BIO Thema Serverplatform - Objecten serverplatform
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
| ||||||||||
Beveiligingsobjecten serverplatform
Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC)), die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld spelen zijn:
- welke rand voorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
- welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
- welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
De belangrijkste functieblokken van een server kunnen binnen de SIVA-lagenstructuur worden beschreven, die functieblokken bevatten elk beveiligingsmaatregelen, die we vanuit de normatiek duiden als beveiligingsobjecten.
Vaststellen van beveiligingsobjecten voor serverplatform
Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor het serverplatform, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten. Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging web richtlijnen.
| ID | Relevante beveiligingsobjecten | Referentie naar standaarden | IFGS |
|---|---|---|---|
| B.01 | Beleid voor beveiligde inrichting en onderhoud | BIO/14.2.1 | I |
| B.02 | Principes voor inrichten van beveiligde servers | BIO/14.2.5 | I |
| B.03 | Serverplatform architectuur | SoGP/SD2.2 (afgeleid uit) | S |
| U.01 | Bedieningsprocedure | BIO/12.1.1 | I |
| U.02 | Standaarden voor configuratie van servers | SoGP/SY1.2 | I |
| U.03 | Malwareprotectie | BIO/12.2.1 | F |
| U.04 | Beheer van serverkwetsbaarheden | BIO/12.6.1 | F |
| U.05 | Patch-management | BIO/12.6.1, NCSC/WA | F |
| U.06 | Beheer op afstand | BIO/6.2.2 (Afgeleid) | F |
| U.07 | Onderhoud van serverapparatuur | BIO/11.2.4 | F |
| U.08 | Veilig verwijderen of hergebruiken van serverapparatuur | BIO/11.2.7 | F |
| U.09 | Hardenen van servers | SoGP/SYS1.25 en SYS12.8 | G |
| U.10 | Serverconfiguratie | SoGP/SY1.2 | G |
| U.11 | Virtueel serverplatform | SoGP/SY1.3 | G |
| U.12 | Beperking van software- installatie | BIO/12.6.2 | G |
| U.13 | Kloksynchronisatie | BIO/12.4.4 | G |
| U.14 | Ontwerpdocumentatie | SoGP/12.4.4 | S |
| C.01 | Evaluatie van richtlijnen voor servers en serverplatforms | BIO/10.10 2 (versie 2007) | I |
| C.02 | Beoordeling technische serveromgeving | BIO/18.2.3 | F |
| C.03 | Logbestanden beheerders | BIO/12.4.3 | G |
| C.04 | Registratie van gebeurtenissen | BIO/12.4.1 | G |
| C.05 | Monitoren van servers en serverplatforms | NIST/AU-6 | G |
| C.06 | Beheerorganisatie servers en serverplatforms | CIP Domeingroep BIO | S |
Globale relaties tussen de geïdentificeerde beveiligingsobjecten
Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties ten behoeve van het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: Beleid, Uitvoering en Control. Deze objecten worden in Bijlage 1 verder toegelicht. De objecten per domein worden in hoofdstukken 3, 4 en 5 verder uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders.
.png){kind=link}
Beleiddomein Geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moeten voldoen.
Uitvoeringsdomein De keuze van objecten uit ISO voor het thema serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan het serverplatform:
- initiële installatie
de initiële installatie wordt uitgevoerd op basis van richtlijnen en procedures, bijvoorbeeld: Bedieningsprocedure (ISO terminologie),
- beveiligings- en beheerfuncties
de beveiligingsfunctie is gerelateerd aan protectie mechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfuncties is gerelateerd aan enkele processen, zoals: Onderhoud van servers en Beheer van kwetsbaarheden,
- feature configuratie
Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om beveiligingsniveau te kunnen garanderen.
- structuur en ontwerp
De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerp document zijn vastgelegd.
Controldomein
Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.