze informatie naar behoren te worden beschermd. Speciale zorg behoort in de zorg uit te gaan naar gegevens in verband met declaraties, medische claims, factuurregels, vorderingen en overige e-commercegegevens waaraan persoonlijke gezondheidsinformatie kan worden ontleend.
Overige informatie
Toepassingen die toegankelijk zijn via publieke netwerken staan bloot aan een reeks netwerkgerelateerde dreigingen zoals frauduleuze activiteiten, geschillen over contracten of openbaarmaking van informatie. Daarom zijn gedetailleerde risicobeoordelingen en een juiste keuze van beheersmaatregelen onmisbaar.
Vereiste beheersmaatregelen behelzen vaak cryptografische methoden voor het authentiseren en beveiligen van gegevensoverdracht.
Toepassingen kunnen gebruikmaken van beveiligde authenticatiemethoden, bijv. toepassing van een asymmetrisch cryptografiesysteem en digitale handtekeningen (zie hoofdstuk 10) om de risico’s te verminderen. Ook kan gebruik worden gemaakt van betrouwbare derden als dergelijke diensten nodig zijn.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Informatie die deel uitmaakt van transacties van toepassingen, behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Overwegingen betreffende informatiebeveiliging voor transacties van toepassingen behoren de volgende aspecten te behelzen:
a) het gebruik van elektronische handtekeningen door alle partijen die bij de transactie betrokken zijn;
b) alle aspecten van de transactie, d.w.z. waarborgen dat:
1) geheime authenticatie-informatie van gebruikers van alle partijen geldig en geverifieerd is;
2) de transactie vertrouwelijk blijft;
3) de privacy van alle betrokken partijen behouden blijft.
c) versleuteling van de communicatiepaden tussen alle betrokken partijen;
d) beveiliging van protocollen die worden gebruikt om te communiceren tussen alle betrokken partijen;
e) bewerkstelligen dat de opslaglocatie van transactiegegevens zich buiten een publiek toegankelijke omgeving bevindt, bijv. op een opslagplatform op het intranet van de organisatie, en niet wordt bewaard en getoond op een opslagmedium dat direct vanuit internet toegankelijk is;
f) als een vertrouwde instantie wordt gebruikt (bijv. voor het uitgeven en onderhouden van digitale handtekeningen of digitale certificaten), beveiliging integreren en inbedden in het gehele beheerproces van certificaten/handtekeningen.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
De omvang van de aangenomen beheersmaatregelen behoort in overeenstemming te zijn met het niveau van het risico dat samenhangt met elke transactievorm van toepassingen.
Transacties behoren mogelijk te voldoen aan de eisen van wet- en regelgeving van het rechtsgebied waarin de transactie is gegenereerd, verwerkt, uitgevoerd of opgeslagen.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
<geen>
Zorgspecifieke beheersmaatregel
Openbaar beschikbare gezondheidsinformatie (niet zijnde persoonlijke gezondheidsinformatie) behoort te worden gearchiveerd.
De integriteit van openbaar beschikbare gezondheidsinformatie behoort te worden beschermd om onbevoegde wijzigingen te voorkomen.
De bron (auteurschap) van openbaar beschikbare gezondheidsinformatie behoort te worden vermeld en de integriteit ervan behoort te worden beschermd.
Implementatierichtlijn
<geen>
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Doelstelling: Bewerkstelligen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de ontwikkelingslevenscyclus van informatiesystemen.
Beheersmaatregel
Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Beveiligd ontwikkelen is een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeem. In een beleid voor beveiligd ontwikkelen behoren de volgende aspecten in overweging te worden genomen:
a) beveiliging van de ontwikkelomgeving;
b) richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
1) beveiliging in de softwareontwikkelmethodologie;
2) beveiligdecoderingsrichtlijnen voor elke programmeertaal die wordt gebruikt.
c) beveiligingseisen in de ontwikkelfase;
d) beveiligingscontrolepunten binnen de mijlpalen van het project;
e) beveiligde informatiecentra;
f) beveiliging van de versiecontrole;
g) vereiste kennis over toepassingsbeveiliging;
h) het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
Technieken voor beveiligd programmeren behoren zowel te worden gebruikt voor nieuwe ontwikkelingen als in scenario’s voor hergebruik van codes waarvan de normen die voor de ontwikkeling zijn toegepast niet bekend zijn of niet consistent waren met de huidige ‘best practices’. Toepassing van beveiligdecoderingsnormen behoort te worden overwogen en indien relevant verplicht te worden gesteld. Ontwikkelaars behoren te worden getraind in het toepassen van codering, en het gebruik behoort te worden geverifieerd door te testen en de codes te beoordelen.
Indien ontwikkelactiviteiten worden uitbesteed behoort de organisatie zich ervan te vergewissen dat de externe partij deze regels voor veilig ontwikkelen naleeft (zie 14.2.7).
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Ook binnen toepassingen kan ontwikkeling plaatsvinden, zoals binnen kantoortoepassingen, scripting, browsers en databases.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Formele procedures voor wijzigingsbeheer behoren te worden gedocumenteerd en afgedwongen om de integriteit van het systeem, de toepassingen en producten te waarborgen, vanaf de vroegste ontwerpstadia tot en met de laatste onderhoudsactiviteiten. De introductie van nieuwe systemen en belangrijke wijzigingen aan bestaande systemen behoort een formeel proces te volgen van documentatie, specificatie, testen, kwaliteitscontrole en beheerde implementatie.
Dit proces behoort een risicobeoordeling, een analyse van de gevolgen van wijzigingen en een specificatie van de nodige beveiligingsbeheersmaatregelen te omvatten. Dit proces behoort ook te waarborgen dat bestaande beveiligings- en beheersingsprocedures niet worden gecompromitteerd, dat programmeurs die ondersteunende werkzaamheden uitvoeren alleen toegang krijgen tot die delen van het systeem die zij voor hun werkzaamheden nodig hebben en dat voor elke wijziging formele instemming en goedkeuring is verkregen.
Waar mogelijk behoren procedures voor wijzigingsbeheer voor toepassingssoftware en voor de operationele omgeving te worden geïntegreerd (zie 12.1.2). De procedures voor wijzigingsbeheer behoren te omvatten, maar niet beperkt te zijn tot:
a) verslaglegging bijhouden van overeengekomen autorisatieniveaus;
b) waarborgen dat wijzigingen worden doorgevoerd door bevoegde gebruikers;
c) beheersmaatregelen en integriteitsprocedures beoordelen om te waarborgen dat deze niet worden gecompromitteerd door de wijzigingen;
d) alle software, informatie, database en hardware identificeren die wijziging behoeven;
e) beveiligingskritische codes identificeren en controleren om de waarschijnlijkheid van bekende zwakke plekken in de beveiliging zo gering mogelijk te houden;
f) formele goedkeuring voor gedetailleerde voorstellen verkrijgen voor aanvang van de werkzaamheden;
g) waarborgen dat bevoegde gebruikers de wijzigingen voorafgaand aan implementatie accepteren;
h) waarborgen dat de systeemdocumentatie na elke wijziging wordt geüpdatet en dat oude documentatie wordt gearchiveerd of verwijderd;
i) versiebeheer voor alle software-updates uitvoeren;
j) een audittraject voor alle wijzigingsverzoeken bijhouden;
k) waarborgen dat bedieningsdocumentatie (zie 12.1.1) en gebruikersprocedures indien nodig worden gewijzigd om ze toepasbaar te houden;
l) waarborgen dat het implementeren van wijzigingen op het juiste moment plaatsvindt en de betrokken bedrijfsprocessen niet verstoort.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Het wijzigen van software kan van invloed zijn op de productieomgeving en vice versa.
Bij een goede werkwijze wordt het testen van nieuwe software uitgevoerd in een omgeving die zowel gescheiden is van de productie- als de ontwikkelomgevingen (zie 12.1.4). Hierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleinden. Dit behoort te gelden voor patches, servicepacks en andere updates.
Als wordt overwogen om automatische updates toe te passen behoort het risico voor de integriteit en de beschikbaarheid van het systeem te worden afgewogen tegen het voordeel van het snel inzetten van updates. Geautomatiseerde updates behoren niet te worden gebruikt in kritische systemen omdat kritische toepassingen door bepaalde updates kunnen vastlopen.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Als besturingsplatforms zijn veranderd, behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
In deze procedure behoort te zijn opgenomen:
a) beoordelen van procedures voor toepassingscontrole en integriteit om te waarborgen dat ze niet zijn gecompromitteerd door de veranderingen aan het besturingsplatform;
b) waarborgen dat notificatie van veranderingen aan het besturingsplatform tijdig plaatsvindt zodat de aangewezen tests en beoordelingen voorafgaand aan implementatie plaats kunnen vinden;
c) bewerkstelligen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen (zie hoofdstuk 17).
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Besturingsplatforms omvatten besturingssystemen, databases en middlewareplatforms. De controle behoort ook te worden toegepast voor veranderingen van toepassingen.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Wijzigingen aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden gecontroleerd.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Voor zover mogelijk en haalbaar behoren door aanbieders geleverde softwarepakketten ongewijzigd te worden gebruikt. Als het nodig is een softwarepakket te wijzigen, behoren de volgende punten in overweging te worden genomen:
a) het risico dat ingebouwde beheersmaatregelen en integriteitsprocessen gecompromitteerd raken;
b) of de toestemming van de verkoper behoort te worden verkregen;
c) de mogelijkheid om de vereiste wijzigingen van de aanbieder als standaard programma-updates te verkrijgen;
d) de impact als de organisatie verantwoordelijk wordt gehouden voor het toekomstig onderhoud van de software als gevolg van de veranderingen;
e) compatibiliteit met andere software die in gebruik is.
Indien de veranderingen noodzakelijk zijn, behoort de originele software te worden bewaard en behoren de veranderingen aan een speciaal daarvoor bestemde kopie te worden aangebracht. Er behoort een beheerprocedure voor het updaten van software te worden geïmplementeerd om te bewerkstelligen dat de meest recente goedgekeurde patches en toepassingsupdates bij alle goedgekeurde software zijn geïnstalleerd (zie 12.6.1). Alle veranderingen behoren volledig te worden getest en gedocumenteerd zodat ze zo nodig opnieuw kunnen worden toegepast bij toekomstige software-upgrades. Indien vereist behoren de wijzigingen door een onafhankelijke beoordelingsinstantie te worden getest en gevalideerd.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Procedures voor de engineering van beveiligde informatiesystemen, gebaseerd op principes voor beveiligde engineering, behoren te worden vastgesteld, gedocumenteerd en toegepast op interne engineeringactiviteiten met betrekking tot informatiesystemen. Beveiliging behoort te worden ontworpen in alle lagen van de architectuur (commercieel, gegevens, toepassingen en technologie), waarbij de behoefte aan informatiebeveiliging behoort te worden afgewogen tegen de behoefte aan toegankelijkheid. Nieuwe technologie behoort te worden geanalyseerd op veiligheidsrisico’s en het ontwerp behoort te worden beoordeeld aan de hand van bekende aanvalspatronen.
Deze principes en de vastgestelde engineeringprocedures behoren regelmatig te worden beoordeeld om te waarborgen dat ze doelmatig bijdragen aan verbeterde normen voor beveiliging binnen het engineeringproces. Ze behoren ook regelmatig te worden beoordeeld om ervoor te zorgen dat ze actueel blijven in de zin dat ze nieuwe potentiële bedreigingen afwenden en toepasbaar blijven bij verbeteringen die worden toegepast in de technologieën en oplossingen.
De voor engineering vastgestelde beveiligingsprincipes behoren indien van toepassing te worden toegepast op uitbestede informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedt. De organisatie behoort te bevestigen dat de strikte toepassing van de beveiligingsprincipes voor engineering vergelijkbaar is met het gebruik in de eigen organisatie.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Procedures voor toepassingsontwikkeling behoren technieken voor beveiligde engineering toe te passen in het ontwikkelen van toepassingen die input- en outputinterfaces hebben. Technieken voor beveiligde engineering bieden richtlijnen voor manipulatietechnieken, beheer van beveiligde sessies en gegevensvalidatie, opschoning en verwijdering van codes voor het opsporen van fouten.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie, die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Een beveiligde ontwikkelomgeving omvat personen, processen en technologie die in verband staan met systeemontwikkeling en integratie.
Organisaties behoren risico’s te beoordelen die samenhangen met individuele verrichtingen betreffende systeemontwikkeling en beveiligde ontwikkelomgevingen vast te stellen voor specifieke verrichtingen op het gebied van systeemontwikkeling, rekening houdend met:
a) de gevoeligheid van de gegevens die door het systeem worden verwerkt, opgeslagen en verstuurd;
b) toepasselijke externe en interne eisen, bijv. van regelgeving of beleidsregels;
c) beheersmaatregelen voor beveiliging die al door de organisatie zijn geïmplementeerd ter ondersteuning van systeemontwikkeling;
d) betrouwbaarheid van personeel dat in de omgeving werkt (zie 7.1.1);
e) de graad van uitbesteding met betrekking tot systeemontwikkeling;
f) de behoefte aan scheiding tussen verschillende ontwikkelomgevingen;
g) toegangsbeveiliging voor de ontwikkelomgeving;
h) monitoren van veranderingen aan de omgeving en de daarin opgeslagen codes;
i) de beheersmaatregel dat back-ups worden bewaard op veilige externe locaties;
j) controle over bewegingen van gegevens van en naar de omgeving.
Als het beschermingsniveau voor een specifieke ontwikkelomgeving is vastgesteld, behoren organisaties corresponderende processen in veilige ontwikkelprocedures te documenteren en deze beschikbaar te stellen aan alle personen die ze nodig hebben.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Als systeemontwikkeling wordt uitbesteed behoren de volgende punten in de gehele externe toeleveringsketen van de organisatie in overweging te worden genomen:
a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 18.1.2);
b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 14.2.1);
c) het goedgekeurde dreigingsmodel aan de externe ontwikkelaar beschikbaar stellen;
d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen;
e) bewijs leveren dat beveiligingsdrempels zijn gebruikt om minimumacceptatieniveaus voor de veiligheid en kwaliteit van privacy toe te passen;
f) bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de opzettelijke of onbedoelde aanwezigheid van kwaadaardige inhoud op het tijdstip van levering;
g) bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de aanwezigheid van bekende kwetsbaarheden;
h) regelingen voor het deponeren van de broncode, bijv. indien de broncode niet langer beschikbaar is;
i) contractueel recht om ontwikkelprocessen en beheersmaatregelen te auditen;
j) doeltreffende documentatie van de gebouwde omgeving die wordt gebruikt om af te leveren producten te creëren;
k) de organisatie blijft verantwoordelijk voor naleving van toepasselijke wetten en verificatie van de doelmatigheid van de controle.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
ISO/IEC 27036:reeks (zie bibliografie) biedt nadere informatie over leveranciersrelaties.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Tijdens de ontwikkelprocessen zijn voor nieuwe en geactualiseerde systemen uitvoerige tests en verificatie nodig, met inbegrip van het opstellen van een gedetailleerd schema van activiteiten en tests van inputs en verwachte outputs onder diverse omstandigheden. Voor interne ontwikkelactiviteiten behoren dergelijke tests in eerste instantie te worden uitgevoerd door het ontwikkelteam. Vervolgens behoren onafhankelijke tests te worden uitgevoerd (zowel voor interne als voor uitbestede ontwikkelactiviteiten) om te bewerkstelligen dat het systeem uitsluitend werkt zoals voorzien (zie 14.1.1 en 14.2.9). De omvang van het testen behoort in verhouding te staan tot de belangrijkheid en de aard van het systeem.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren acceptatiecriteria vast te stellen voor geplande nieuwe informatiesystemen, upgrades en nieuwe versies. Voorafgaand aan acceptatie behoren ze geschikte tests van het systeem uit te voeren.
Klinische gebruikers behoren te worden betrokken bij het testen van klinisch relevante systeemelementen.
Implementatierichtlijn
Het uitvoeren van systeemacceptatietests behoort mede het testen van informatiebeveiligingseisen te omvatten (zie 14.1.1 en 14.1.2) en het volgen van een veilige werkwijze voor systeemontwikkeling (zie 14.2.1). De tests behoren ook te worden uitgevoerd op ontvangen componenten en geïntegreerde systemen. Organisaties kunnen geautomatiseerde instrumenten inzetten zoals instrumenten om codes te analyseren of om op kwetsbaarheden te scannen, en behoren het herstel van beveiligingsgerelateerde tekortkomingen te verifiëren.
Tests behoren te worden uitgevoerd in een realistische testomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn.
Zorgspecifieke implementatierichtlijn
De omvang en nauwgezetheid van die tests behoren te worden ingeschaald op een niveau dat bij de geïdentificeerde risico's van de verandering past. Zie ook 12.1.2.
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Doelstelling: Bescherming waarborgen van gegevens die voor het testen zijn gebruikt.
Beheersmaatregel
Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Het voor testdoeleinden gebruiken van operationele databases met persoonsgegevens of enige andere vertrouwelijke informatie behoort te worden vermeden. Indien persoonsgegevens of anderszins vertrouwelijke informatie wordt gebruikt voor testdoeleinden, behoren alle gevoelige details en inhoud te worden beschermd door deze te verwijderen of te wijzigen (zie ISO/IEC 29101).
De volgende richtlijnen behoren te worden toegepast om operationele gegevens te beschermen die voor testdoeleinden worden gebruikt:
a) de toegangsbeveiligingsprocedures die gelden voor besturingssystemen behoren ook te gelden voor testsystemen;
b) voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, behoort een afzonderlijke autorisatie te worden verkregen;
c) besturingsinformatie behoort onmiddellijk na voltooiing van het testen uit een testomgeving te worden verwijderd;
d) van het kopiëren en gebruiken van besturingsinformatie behoort verslaglegging te worden bijgehouden om in een audittraject te voorzien.
Zorgspecifieke implementatierichtlijn
Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren daadwerkelijke persoonlijke gezondheidsinformatie niet als testgegevens te gebruiken.
Overige informatie
Systeem- en acceptatietests vereisen gewoonlijk substantiële hoeveelheden testgegevens die een zo getrouw mogelijke weergave moeten zijn van operationele gegevens.
Overige zorgspecifieke informatie
ISO/TS 14441 bevat gedetailleerde richtlijnen over het testen van de conformiteit van EHR-systemen, waaronder het gebruik van testgegevens.
