BIO Thema Serverplatform/Objecten serverplatform: verschil tussen versies

Uit NORA Online
< BIO Thema-uitwerking ServerplatformBIO Thema Serverplatform/Objecten serverplatform
Naar navigatie springen Naar zoeken springen
k (1 versie: ISOR normenkader Serverplatform)
k (afbeelding vergroot)
 
(29 tussenliggende versies door 4 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{#Element:
{{#element:
|ID=SERV_OBJ
|Titel=BIO Thema Serverplatform - Objecten serverplatform
|Elementtype=Hoofdstuk normenkader
|Elementtype=Hoofdstuk normenkader
|Versieaanduiding=1.0
|ID=SVP_INL BS
|Titel=BIO Thema Serverplatform - Beveiligingsobjecten serverplatform
|Kent element met zelfde titel=Nee
|Versieaanduiding=2.1
|Status actualiteit=Actueel
|Status actualiteit=Actueel
|Redactionele wijzigingsdatum=01-02-2019
|Redactionele wijzigingsdatum=2021/10/26
|Publicatiedatum=01-02-2019
|Publicatiedatum=2021/10/25
|Beschrijving= .
|Beschrijving=Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in drie domein: [[ISOR:BIO Thema Serverplatform Beleid|beleid]], [[ISOR:BIO Thema Serverplatform Uitvoering|uitvoering]] en [[ISOR:BIO Thema Serverplatform Control|control]].
==Beveiligingsobjecten serverplatform==
Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in drie domein: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn:
* welke rand voorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
* welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
* welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
Afbeelding ": Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)" geeft de positionering weer van servers binnen de lagenstructuur. Die functieblokken bevatten op hun beurt beveiligingsmaatregelen, die we vanuit de normatiek duiden als beveiligingsobjecten.


===Vaststellen van beveiligingsobjecten voor serverplatform===
Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor het serverplatform, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten.
Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging web richtlijnen.


{{:ISOR:Thema Serverplatform - Overzicht relevante beveiligingsobjecten voor het Serverplatform}}
De vragen die hierbij een rol spelen, zijn:
# Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
# Welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
# Welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?


===Globale relaties tussen de geïdentificeerde beveiligingsobjecten===
Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties ten behoeve van het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: Beleidsdomein, Uitvoeringsdomein en Controldomein en worden weergegeven in. Deze objecten worden in Bijlage 1 verder toegelicht. De objecten per domein worden in hoofdstukken 3, 4 en 5 verder uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders.


[[Afbeelding:Thema Serverplatform - Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora).png|thumb|350px|none|alt=” Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)”]]
Onderstaande afbeelding geeft de positionering weer van servers binnen de lagenstructuur binnen het uitvoeringsdomein. Die functieblokken bevatten op hun beurt beveiligingsmaatregelen, die vanuit de normatiek geduid worden als beveiligingsobjecten.


''Beleiddomein''
Geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moeten voldoen.


''Uitvoeringsdomein''
[[Afbeelding:Thema Serverplatform - Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron- Nora).png|thumb|none|500px|Gelaagdheid serverplatform met enkele beveiligingsobjecten|alt=”Gelaagdheid serverplatform met enkele beveiligingsobjecten”]]
De keuze van objecten uit ISO voor het thema serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd is serverplatform:
* initiële installatie
de initiële installatie wordt uitgevoerd op basis van richtlijnen en procedures, bijvoorbeeld: Bedieningsprocedure (ISO terminologie),
* beveiligings- en beheerfuncties
de beveiligingsfunctie is gerelateerd aan protectie mechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfuncties is gerelateerd aan enkele processen, zoals: Onderhoud van servers en Beheer van kwetsbaarheden,
* feature configuratie
Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om beveiligingsniveau te kunnen garanderen.
* structuur en ontwerp
De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerp document worden vastgelegd.


''Controldomein ''
==Vaststellen beveiligingsobjecten voor serverplatform==
De afbeeldingen uit het [[ISOR:BIO Thema Serverplatform Beleid|Beleidsdomein]], [[ISOR:BIO Thema Serverplatform Uitvoering|Uitvoeringsdomein]] en [[ISOR:BIO Thema Serverplatform Control|Control-domein]] geven een overzicht van alle relevante beveiligingsobjecten voor het thema Serverplatform, afkomstig uit de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] die gebaseerd is op de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]. De BIO volgt dezelfde hoofdstukindeling en controlteksten.
 
 
Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: [[The Standard of Good Practice for Information Security 2018|SoGP]], [[NIST (National Institute of Standards and Technology)|NIST]] en [[ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen]] van het [[NCSC (Nationaal Cyber Security Centrum)|Nationaal Cyber Security Centrum (NCSC)]].
 
==Globale relaties tussen geïdentificeerde beveiligingsobjecten==
Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties voor het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: beleid, uitvoering en control. Deze objecten worden in [[ISOR:BIO Thema Serverplatform Beleid|Beleidsdomein]], [[ISOR:BIO Thema Serverplatform Uitvoering|Uitvoeringsdomein]] en [[ISOR:BIO Thema Serverplatform Control|Control-domein]] verder toegelicht en uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders.
 
===Beleiddomein===
Dit domein geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moet voldoen.
 
===Uitvoeringsdomein===
De keuze van objecten uit de ISO 27002 voor het thema Serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan serverplatform:
* Initiële installatie, De initiële installatie wordt uitgevoerd met richtlijnen en procedures, bijvoorbeeld: bedieningsprocedure (ISO 27002-terminologie).
* Beveiligings- en beheerfuncties, De beveiligingsfunctie is gerelateerd aan protectiemechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfunctie is gerelateerd aan enkele processen, zoals: server-onderhoud en beheer van kwetsbaarheden.
* Feature-configuratie, Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om het beveiligingsniveau te kunnen garanderen.
* Structuur en ontwerp, De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerpdocument worden vastgelegd.
 
===Control-domein===
Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.
Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.
|Heeft bron=BIO Thema Serverplatform
|Heeft bron=BIO Thema Serverplatform
|Heeft ouder=BIO Thema Serverplatform
|Heeft ouder=BIO Thema Serverplatform
}}
}}

Huidige versie van 26 okt 2021 om 15:35

Versie 2.0 van 5 maart 2021 van de BIO Thema-uitwerking Serverplatform is vervangen door versie 2.1 van 25 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: SVP_INL BS
Hoofdstuk normenkader
Status: Actueel
Publicatiedatum: 25-10-2021
Redactionele wijzigingsdatum: 26-10-2021
Alle hoofdstukken bij BIO Thema-uitwerking Serverplatform:

Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in drie domein: beleid, uitvoering en control.


De vragen die hierbij een rol spelen, zijn:

  1. Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  2. Welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  3. Welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?


Onderstaande afbeelding geeft de positionering weer van servers binnen de lagenstructuur binnen het uitvoeringsdomein. Die functieblokken bevatten op hun beurt beveiligingsmaatregelen, die vanuit de normatiek geduid worden als beveiligingsobjecten.


”Gelaagdheid serverplatform met enkele beveiligingsobjecten”
Gelaagdheid serverplatform met enkele beveiligingsobjecten

Vaststellen beveiligingsobjecten voor serverplatform

De afbeeldingen uit het Beleidsdomein, Uitvoeringsdomein en Control-domein geven een overzicht van alle relevante beveiligingsobjecten voor het thema Serverplatform, afkomstig uit de Baseline Informatiebeveiliging Overheid (BIO) die gebaseerd is op de ISO 27002. De BIO volgt dezelfde hoofdstukindeling en controlteksten.


Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: SoGP, NIST en ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen van het Nationaal Cyber Security Centrum (NCSC).

Globale relaties tussen geïdentificeerde beveiligingsobjecten

Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties voor het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: beleid, uitvoering en control. Deze objecten worden in Beleidsdomein, Uitvoeringsdomein en Control-domein verder toegelicht en uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders.

Beleiddomein

Dit domein geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moet voldoen.

Uitvoeringsdomein

De keuze van objecten uit de ISO 27002 voor het thema Serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan serverplatform:

  • Initiële installatie, De initiële installatie wordt uitgevoerd met richtlijnen en procedures, bijvoorbeeld: bedieningsprocedure (ISO 27002-terminologie).
  • Beveiligings- en beheerfuncties, De beveiligingsfunctie is gerelateerd aan protectiemechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfunctie is gerelateerd aan enkele processen, zoals: server-onderhoud en beheer van kwetsbaarheden.
  • Feature-configuratie, Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om het beveiligingsniveau te kunnen garanderen.
  • Structuur en ontwerp, De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerpdocument worden vastgelegd.

Control-domein

Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Serverplatform/Objecten_serverplatform&oldid=56836"