Handhaven technische functionaliteit: verschil tussen versies

Uit NORA Online
Ga naar: navigatie, zoeken
k (Tekst vervangen - '}}' door '}} ')
 
(9 tussenliggende versies door 3 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{concept|}}
 
 
{{Beheersmaatregelen
 
{{Beheersmaatregelen
|Realiseert=Integriteit}}
+
|Realiseert=Integriteit
==Beheersmaatregel==
+
|Stelling=De door de leverancier bepaalde technische functionaliteit van programmapakketten en infrastructurele programmatuur blijft gehandhaafd.
[[Stelling::De door de leverancier bepaalde technische functionaliteit van programmapakketten en infrastructurele programmatuur blijven gehandhaafd.]]
+
|Cluster=Beveiliging/Systeemintegriteit
 +
|bron=BIR (Baseline Informatiebeveiliging Rijksdienst), NEN-ISO/IEC 27001
 +
|specificatie bron=BIR/ISO 27001:2005 12.5.3, ISO 27001:2013 14.1}}
  
==Toelichting en afbakening==
+
[[Categorie:normen voor systeemintegriteit]]
In dit document worden voor de onderkende IB-functies normen geformuleerd, die deels bepalend zijn voor de instellingen van infrastructurele elementen van IT-voorzieningen. Het is echter niet mogelijk om voor alle beveiligingsrelevante instellingen productonafhankelijke normen te formuleren. Daarom blijft het noodzakelijk om alle overige instellingen op beveiligingsaspecten te beoordelen.
 
 
 
==Implementatierichtlijnen==
 
# De technische integriteit van programmapakketten en infrastructurele programmatuur wordt gecontroleerd d.m.v. een hashingmechanisme en een controlegetal van de leverancier, dat via een vertrouwd kanaal is verkregen.
 
# Behoudens de door de leverancier goedgekeurde updates worden er geen wijzigingen aangebracht in programmapakketten en infrastructurele programmatuur (BIR 12.5.3.a, 12.5.3.b, 12.5.3.c, 12.5.3.d).
 
# De instellingen (parametrisering) van programmapakketten en infrastructurele programmatuur zijn in overeenstemming met een vastgesteld inrichtingsdocument (configuratiedossier), dat is gebaseerd op aanwijzingen van de leveranciers, operationele productstandaards van bij voorkeur onafhankelijke instellingen, zoals die van NIST, voor zover de instellingen niet door de andere IB-functies van dit document zijn geadresseerd.
 
# Instellingen van programmapakketten en infrastructurele programmatuur kunnen geautomatiseerd worden gecontroleerd op configuratieafwijkingen van het vastgestelde inrichtingsdocument.
 
# Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd.
 
# Het automatisch doorvoeren van een update vindt alleen plaats als hierover speciale afspraken zijn gemaakt met de leverancier.
 
# Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of er bekende zwakheden in de configuratie voorkomen.
 
 
 
{{Beheersmaatregelen staart}}
 

Huidige versie van 15 jun 2017 om 11:51

Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. Hieraan is toegevoegd de Information Security Object Repository) (ISOR) van het CIP (Centrum Informatiebeveiliging en Privacybescherming).

Contactpersonen: Annemieke de Wit en Guus van den Berg.

annemieke.dewit@cip-overheid.nl en guus.vandenberg@cip-overheid.nl


Handhaven technische functionaliteit.png
Handhaven technische functionaliteit is een eis (Beheersmaatregel)

Status: Concept
Realiseert Afgeleid Principe: Integriteit

Thema: Beveiliging/Systeemintegriteit
Bron: BIR (Baseline Informatiebeveiliging Rijksdienst),

BIR/ISO 27001:2005 12.5.3, ISO 27001:2013 14.1

Eis: De door de leverancier bepaalde technische functionaliteit van programmapakketten en infrastructurele programmatuur blijft gehandhaafd.

Realiseert

Handhaven technische functionaliteit realiseert het/de afgeleide principe(s):

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Handhaven technische functionaliteit:

  1. Behoudens de door de leverancier goedgekeurde updates worden er geen wijzigingen aangebracht in programmapakketten en infrastructurele programmatuur (BIR (Baseline Informatiebeveiliging Rijksdienst))
  2. Het automatisch doorvoeren van een update vindt alleen plaats als hierover speciale afspraken zijn gemaakt met de leverancier.
  3. De instellingen (parametrisering) van programmapakketten en infrastructurele programmatuur zijn in overeenstemming met een vastgesteld inrichtingsdocument (configuratiedossier), dat is gebaseerd op aanwijzingen van de leveranciers, operationele productstandaards van bij voorkeur onafhankelijke instellingen, zoals die van NIST, voor zover de instellingen niet door de andere IB-functies van dit document zijn geadresseerd.
  4. Instellingen van programmapakketten en infrastructurele programmatuur kunnen geautomatiseerd worden gecontroleerd op configuratieafwijkingen van het vastgestelde inrichtingsdocument.
  5. De technische integriteit van programmapakketten en infrastructurele programmatuur wordt gecontroleerd d.m.v. een hashingmechanisme en een controlegetal van de leverancier, dat via een vertrouwd kanaal is verkregen.
  6. Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of er bekende zwakheden in de configuratie voorkomen.
  7. Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd.


Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Handhaven technische functionaliteit: