BIO Thema Serverplatform/Inleiding: verschil tussen versies

Uit NORA Online
< BIO Thema-uitwerking ServerplatformBIO Thema Serverplatform/Inleiding
Naar navigatie springen Naar zoeken springen
(niveau koppen status, data en versie aangepast, inleiding vervangen)
k (hoofdletters naar kleine letters)
 
(30 tussenliggende versies door dezelfde gebruiker niet weergegeven)
Regel 5: Regel 5:
|Kent element met zelfde titel=Nee
|Kent element met zelfde titel=Nee
|Versieaanduiding=2.0
|Versieaanduiding=2.0
|Status actualiteit=Concept
|Status actualiteit=Actueel
|Redactionele wijzigingsdatum=2021/04/01
|Redactionele wijzigingsdatum=2021/11/02
|Publicatiedatum=2021/03/05
|Publicatiedatum=2021/10/25
|Beschrijving=Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op de controls uit de Baseline Informatiebeveiliging Overheid (BIO), die gebaseerd is op de NEN-ISO/IEC 27002: 2017 (hierna genoemd ISO 27002). Er wordt ook gebruik gemaakt van andere best practices zoals: Standard of Good Practice (SoGP) en National Institute en Standard and Technology (NIST).
|Beschrijving=Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op de controls uit de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]], die gebaseerd is op de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-EN-ISO/IEC 27002: 2017]] (hierna genoemd ISO 27002). Er wordt ook gebruik gemaakt van andere best practices zoals: [[The Standard of Good Practice for Information Security 2018|The Standard of Good Practice for Information Security (SoGP) 2018]] en van de [[NIST (National Institute of Standards and Technology)|National Institute of Standards and Technology (NIST)]].


Dit kader dient evenals andere BIO-thema’s als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur.


==Opzet van het thema==
Dit kader dient evenals andere [[Alle normenkaders|BIO Thema-uitwerkingen]] als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur.
Het thema Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van een lagenstructuur.


Dit thema volgt de standaard opzet voor BIO-thema’s:
==Opzet BIO Thema-uitwerking==
# scope en begrenzing (§1.2);
De BIO Thema-uitwerking Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: structuur en objecten. De structuur van deze BIO Thema-uitwerkingdocument bestaat uit een indeling op basis van [[ISOR:BIO Thema Serverplatform Beleid|Beleid]], [[ISOR:BIO Thema Serverplatform Uitvoering|Uitvoering]] en [[ISOR:BIO Thema Serverplatform Control|Control]] (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van controls en onderliggende maatregelen zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd met een (BUC-)lagenstructuur.
# context en globale structuur van het thema (§1.3);
# beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen (§2.1);
# presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten (§2.1);
# globale relaties van de geïdentificeerd beveiligingsobjecten (§2.2).


==Scope en begrenzing==
In dit thema is de scope van het begrip serverplatform beperkt tot de basis functionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: serverhardware, virtualisatietechnologie en besturingssysteem (OS). Organisaties zullen op basis van deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden.
Het beschrijft niet de kenmerken van specifieke type servers, zoals: bestandsserver, applicatieserver, webserver, mailserver of databaseserver.


De objecten ten aanzien van serverplatform komen soms direct of indirect uit ISO 27002. De vertaling van objecten uit ISO 27002/BIO wordt geïllustreerd in tabel 'Voorbeeld vertaling BIO objecten naar Thema ‘Serverplatform’ objecten'.
Deze thema-uitwerking volgt de standaard opzet voor [[Alle normenkaders|BIO Thema-uitwerkingen]]:
* scope en begrenzing van het thema ([[BIO Thema Serverplatform/Inleiding#Scope en begrenzing serverplatform|zie Scope en begrenzing serverplatform]]);
* context van het thema ([[BIO Thema Serverplatform/Inleiding#Context serverplatform|zie Context Serverplatform]]);
* beveiligingsobjecten en uitwerking van deze objecten op de BUC-lagen ([[BIO Thema Serverplatform/Objecten serverplatform#Vaststellen beveiligingsobjecten voor serverplatform|zie Vaststellen beveiligingsobjecten voor serverplatform]]);
* globale relaties van de geïdentificeerd beveiligingsobjecten ([[BIO Thema Serverplatform/Objecten serverplatform#Globale relaties tussen de geïdentificeerde beveiligingsobjecten|zie Globale relaties tussen de geïdentificeerde beveiligingsobjecten]]).


{{:ISOR:Thema Serverplatform - Voorbeeld vertaling BIO objecten naar Thema ‘Serverplatform’ objecten}}
==Scope en begrenzing serverplatform==
In deze BIO Thema-uitwerking is de scope van het begrip serverplatform beperkt tot de basisfunctionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: server-hardware, virtualisatietechnologie en besturingssysteem. Organisaties zullen met deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden.


===Context van serverplatform===
Servers zijn computers, die via werkstations (clients), één of meerdere diensten en aan eindgebruikers of aan computersystemen beschikbaar stellen. Een server kan ook gerelateerd zijn aan zijn software die diensten mogelijk maakt, verzoeken accepteert en deze verwerkt. Voorbeelden van servers zijn: file-servers, database-servers, mail-servers, web-servers en FTP-servers Aan een server hangt één of meerdere clients. Figuur 1 geeft een globale context van enkele type servers en hoe ze in relatie staan met beleids- en beheersingsaspecten.


[[Afbeelding:Thema Serverplatform - Context thema Serverplatform.png|thumb|350px|Context thema Serverplatform|alt=”Context thema Serverplatform”]]
De thema-uitwerking beschrijft niet de kenmerken van specifieke typen servers, zoals: bestandserver, applicatieserver, webserver, mailserver of databaseserver.


Een externe gebruiker logt bijvoorbeeld aan op een webserver vanuit internet. Dit type server geeft de relevante gebruikersgegevens door aan een portaltoegang-server, die op zijn beurt applicatieve diensten vanuit backofficeservers beschikbaar stelt. De onderste gebruiker in de figuur is een medewerker van een vertrouwde partij en zoekt via een semivertrouwd kanaal informatie op een webserver van de partnerorganisatie. De interne gebruiker logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er tevens sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het operating systeem.
 
De objecten voor serverplatform komen direct of indirect uit de BIO of andere best practices. Bijvoorbeeld de vertaling van de BIO-titel Beleid voor beveiligd ontwikkelen (zie [[ISOR:Beleid voor beveiligde inrichting en onderhoud|Beleid voor beveiligde inrichting en onderhoud]]) naar het object voor serverplatforms wordt Beleid voor beveiligde inrichting en onderhoud. De BIO-titel Principes voor engineering van beveiligde systemen wordt het object Inrichtingsprincipes voor serverplatform (zie [[ISOR:Principes voor inrichten van beveiligde servers|Inrichtingsprincipes voor serverplatform]]).
 
 
De begrenzing van dit document is in onderstaande afbeelding weergegeven.
 
[[Bestand:SVP Relatie BIO Thema-uitwerking met aanpalende documenten.png|thumb|none|500px|Relatie BIO Thema-uitwerking met aanpalende documenten|alt=”Relatie BIO Thema-uitwerking met aanpalende documenten”]]
 
==Context serverplatform==
Servers zijn computers, die via werkstations (clients), een of meerdere diensten aan eindgebruikers of aan andere computersystemen beschikbaar stellen. Voorbeelden van servers zijn: fileserver, database-server, mailserver, webserver en File Transfer Protocol (FTP)-server. Het kan ook gerelateerd zijn aan software die deze dienst mogelijk maakt: accepteert verzoeken van gebruikers en verwerkt deze. Aan een server hangt een of meerdere clients. Onderstaande afbeelding geeft een globale context van enkele typen servers en hoe ze in relatie staan met beleids- en beheersingsaspecten.
 
 
[[Afbeelding:Thema Serverplatform - Context thema Serverplatform.png|thumb|none|500px|Context van het thema Serverplatform|alt=”Context thema Serverplatform”]]
 
 
Een externe gebruiker logt bijvoorbeeld aan op een webserver vanuit het internet. Dit type server geeft de relevante gebruikersgegevens door aan een portal-toegangsserver, die op zijn beurt applicatieve diensten vanuit backoffice-servers beschikbaar stelt. De onderste gebruiker in de afbeelding is een medewerker van een vertrouwde partij en zoekt via een semi-vertrouwd kanaal informatie op een webserver van de partnerorganisatie. De interne gebruiker logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er ook sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het besturingssysteem.
|Heeft bron=BIO Thema Serverplatform
|Heeft bron=BIO Thema Serverplatform
|Heeft ouder=BIO Thema Serverplatform
}}
}}

Huidige versie van 29 nov 2021 om 16:04

Versie 2.0 van 5 maart 2021 van de BIO Thema-uitwerking Serverplatform is vervangen door versie 2.1 van 25 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: SVP_INL
Hoofdstuk normenkader
Status: Actueel
Publicatiedatum: 25-10-2021
Redactionele wijzigingsdatum: 2-11-2021
Alle hoofdstukken bij BIO Thema-uitwerking Serverplatform:

Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op de controls uit de Baseline Informatiebeveiliging Overheid (BIO), die gebaseerd is op de NEN-EN-ISO/IEC 27002: 2017 (hierna genoemd ISO 27002). Er wordt ook gebruik gemaakt van andere best practices zoals: The Standard of Good Practice for Information Security (SoGP) 2018 en van de National Institute of Standards and Technology (NIST).


Dit kader dient evenals andere BIO Thema-uitwerkingen als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur.

Opzet BIO Thema-uitwerking

De BIO Thema-uitwerking Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: structuur en objecten. De structuur van deze BIO Thema-uitwerkingdocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van controls en onderliggende maatregelen zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd met een (BUC-)lagenstructuur.


Deze thema-uitwerking volgt de standaard opzet voor BIO Thema-uitwerkingen:

Scope en begrenzing serverplatform

In deze BIO Thema-uitwerking is de scope van het begrip serverplatform beperkt tot de basisfunctionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: server-hardware, virtualisatietechnologie en besturingssysteem. Organisaties zullen met deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden.


De thema-uitwerking beschrijft niet de kenmerken van specifieke typen servers, zoals: bestandserver, applicatieserver, webserver, mailserver of databaseserver.


De objecten voor serverplatform komen direct of indirect uit de BIO of andere best practices. Bijvoorbeeld de vertaling van de BIO-titel Beleid voor beveiligd ontwikkelen (zie Beleid voor beveiligde inrichting en onderhoud) naar het object voor serverplatforms wordt Beleid voor beveiligde inrichting en onderhoud. De BIO-titel Principes voor engineering van beveiligde systemen wordt het object Inrichtingsprincipes voor serverplatform (zie Inrichtingsprincipes voor serverplatform).


De begrenzing van dit document is in onderstaande afbeelding weergegeven.

”Relatie BIO Thema-uitwerking met aanpalende documenten”
Relatie BIO Thema-uitwerking met aanpalende documenten

Context serverplatform

Servers zijn computers, die via werkstations (clients), een of meerdere diensten aan eindgebruikers of aan andere computersystemen beschikbaar stellen. Voorbeelden van servers zijn: fileserver, database-server, mailserver, webserver en File Transfer Protocol (FTP)-server. Het kan ook gerelateerd zijn aan software die deze dienst mogelijk maakt: accepteert verzoeken van gebruikers en verwerkt deze. Aan een server hangt een of meerdere clients. Onderstaande afbeelding geeft een globale context van enkele typen servers en hoe ze in relatie staan met beleids- en beheersingsaspecten.


”Context thema Serverplatform”
Context van het thema Serverplatform


Een externe gebruiker logt bijvoorbeeld aan op een webserver vanuit het internet. Dit type server geeft de relevante gebruikersgegevens door aan een portal-toegangsserver, die op zijn beurt applicatieve diensten vanuit backoffice-servers beschikbaar stelt. De onderste gebruiker in de afbeelding is een medewerker van een vertrouwde partij en zoekt via een semi-vertrouwd kanaal informatie op een webserver van de partnerorganisatie. De interne gebruiker logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er ook sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het besturingssysteem.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Communicatiekanaal dat bij de dienstverlening wordt gebruikt. Elk kanaal kent verschillende vormen waarin informatie kan worden gedeeld.

Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Serverplatform/Inleiding&oldid=59455"