Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 13 Next »

In de risicodatabase kun je eenvoudig zoeken naar bestaande bevindingen. Daarbij maakt het dynamisch linken naar klant namen het hergebruik van bevindingen eenvoudig. Hierdoor kan je hergebruiken wat je eerder hebt gebruikt en je hebt de mogelijkheid om het klant specifiek te maken.

Deze functionaliteit is beschikbaar in zowel het Nederlands als het Engels.

Een nieuw risico aanmaken

 1. Ga naar de risico database klik op het icoontje rechts onderin.

 2. Vul de gevraagde gegevens in en klik op opslaan

Meer informatie over de risico-eigenschappen

Categorie

We ondersteunen in de hoofddatabase verschillende soorten categorieën:

  • Webapplicatie

  • Infrastructuur

  • Cloud resource

  • Mobiele app

  • Wi-fi

  • Broncode

Beschrijving

Hier kun je een uitgebreidere uitleg geven over het risico en bijvoorbeeld voor de klant verduidelijken waar het risico over gaat.

Verschillende normen kaders

Bij elke categorie heb je een keuze uit deze systemen om het risico te plaatsen binnen een normen kader.

 CVSS 3.1 (Common Vulnerability Scoring System

Via de CVSS krijgen kwetsbaarheden op een schaal van één tot en met tien een score, waarbij tien het hoogst is. Zo is meteen zichtbaar hoe ernstig een kwetsbaarheid is. Hier staat uitgebreid uitgelegd wat de score inhoudt. https://www.sans.org/blog/what-is-cvss/ Hieronder vind je een afbeelding van een mogelijk risico.

 BIO (Baseline Informatiebeveiliging Overheid)

Binnen de risicodatabase is ook de Baseline Informatiebeveiliging Overheid (BIO) toegevoegd. Deze BIO wordt gebruikt binnen de overheid op het gebied van informatiebeveiliging. De volledige BIO is verwerkt en hierdoor is het gemakkelijk om iets toe te voegen. Dit kan er dan als volgt uitzien.

 ASVS (Application Security Verification Levels)

De ASVS is een lijst met beveiligingsvereisten en -controles. Hierdoor is het inzichtelijk of en waar er risico’s zijn.

Deze normen kaders zijn afhankelijk van de categorie ook zichtbaar

 OWASP 2021 norm

Dit is een normering waarmee we de meest voorkomende en impact volle risico’s op software normeren. Door het gebruik te maken van deze internationale standaarden is het voor gebruikers beter inzichtelijk hoe risicovol een bepaald risico is.

https://owasp.org/Top10/

 OWASP API 2023 norm

Dit is een normering waarmee we de meest voorkomende en impact volle risico’s op API normeren. Deze OWASP top 10 wordt zeer regelmatig bijgewerkt. Door het gebruik te maken van deze internationale standaarden is het voor gebruikers beter inzichtelijk hoe risicovol een bepaald risico is.

https://owasp.org/API-Security/editions/2023/en/0x11-t10/

 CWE norm

Dit is een normering waarmee we de meest voorkomende en impact volle software zwaktes normeren. Door het gebruik te maken van deze internationale standaarden is het voor gebruikers beter inzichtelijk hoe risicovol een bepaald risico is.

CWE -Common Weakness Enumeration

Aanbeveling

Hier kan je aangeven welke aanbevelingen er zijn voor een bepaald risico. Ook kan je deze aanbevelingen nader toelichten.

Notities

Hier is ruimte voor opmerkingen die niet op een andere plaats kunnen.

Reproductie

Reproductie geeft je de mogelijkheid om stap voor stap te laten zien hoe je bij een risico bent gekomen. Je kunt met het drag en drop systeem gemakkelijk schuiven tussen de stappen.

Ook is er een aparte ruimte toegevoegd om code te plaatsen en om bewijs te uploaden.

  • No labels