You are viewing an old version of this page. View the current version.
Compare with Current
View Page History
« Previous
Version 13
Next »
In de risicodatabase kun je eenvoudig zoeken naar bestaande bevindingen. Daarbij maakt het dynamisch linken naar klant namen het hergebruik van bevindingen eenvoudig. Hierdoor kan je hergebruiken wat je eerder hebt gebruikt en je hebt de mogelijkheid om het klant specifiek te maken.
Deze functionaliteit is beschikbaar in zowel het Nederlands als het Engels.
Een nieuw risico aanmaken
1. Ga naar de risico database klik op het icoontje rechts onderin.
2. Vul de gevraagde gegevens in en klik op opslaan
Categorie
We ondersteunen in de hoofddatabase verschillende soorten categorieën:
Webapplicatie
Infrastructuur
Cloud resource
Mobiele app
Wi-fi
Broncode
Beschrijving
Hier kun je een uitgebreidere uitleg geven over het risico en bijvoorbeeld voor de klant verduidelijken waar het risico over gaat.
Verschillende normen kaders
Bij elke categorie heb je een keuze uit deze systemen om het risico te plaatsen binnen een normen kader.
CVSS 3.1 (Common Vulnerability Scoring System
Via de CVSS krijgen kwetsbaarheden op een schaal van één tot en met tien een score, waarbij tien het hoogst is. Zo is meteen zichtbaar hoe ernstig een kwetsbaarheid is. Hier staat uitgebreid uitgelegd wat de score inhoudt. https://www.sans.org/blog/what-is-cvss/ Hieronder vind je een afbeelding van een mogelijk risico.
BIO (Baseline Informatiebeveiliging Overheid)
Binnen de risicodatabase is ook de Baseline Informatiebeveiliging Overheid (BIO) toegevoegd. Deze BIO wordt gebruikt binnen de overheid op het gebied van informatiebeveiliging. De volledige BIO is verwerkt en hierdoor is het gemakkelijk om iets toe te voegen. Dit kan er dan als volgt uitzien.
ASVS (Application Security Verification Levels)
De ASVS is een lijst met beveiligingsvereisten en -controles. Hierdoor is het inzichtelijk of en waar er risico’s zijn.
Deze normen kaders zijn afhankelijk van de categorie ook zichtbaar
OWASP 2021 norm
Dit is een normering waarmee we de meest voorkomende en impact volle risico’s op software normeren. Door het gebruik te maken van deze internationale standaarden is het voor gebruikers beter inzichtelijk hoe risicovol een bepaald risico is.
https://owasp.org/Top10/
OWASP API 2023 norm
Dit is een normering waarmee we de meest voorkomende en impact volle risico’s op API normeren. Deze OWASP top 10 wordt zeer regelmatig bijgewerkt. Door het gebruik te maken van deze internationale standaarden is het voor gebruikers beter inzichtelijk hoe risicovol een bepaald risico is.
https://owasp.org/API-Security/editions/2023/en/0x11-t10/
CWE norm
Dit is een normering waarmee we de meest voorkomende en impact volle software zwaktes normeren. Door het gebruik te maken van deze internationale standaarden is het voor gebruikers beter inzichtelijk hoe risicovol een bepaald risico is.
CWE -Common Weakness Enumeration
Aanbeveling
Hier kan je aangeven welke aanbevelingen er zijn voor een bepaald risico. Ook kan je deze aanbevelingen nader toelichten.
Notities
Hier is ruimte voor opmerkingen die niet op een andere plaats kunnen.
Reproductie
Reproductie geeft je de mogelijkheid om stap voor stap te laten zien hoe je bij een risico bent gekomen. Je kunt met het drag en drop systeem gemakkelijk schuiven tussen de stappen.
Ook is er een aparte ruimte toegevoegd om code te plaatsen en om bewijs te uploaden.