BIO Thema Serverplatform/Objecten serverplatform: verschil tussen versies
k (id verder aangepast aan conventie) |
(status, versie en data veranderd, niveau koppen aangepast, koppen toegevoegd, titels koppen aangepast) |
||
Regel 4: | Regel 4: | ||
|Titel=BIO Thema Serverplatform - Beveiligingsobjecten serverplatform | |Titel=BIO Thema Serverplatform - Beveiligingsobjecten serverplatform | ||
|Kent element met zelfde titel=Nee | |Kent element met zelfde titel=Nee | ||
|Versieaanduiding= | |Versieaanduiding=2.0 | ||
|Status actualiteit= | |Status actualiteit=Concept | ||
|Redactionele wijzigingsdatum=2021/ | |Redactionele wijzigingsdatum=2021/06/29 | ||
|Publicatiedatum= | |Publicatiedatum=2021/03/05 | ||
|Beschrijving= | |Beschrijving=Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC)), die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld spelen zijn: | ||
Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC)), die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld spelen zijn: | |||
* welke rand voorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? | * welke rand voorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? | ||
* welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? | * welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? | ||
Regel 15: | Regel 14: | ||
De belangrijkste functieblokken van een server kunnen binnen de SIVA-lagenstructuur worden beschreven, die functieblokken bevatten elk beveiligingsmaatregelen, die we vanuit de normatiek duiden als beveiligingsobjecten. | De belangrijkste functieblokken van een server kunnen binnen de SIVA-lagenstructuur worden beschreven, die functieblokken bevatten elk beveiligingsmaatregelen, die we vanuit de normatiek duiden als beveiligingsobjecten. | ||
==Vaststellen beveiligingsobjecten voor serverplatform== | |||
Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor het serverplatform, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten. | Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor het serverplatform, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten. | ||
Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging web richtlijnen. | Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging web richtlijnen. | ||
Regel 21: | Regel 20: | ||
{{:ISOR:Thema Serverplatform - Overzicht relevante beveiligingsobjecten voor het Serverplatform}} | {{:ISOR:Thema Serverplatform - Overzicht relevante beveiligingsobjecten voor het Serverplatform}} | ||
==Globale relaties tussen de geïdentificeerde beveiligingsobjecten== | |||
Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties ten behoeve van het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: Beleid, Uitvoering en Control. Deze objecten worden in Bijlage 1 verder toegelicht. De objecten per domein worden in hoofdstukken 3, 4 en 5 verder uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders. | Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties ten behoeve van het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: Beleid, Uitvoering en Control. Deze objecten worden in Bijlage 1 verder toegelicht. De objecten per domein worden in hoofdstukken 3, 4 en 5 verder uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders. | ||
[[Afbeelding:Thema Serverplatform - Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron- Nora).png|thumb|none|350px|Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)|alt=”Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)”]] | [[Afbeelding:Thema Serverplatform - Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron- Nora).png|thumb|none|350px|Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)|alt=”Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)”]] | ||
===Beleiddomein=== | |||
Geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moeten voldoen. | Geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moeten voldoen. | ||
===Uitvoeringsdomein=== | |||
De keuze van objecten uit ISO voor het thema serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan het serverplatform: | De keuze van objecten uit ISO voor het thema serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan het serverplatform: | ||
* initiële installatie | * initiële installatie | ||
Regel 40: | Regel 39: | ||
De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerp document zijn vastgelegd. | De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerp document zijn vastgelegd. | ||
===Control-domein=== | |||
Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten. | Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten. | ||
|Heeft bron=BIO Thema Serverplatform | |Heeft bron=BIO Thema Serverplatform | ||
|Heeft ouder=BIO Thema Serverplatform | |Heeft ouder=BIO Thema Serverplatform | ||
}} | }} |
Versie van 29 jun 2021 13:44
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC)), die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld spelen zijn:
- welke rand voorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
- welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
- welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
De belangrijkste functieblokken van een server kunnen binnen de SIVA-lagenstructuur worden beschreven, die functieblokken bevatten elk beveiligingsmaatregelen, die we vanuit de normatiek duiden als beveiligingsobjecten.
Vaststellen beveiligingsobjecten voor serverplatform
Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor het serverplatform, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten. Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging web richtlijnen.
ID | Relevante beveiligingsobjecten | Referentie naar standaarden | IFGS |
---|---|---|---|
B.01 | Beleid voor beveiligde inrichting en onderhoud | BIO/14.2.1 | I |
B.02 | Principes voor inrichten van beveiligde servers | BIO/14.2.5 | I |
B.03 | Serverplatform architectuur | SoGP/SD2.2 (afgeleid uit) | S |
U.01 | Bedieningsprocedure | BIO/12.1.1 | I |
U.02 | Standaarden voor configuratie van servers | SoGP/SY1.2 | I |
U.03 | Malwareprotectie | BIO/12.2.1 | F |
U.04 | Beheer van serverkwetsbaarheden | BIO/12.6.1 | F |
U.05 | Patch-management | BIO/12.6.1, NCSC/WA | F |
U.06 | Beheer op afstand | BIO/6.2.2 (Afgeleid) | F |
U.07 | Onderhoud van serverapparatuur | BIO/11.2.4 | F |
U.08 | Veilig verwijderen of hergebruiken van serverapparatuur | BIO/11.2.7 | F |
U.09 | Hardenen van servers | SoGP/SYS1.25 en SYS12.8 | G |
U.10 | Serverconfiguratie | SoGP/SY1.2 | G |
U.11 | Virtueel serverplatform | SoGP/SY1.3 | G |
U.12 | Beperking van software- installatie | BIO/12.6.2 | G |
U.13 | Kloksynchronisatie | BIO/12.4.4 | G |
U.14 | Ontwerpdocumentatie | SoGP/12.4.4 | S |
C.01 | Evaluatie van richtlijnen voor servers en serverplatforms | BIO/10.10 2 (versie 2007) | I |
C.02 | Beoordeling technische serveromgeving | BIO/18.2.3 | F |
C.03 | Logbestanden beheerders | BIO/12.4.3 | G |
C.04 | Registratie van gebeurtenissen | BIO/12.4.1 | G |
C.05 | Monitoren van servers en serverplatforms | NIST/AU-6 | G |
C.06 | Beheerorganisatie servers en serverplatforms | CIP Domeingroep BIO | S |
Globale relaties tussen de geïdentificeerde beveiligingsobjecten
Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties ten behoeve van het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: Beleid, Uitvoering en Control. Deze objecten worden in Bijlage 1 verder toegelicht. De objecten per domein worden in hoofdstukken 3, 4 en 5 verder uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders.
Beleiddomein
Geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moeten voldoen.
Uitvoeringsdomein
De keuze van objecten uit ISO voor het thema serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan het serverplatform:
- initiële installatie
de initiële installatie wordt uitgevoerd op basis van richtlijnen en procedures, bijvoorbeeld: Bedieningsprocedure (ISO terminologie),
- beveiligings- en beheerfuncties
de beveiligingsfunctie is gerelateerd aan protectie mechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfuncties is gerelateerd aan enkele processen, zoals: Onderhoud van servers en Beheer van kwetsbaarheden,
- feature configuratie
Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om beveiligingsniveau te kunnen garanderen.
- structuur en ontwerp
De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerp document zijn vastgelegd.
Control-domein
Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.