BIO Thema-uitwerking Serverplatform

Uit NORA Online
BIO Thema Serverplatform /
Versie door GvdB (overleg | bijdragen) op 8 jul 2022 om 10:15 (Considerans gewijzigd naar nieuw format)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen
Versie 2.0 van 5 maart 2021 van de BIO Thema-uitwerking Serverplatform is vervangen door versie 2.1 van 25 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.


Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Dit Normenkader is deel van ISOR.


De BIO Thema-uitwerking Serverplatform, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie (Uitvoeringsinstituut Werknemersverzekeringen (UWV)) en Jaap van der Veen (Centrum Informatiebeveiliging en Privacybescherming (CIP)). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.

Considerans

CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op cip-overheid.nl/contact.

Leeswijzer

Voorafgaand aan het beleidsdomein, uitvoeringsdomein en control-domein, de kern van dit thema, heeft elke BIO Thema-uitwerking een inleiding met een standaard hoofdstukindeling.


De volgende leeswijzer geldt voor dit normenkader:

  • Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
  • De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
  • Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
  • Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.


Binnen dit normenkader

Inleidende teksten

  1. Inleiding (algemene inleiding)
  2. Beveiligingsobjecten serverplatform (specifieke inleiding)

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen BIO Thema-uitwerking Serverplatform

Alle onderdelen van BIO Thema-uitwerking Serverplatform zijn ingedeeld volgens de SIVA-methodiek. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie beveiligingsaspecten: Beleid (B), Uitvoering (U) of Control (C). Binnen normenkaders die geheel volgens de SIVA-methodiek zijn opgesteld, herken je bovendien een tweede indeling, in de invalshoeken Intentie (I) of Functie (F) of Gedrag (G) of Structuur (S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor De Privacy Baseline en Grip op Secure Software Development geldt een uitzondering. Daar heeft de invalshoek geen rol gespeeld bij de samenstelling van het 'normenkader'.

De principes en onderliggende normen van BIO Thema-uitwerking Serverplatform zijn op basis hiervan in een aantal overzichten gezet:

Principes uit BIO Thema-uitwerking Serverplatform

In deze tabel staan alle principes uit BIO Thema-uitwerking Serverplatform, met het unieke ID, Criterium en de conformiteitsindicatoren die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (export alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid (principes)

export principes Beleid als csv

IDPrincipeCriterium
SVP_B.01Beleid voor beveiligde inrichting en onderhoudVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.
SVP_B.02Inrichtingsprincipes voor serverplatformPrincipes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.
SVP_B.03Serverplatform-architectuurDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.

Uitvoering (principes)

export principes Uitvoering als csv

IDPrincipeCriterium
SVP_U.01BedieningsprocedureBedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.
SVP_U.02Standaarden voor serverconfiguratieHet serverplatform is geconfigureerd volgens gedocumenteerde standaarden.
SVP_U.03Malwareprotectie serverplatformTer bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.
SVP_U.04Technische kwetsbaarhedenbeheer serverplatformInformatie over technische serverkwetsbaarheden1 behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.
SVP_U.05Patchmanagement serverplatformPatchmanagement is procesmatig en procedureel opgezet en wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.
SVP_U.06Beheer op afstandRichtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.
SVP_U.07Server-onderhoudServers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen.
SVP_U.08Verwijderen of hergebruiken serverapparatuurAlle onderdelen van servers die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
SVP_U.09Hardenen serverVoor het beveiligen van een server worden overbodige functies en ongeoorloofde toegang uitgeschakeld.
SVP_U.10ServerconfiguratieServerplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.
SVP_U.11Virtualisatie serverplatformVirtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisors en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.
SVP_U.12Beperking software-installatie serverplatformVoor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.
SVP_U.13KloksynchronisatieDe klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gedocumenteerd en gesynchroniseerd met één referentietijdbron.
SVP_U.14OntwerpdocumentHet ontwerp van een serverplatform behoort te zijn gedocumenteerd.

Control (principes)

export principes Control als csv

IDPrincipeCriterium
SVP_C.01Richtlijn evaluatie ontwikkelactiviteitenRichtlijnen behoren te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.
SVP_C.02Beoordeling technische serveromgevingTechnische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor servers en besturingssystemen.
SVP_C.03Logbestanden beheerdersActiviteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.
SVP_C.04LoggingLogbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
SVP_C.05MonitoringDe organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten op servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.
SVP_C.06Beheersorganisatie servers en serverplatformsBinnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.

In deze tabel staan alle normen uit BIO Thema-uitwerking Serverplatform. Van links tot rechts zie je het unieke ID van de norm, welke conformiteitsindicator van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-export normen en in uitgebreide tabel.

Beleid (normen)

export normen Beleid als csv

IDtrefwoordStellingNorm
SVP_B.01.01RegelsDe gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het onderhouden van servers.Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
SVP_B.01.02RegelsIn het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
  • het toepassen van richtlijnen/standaarden voor de configuratie van servers en besturingssystemen;
  • het gebruik van hardeningsrichtlijnen;
  • het toepassen van standaard images;
  • het beperken van toegang tot krachtige faciliteiten en instellingen voor hostparameter;
  • het beschermen tegen ongeautoriseerde toegang.
Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
SVP_B.02.01PrincipesDe gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het inrichten van servers.Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
SVP_B.02.02PrincipesVoor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
  • defence in depth (beveiliging op verschillende lagen);
  • secure by default;
  • least privilege (minimaal toegangsniveau);
  • fail secure, waarbij informatie door een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd;
  • eenduidige naamgevingsconventie;
  • minimalisatie van single points of failure.
  • Beveiligingsprincipes voor het beveiligd inrichten van servers
    SVP_B.03.01ArchitectuurdocumentVan het in te richten serverplatform is een actueel architectuurdocument opgesteld. Dit document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd;
  • wordt actief onderhouden.
  • Eisen aan het architectuurdocument van het in te richten van het serverplatform
    SVP_B.03.02ArchitectuurdocumentIn het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van serverplatforms.In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen

    Uitvoering (normen)

    export normen Uitvoering als csv

    IDtrefwoordStellingNorm
    SVP_U.01.01BedieningsproceduresVoor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld.Gedocumenteerde procedures voor bedieningsactiviteiten
    SVP_U.01.02BedieningsproceduresWijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door het hoger management goedgekeurd.Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten
    SVP_U.01.03BedieningsproceduresIn de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
    • de installatie en configuratie van systemen;
    • de verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
    • de back-up;
    • de eisen voor de planning, met inbegrip van onderlinge verbondenheid met andere systemen;
    • de voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen van het gebruik van systeemhulpmiddelen;
    • de ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten door onverwachte bedienings- of technische moeilijkheden;
    • het beheer van audit- en systeemlogbestandinformatie;
    • de procedures voor het monitoren van activiteiten.
    In de bedieningsprocedures opgenomen bedieningsvoorschriften
    SVP_U.02.01StandaardenDe documentatie conform de standaarden omvat:
  • het bieden van gestandaardiseerde firmwareconfiguraties;
  • het gebruik van gestandaardiseerde en vooraf bepaalde server-images voor het bouwen/configureren van servers;
  • het wijzigen van de standaardwaarden van leveranciers- en andere beveiligingsparameters;
  • het uitschakelen of beperken van onnodige functies en services;
  • het beperken van de toegang tot krachtige beheerhulpmiddelen en hostparameter-instellingen (bijvoorbeeld Windows 'Register-editor');
  • het beschermen tegen ongeoorloofde toegang;
  • het uitvoeren van standaard beveiligingsbeheerpraktijken.
  • Eisen aan de "gedocumenteerde standaarden"
    SVP_U.03.01PreventieEen formeel beleid wordt toegepast waarin het ongeautoriseerde gebruik van software is verboden.In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software
    SVP_U.03.02PreventieProcedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware.Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links
    SVP_U.03.03PreventieSevers zijn voorzien van (actuele) software die malware opspoort en daartegen beschermt.Het downloaden van bestanden is beheerst en beperkt
    SVP_U.03.04PreventieGebruikers zijn voorgelicht over de risico’s ten aanzien van surfgedrag en het klikken op onbekende links.Servers zijn voorzien van up-to-date anti-malware
    SVP_U.03.05PreventieHet downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en het principe ‘need-of-use’.Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd
    SVP_U.03.06DetectieServers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server moeten worden opgeslagen.Servers en hiervoor gebruikte media worden routinematig gescand op malware
    SVP_U.03.07DetectieDe malware-scan wordt op alle omgevingen uitgevoerd.De malware scan wordt op alle omgevingen uitgevoerd
    SVP_U.03.08HerstelDe gebruikte anti-malwaresoftware en bijbehorende herstelsoftware zijn actueel en worden ondersteund door periodieke updates.De anti-malware software wordt regelmatig geüpdate
    SVP_U.04.01Technische serverkwetsbaarhedenAls de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen
    SVP_U.04.02Technische serverkwetsbaarhedenVoor een doeltreffende kwetsbaarhedenanalyse van serverplatforms en servers is informatie aanwezig over beschikbaarheid van:
  • (onderlinge) afhankelijkheden;
  • software ten aanzien van versienummers en toepassingsstatus;
  • verantwoordelijken voor de software.
  • Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse
    SVP_U.04.03Technische serverkwetsbaarhedenOm een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
  • de rollen en verantwoordelijkheden in samenhang met beheer van technische kwetsbaarheden vastgesteld;
  • de middelen om technische kwetsbaarheden te bepalen, vastgesteld.
  • Verantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren
    SVP_U.04.04Technische serverkwetsbaarhedenVoor de technische kwetsbaarheden zijn voor een doeltreffend beheerproces de activiteiten afgestemd op het incidentbeheerproces.De activiteiten zijn afgestemd op het incident
    SVP_U.04.05Technische serverkwetsbaarhedenHet kwetsbaarhedenbeheerproces wordt uitgevoerd voor:
  • de identificatie van bekende technische kwetsbaarheden;
  • een hoog-over-inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie;
  • de relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen;
  • het prioriteit geven aan herstel van onderkende kwetsbaarheden.
  • Het kwetsbaarheden beheerproces
    SVP_U.04.06Technische serverkwetsbaarhedenTechnische kwetsbaarheden worden via de patchmanagementprocessen en/of het wijzigingsbeheer hersteld.Procesmatig herstel van technische kwetsbaarheden
    SVP_U.04.07GeëvalueerdHet kwetsbaarhedenbeheerproces wordt regelmatig gemonitord en geëvalueerd.Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd
    SVP_U.05.01ProcesmatigHet patchmanagementproces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris.Patchmanagement is beschreven, goedgekeurd en toegekend
    SVP_U.05.02ProcesmatigEen technisch mechanisme zorgt voor (semi-)automatische updates.Een technisch mechanisme zorgt voor (semi-)automatische updates
    SVP_U.05.03ProcesmatigConfiguratiebeheer geeft het inzicht waarmee servers worden gepatcht.Op basis van inzicht vanuit configuratiebeheer worden de servers gepatcht
    SVP_U.05.04ProcesmatigHet patchbeheerproces bevat methoden om:
  • patches te testen en te evalueren voordat ze worden geïnstalleerd;
  • patches te implementeren op servers die niet toegankelijk zijn via het bedrijfsnetwerk;
  • om te gaan met mislukte of niet uitgevoerde patches;
  • te rapporteren over de status van het implementeren van patches;
  • acties te bepalen als een technische kwetsbaarheid niet met een patch kan worden hersteld of een beschikbare patch niet kan worden aangebracht.
  • Eisen aan het Patchmanagement
    SVP_U.05.05ProcedureelDe patchmanagementprocedure is actueel en beschikbaar.De Patchmanagement procedure is actueel en beschikbaar
    SVP_U.05.06ProcedureelDe rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld.De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld
    SVP_U.05.07ProcedureelDe volgende aspecten van een patch worden geregistreerd:
  • de beschikbare patches;
  • hun relevantie voor de systemen/bestanden;
  • het besluit tot wel/niet uitvoeren;
  • de testdatum en het resultaat van de patchtest;
  • de datum van implementatie;
  • het patchresultaat.
  • Registratie van de aspecten van een patch
    SVP_U.05.08RichtlijnenTer ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd.Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd.
    SVP_U.05.09RichtlijnenAlleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.Alleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd
    SVP_U.05.10RichtlijnenDe risico’s die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico’s die worden gevormd door de kwetsbaarheid worden vergeleken met het risico van het installeren van de patch).De risico’s verbonden aan het installeren van de patch worden beoordeeld
    SVP_U.05.11RichtlijnenWanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
  • het uitschakelen van functionaliteit of diensten;
  • het aanpassen of toevoegen van toegangsbeveiligingsmaatregelen, bijvoorbeeld firewalls, rond de grenzen van netwerken;
  • het vaker monitoren om de werkelijke aanvallen op te sporen;
  • het kweken van bewustzijn over de kwetsbaarheid.
  • Wanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogen
    SVP_U.06.01RichtlijnenToegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door:
  • het definiëren en overeenkomen van de doelstellingen en reikwijdte van de geplande werkzaamheden;
  • het autoriseren van individuele sessies;
  • het beperken van toegangsrechten (binnen doelstellingen en reikwijdte);
  • het loggen van alle ondernomen activiteiten;
  • het gebruiken van unieke authenticatiereferenties voor elke implementatie;
  • het toewijzen van toegangsreferenties aan individuen in plaats van gedeeld;
  • het intrekken van toegangsrechten en het wijzigen van wachtwoorden onmiddellijk nadat het overeengekomen onderhoud is voltooid;
  • het uitvoeren van een onafhankelijke beoordeling van onderhoudsactiviteiten op afstand.
  • Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd
    SVP_U.06.02RichtlijnenHet op afstand onderhouden van servers wordt strikt beheerd door:
  • het verifiëren van de bron van de verbinding op afstand;
  • het bepalen van de toestemming voordat toegang wordt verleend voor de connectiviteit;
  • het beperken van het aantal gelijktijdige externe verbindingen;
  • het bewaken van activiteiten gedurende de gehele duur van de verbinding;
  • het uitschakelen van de verbinding zodra de geautoriseerde activiteit voltooid is.
  • Het op afstand onderhouden van servers wordt strikt beheerd
    SVP_U.06.03RichtlijnenHet serverplatform is zodanig ingericht, dat dit op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden.Het serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd
    SVP_U.06.04RichtlijnenHandmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd.Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd
    SVP_U.06.05RichtlijnenAlle externe toegang tot servers vindt versleuteld plaats.Alle externe toegang tot servers vindt versleuteld plaats
    SVP_U.07.01OnderhoudenHet onderhoud van servers wordt uitgevoerd met richtlijnen die invulling geven aan de volgende eisen:
  • Onderhoud wordt uitgevoerd volgens de door de leverancier aanbevolen intervallen voor servicebeurten.
  • Alleen bevoegd onderhoudspersoneel voert reparaties en onderhoudsbeurten uit.
  • Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt een registratie bijgehouden.
  • Voor onderhoud vanuit interne of externe locaties worden passende maatregelen getroffen.
  • Voordat servers na onderhoud weer in bedrijf worden gesteld, vindt een inspectie plaats om te waarborgen dat niet is geknoeid met de server en dat deze nog steeds of weer goed functioneert.
  • Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen
    SVP_U.08.01OpslagmediaVan de server(s):
  • wordt informatie die niet meer nodig is, vernietigd door verwijderen of overschrijven, gebruikmakend van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen;
  • worden opslagmedia die niet meer nodig zijn en die vertrouwelijke of door auteursrecht beschermde informatie bevatten fysiek vernietigd.
  • Niet meer benodigde opslagmedia en informatie van servers worden vernietigd
    SVP_U.08.02GeverifieerdVoorafgaand aan verwijdering of hergebruik van servers wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd.Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat
    SVP_U.09.01FunctiesEen servers is zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
  • niet-essentiële en overbodige (redundant) services;
  • het kunnen uitvoeren van gevoelige transacties en scripts;
  • krachtige beheer-hulpmiddelen;
  • het ‘run’-commando en ‘command’-processors;
  • de ‘auto-run’-functie.
  • Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld
    SVP_U.09.02FunctiesEen servers is zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
  • communicatiediensten die inherent vatbaar zijn voor misbruik;
  • communicatieprotocollen die gevoelig zijn voor misbruik.
  • Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt
    SVP_U.09.03ToegangServers worden beschermd tegen ongeoorloofde toegang doordat:
  • onnodige of onveilige gebruikersaccounts zijn verwijderd;
  • belangrijke beveiliging gerelateerde parameters zijn gewijzigd;
  • time-out faciliteiten worden gebruikt, die:
    • automatisch na een vooraf bepaalde periode van inactiviteit sessies sluiten en een blanco scherm tonen op de beheerschermen;
    • vereisen dat opnieuw wordt ingelogd voordat een beheerscherm zich herstelt.
  • Servers worden beschermd tegen ongeoorloofde toegang
    SVP_U.10.01GeconfigureerdDe servers zijn geconfigureerd volgens gedocumenteerde standaarden/procedures die betrekking hebben op:
  • het inrichten van standaard firmware-configuraties;
  • het gebruik van gestandaardiseerde vooraf bepaalde serverimages voor het bouwen/configureren van servers;
  • het wijzigen van de standaardwaarden en andere beveiligingsparameters van de leverancier(s);
  • het verwijderen, uitschakelen en/of beperken van onnodige functies en services;
  • het beperken van de toegang tot krachtige beheerhulpmiddelen en host-parameterinstellingen;
  • het beschermen tegen ongeoorloofde toegang;
  • het uitvoeren van standaard beveiligingsbeheerpraktijken.
  • De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures
    SVP_U.10.02GeconfigureerdDe servers zijn geconfigureerd volgens een gestandaardiseerde en vooraf bepaald serverimage.De servers zijn geconfigureerd conform een gestandaardiseerde serverimage
    SVP_U.10.03OngeautoriseerdToegang tot serverparameterinstellingen en krachtige beheerinstrumenten zijn:
  • beperkt tot een gelimiteerd aantal geautoriseerde personen;
  • beperkt tot specifiek omschreven situaties;
  • gekoppeld aan specifieke en gespecificeerde autorisatie.
  • Toegang tot serverparameter en krachtige beheerinstrumenten is beperkt
    SVP_U.11.01Fysieke serversFysieke servers die worden gebruikt om virtuele servers te hosten, worden beschermd tegen:
  • onbeheerde en ad hoc-inzet van virtuele servers (zonder juiste procedures aanvraag, creëren en schonen);
  • overbelasting van resources ((CPU), geheugen en harde schijf) door het stellen van een limiet voor het aanmaken van het aantal virtuele servers op een fysieke host server.
  • Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd
    SVP_U.11.02HypervisorsHypervisors worden geconfigureerd om:
  • virtuele servers onderling (logisch) te scheiden met vertrouwelijkheidseisen en om te voorkomen dat informatie wordt uitgewisseld tussen discrete omgevingen;
  • de communicatie tussen virtuele servers te coderen;
  • de toegang te beperken tot een beperkt aantal geautoriseerde personen;
  • de rollen van hypervisoradministrators te scheiden.
  • Hypervisors worden geconfigureerd
    SVP_U.11.03Virtuele serversVirtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
  • fysieke servers die worden gebruikt voor het hosten van virtuele servers;
  • hypervisors die zijn geassocieerd met virtuele servers;
  • virtuele servers die op een fysieke server worden uitgevoerd.
  • Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures
    SVP_U.11.04Virtuele serversVirtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
  • het toepassen van standaard beveiligingsrichtlijnen voor fysieke en logische toegang;
  • het hardenen van de fysieke en virtuele servers;
  • het wijzigingsbeheer en de malwareprotectie;
  • het toepassen van monitoring en van netwerk gebaseerde beveiliging.
  • Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors
    SVP_U.12.01RegelsGebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (whitelist).Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan
    SVP_U.12.02RegelsDe organisatie past een strikt beleid toe voor het installeren en gebruiken van software.De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.
    SVP_U.12.03RegelsHet principe van least-privilege wordt toegepast.Het principe van least-privilege wordt toegepast
    SVP_U.12.04RegelsDe rechten van beheerders worden verleend op basis van rollen.De rechten van beheerders worden verleend op basis van rollen
    SVP_U.13.01GedocumenteerdDe systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken.De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd
    SVP_U.13.02GesynchroniseerdDe interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd met externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd.De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd.
    SVP_U.14.01OntwerpHet ontwerp van elk serverplatform en elke server is gedocumenteerd, waarbij onder andere beschreven is:
  • dat in het ontwerp rekening is gehouden met de principes van de beveiligingsarchitectuur en beveiligingsvereisten;
  • dat in het ontwerp rekening is gehouden met de risico’s van voorzienbare ontwikkelingen in het gebruik van IT door de organisatie.
  • Het ontwerp van elk serverplatform en elke server is gedocumenteerd

    Control (normen)

    export normen Control als csv

    IDtrefwoordStellingNorm
    SVP_C.01.01RichtlijnenDe organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen.Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen
    SVP_C.01.02RichtlijnenDe organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle-activiteiten.De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
    SVP_C.01.03RichtlijnenDe organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie
    SVP_C.01.04RichtlijnenDe organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controle-functionarissen vastgelegd.De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd
    SVP_C.02.01NalevingTechnische naleving wordt bij voorkeur beoordeeld met geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist.Eisen aan het vervaardigen en interpreteren van technische naleving
    SVP_C.02.02NalevingPeriodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidsbeoordelingen uitgevoerd.Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen
    SVP_C.02.03NalevingDe uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar.Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar
    SVP_C.02.04NalevingBeoordeling van technische naleving wordt uitsluitend uitgevoerd door competente en bevoegde personen of onder toezicht van het management.Eisen aan het beoordelen van technische naleving
    SVP_C.03.01LogbestandenDe logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd.Eisen aan het beschermen van de logbestanden
    SVP_C.03.02LogbestandenSpeciale gebruikers geven rekenschap over de door hun uitgevoerde beheeractiviteiten.Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten
    SVP_C.04.01LogbestandenLogbestanden van gebeurtenissen bevatten, voor zover relevant:
    • gebruikersidentificaties;
    • systeemactiviteiten;
    • data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie;
    • identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
    • systeemconfiguratieveranderingen;
    • gebruik van speciale bevoegdheden;
    • alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
    • activering en de-activering van beschermingssystemen, zoals antivirussystemen en inbraakdetectiesystemen;
    • verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.
    Eisen aan de inhoud van de logbestanden van gebeurtenissen
    SVP_C.05.01Reviewt/analyseertDe verantwoordelijke functionaris analyseert periodiek:
  • de gelogde gebruikers- en activiteitengegevens van servers en serverplatforms;
  • het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen;
  • eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.
  • Eisen aan de periodieke beoordeling van de logbestanden
    SVP_C.05.02Reviewt/analyseertDe verzamelde log-informatie wordt in samenhang geanalyseerd.De verzamelde loginformatie wordt in samenhang geanalyseerd
    SVP_C.05.03Reviewt/analyseertPeriodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd.Eisen aan de periodieke rapportage over de analyse van de logbestanden
    SVP_C.05.04Reviewt/analyseertDe rapportages uit de beheerdisciplines compliancy-management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico’s geanalyseerd en geëvalueerd.Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s
    SVP_C.05.05RapporterenDe analyserapportage bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met verantwoordelijk management.Eisen aan de inhoud en verspreiding van de loganalyse
    SVP_C.05.06RapporterenDe eindrapportage bevat, op basis van analyses, verbetervoorstellen.De eindrapportage bevat verbeteringsvoorstellen op basis van analyses
    SVP_C.06.01BeveiligingsfunctionarisDe beveiligingsfunctionaris zorgt onder andere voor:
  • de actualisatie van beveiligingsbeleid voor servers en besturingssystemen;
  • de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met onder andere de ketenpartijen;
  • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
  • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
  • de bespreking van beveiligingsissues met ketenpartijen;
  • het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.
  • Activiteiten van de beveiligingsfunctionaris
    SVP_C.06.02BeveiligingsbeleidHet beveiligingsbeleid geeft onder andere inzicht in:
  • inrichtings-, onderhouds- en beheervoorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen servers binnen de infrastructuur.
  • Inhoud van het beveiligingsbeleid