ASVS en AV23
De mensen die met de overheid te maken hebben en bezig zijn met beveiliging krijgen te maken met de AV23. In deze vorm bedoel ik niet de “Athletische Vereeniging 1923 Amsterdam”, maar is de publicatie ‘Beveiliging van persoonsgegevens’ die door het Cbp (Centrum bescherming persoonsgegevens) is uitgegeven. De AV23 bevat een groot aantal richtlijnen die helpen met het bepalen van het risico niveau bij het soort persoonsgegevens. Daarnaast worden er een behoorlijk aantal maatregels genoemd die moeten helpen om de informatie binnen een bepaalde klasse veilig te houden.
Maar wat betekend dit nu voor jouw als ontwikkelaar. Hoe kan jij nu controleren of je wel de juiste dingen gedaan hebt die van je verwacht worden. Hier kan de Application Security Verification Standard (ASVS) van de Open Web Application Security Project (OWASP) bij helpen. De ASVS is een basis voor het controleren van beveiligingseisen voor webapplicaties. Deze controles zijn verdeeld in vier niveaus die cumulatief zijn. Dus om level drie te kunnen halen moeten ook alle eisen voor level een en twee ook gehaald zijn.
Hier komt nu het mooie van deze niveaus, deze zijn redelijk goed te mappen op de risico klassen uit de AV23.
In de ASVS voor niveau 1 wordt gezegd dat dit goed is voor applicaties waar zekerheid rond de beveiliging moet zijn, risicoklasse 0 geeft geen extra eisen dan welke noodzakelijk zijn voor zorgvuldige bedrijfsvoering.
ASVS niveau 2 is typisch toepasbaar voor applicaties dat persoonlijke transacties verwerkt of persoonlijke identificeerbare gegevens verwerkt, risicoklasse 1 heeft het over beperkt aantal persoonsgegevens.
Op deze manier kunnen ook de volgende niveaus op elkaar gemapt worden. Met deze mapping heb je duidelijk wat er van je verwacht wordt om te kunnen zeggen dat de applicatie aan de gevraagde risico klasse voldoet.
