ISOR/normen tabel

Uit NORA Online
Ga naar: navigatie, zoeken

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


In deze tabel staan alle normen uit BIO_Thema_Serverplatform, met het unieke ID, het
trefwoord uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download en in uitgebreide versie met alle bestaande eigenschappen.
IDtrefwoordStellingRealiseert bovenliggend principeBeveiligingsaspect
SERV_B.01.01regelsDe gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers.Beleid voor beveiligde inrichting en onderhoudBeleid
SERV_B.01.02regelsIn het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
  1. het toepassen van richtlijnen/standaarden voor configuratie van servers en operating systemen;
  2. het gebruik van hardeningsrichtlijnen;
  3. het toepassen van standaard images;
  4. het beperken van toegang tot krachtige faciliteiten en host parameter settings;
  5. het beschermen tegen ongeautoriseerde toegang.
Beleid voor beveiligde inrichting en onderhoudBeleid
SERV_B.02.01principesDe gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers.Principes voor inrichten van beveiligde serversBeleid
SERV_B.02.02principesVoor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • least privilege (minimale toegangsniveau);
  • fail secure, waarbij informatie in geval van een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd;
  • eenduidige naamgevingconventie;
  • minimalisatie van Single points of failure.
Principes voor inrichten van beveiligde serversBeleid
SERV_B.03.01architectuurdocumentVan het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd;
  • wordt actief onderhouden.
  • Serverplatform architectuurBeleid
    SERV_B.03.02architectuurdocumentIn het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen.Serverplatform architectuurBeleid
    SERV_C.01.01richtlijnenDe organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen.Evaluatie richtlijnen servers en besturingssystemenControl
    SERV_C.01.02richtlijnenDe organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.Evaluatie richtlijnen servers en besturingssystemenControl
    SERV_C.01.03richtlijnenDe organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Evaluatie richtlijnen servers en besturingssystemenControl
    SERV_C.01.04richtlijnenDe organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd.Evaluatie richtlijnen servers en besturingssystemenControl
    SERV_C.02.01nalevingTechnische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist.Beoordeling technische serveromgevingControl
    SERV_C.02.02nalevingPeriodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd.Beoordeling technische serveromgevingControl
    SERV_C.02.03nalevingDe uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar.Beoordeling technische serveromgevingControl
    SERV_C.02.04nalevingBeoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management.Beoordeling technische serveromgevingControl
    SERV_C.03.01logbestandenDe logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd.Beheerderactiviteiten vastgelegd in logbestandenControl
    SERV_C.03.02logbestandenSpeciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten.Beheerderactiviteiten vastgelegd in logbestandenControl
    SERV_C.04.01logbestandenLogbestanden van gebeurtenissen bevatten, voor zover relevant:
    1. gebruikersidentificaties;
    2. systeemactiviteiten;
    3. data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie;
    4. identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
    5. systeemconfiguratie veranderingen;
    6. gebruik van speciale bevoegdheden;
    7. alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
    8. activering en deactivering van beschermingssystemen, zoals antivirus systemen en inbraakdetectie systemen;
    9. verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.
    Registratie gebeurtenissenControl
    SERV_C.05.01reviewt/analyseertDe verantwoordelijke functionaris analyseert periodiek:

    De verantwoordelijke functionaris analyseert periodiek:

    • de gelogde gebruikers-, activiteiten gegevens ten aanzien van servers en serverplatforms;
    • het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen;
    • eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.
    NB: Verdachte gebeurtenissen zijn afwijkend en opmerkelijk gedrag ten aanzien gangbare patronen en geldende (beleids)regels.
    Monitoren van serverplatformsControl
    SERV_C.05.02reviewt/analyseertDe verzamelde loginformatie wordt in samenhang geanalyseerd.Monitoren van serverplatformsControl
    SERV_C.05.03reviewt/analyseertPeriodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd.Monitoren van serverplatformsControl
    SERV_C.05.04reviewt/analyseertDe rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd.Monitoren van serverplatformsControl
    SERV_C.05.05rapporterenDe analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management.Monitoren van serverplatformsControl
    SERV_C.05.06rapporterenDe eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan.Monitoren van serverplatformsControl
    SERV_C.06.01beveiligingsfunctionarisDe beveiligingsfunctionaris zorgt o.a. voor:
    1. de actualisatie van beveiligingsbeleid ten aanzien servers en besturingssystemen;
    2. de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met o.a. de ketenpartijen;
    3. de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    4. de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    5. de bespreking van beveiligingsissues met ketenpartijen;
    6. het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.
    Beheerorganisatie serverplatformsControl
    SERV_C.06.02beveiligingsbeleidHet beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen servercomponenten;
  • de inrichting, het onderhoud en het beheer van de servers.
  • Beheerorganisatie serverplatformsControl
    SERV_U.01.01bedieningsproceduresVoor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld.BedieningsproceduresUitvoering
    SERV_U.01.02bedieningsproceduresWijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door hoger management goedgekeurd.BedieningsproceduresUitvoering
    SERV_U.01.03bedieningsproceduresIn de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
  • de installatie en configuratie van systemen;
  • de verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
  • de back-up;
  • de eisen ten aanzien van de planning, met inbegrip van onderlinge verbondenheid met andere systemen;
  • de voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen ten aanzien van het gebruik van systeemhulpmiddelen;
  • de ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van onverwachte bedienings- of technische moeilijkheden;
  • het beheer van audit- en systeemlog bestandinformatie;
  • de procedures voor het monitoren van activiteiten.
  • BedieningsproceduresUitvoering
    SERV_U.02.01standaardenDe documentatie conform de standaarden omvat:
  • het bieden van gestandaardiseerde firmware-configuraties;
  • het gebruik van gestandaardiseerde en vooraf bepaalde server-images voor het bouwen/configureren van servers;
  • het wijzigen van de standaardwaarden van leverancier- en andere beveiligingsparameters;
  • het uitschakelen of beperken van onnodige functies en services;
  • het beperken van de toegang tot krachtige beheerhulpmiddelen en host-parameter instellingen (bijvoorbeeld Windows 'Register-editor');
  • het beschermen tegen ongeoorloofde toegang;
  • het uitvoeren van standaard beveiligingsbeheer praktijken.
  • Standaarden voor configuratie van serversUitvoering
    SERV_U.03.01preventieEen formeel beleid wordt toegepast waarin het gebruik van ongeautoriseerde gebruik van software is verboden.MalwareprotectieUitvoering
    SERV_U.03.02preventieProcedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware.MalwareprotectieUitvoering
    SERV_U.03.03preventieSevers zijn voorzien van (up-to-date) software die malware opspoort en daartegen beschermt.MalwareprotectieUitvoering
    SERV_U.03.04preventieGebruikers zijn voorgelicht over de risico's ten aanzien van surfgedrag en het klikken op onbekende links.MalwareprotectieUitvoering
    SERV_U.03.05preventieHet downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en van het principe "need-of-use".MalwareprotectieUitvoering
    SERV_U.03.06detectieServers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server zijn opgeslagen.MalwareprotectieUitvoering
    SERV_U.03.07detectieDe malware scan wordt op alle omgevingen uitgevoerd.MalwareprotectieUitvoering
    SERV_U.03.08herstelSoftware die malware opspoort en bijbehorende herstelsoftware zijn geïnstalleerd en worden regelmatig geüpdate.MalwareprotectieUitvoering
    SERV_U.04.01technische serverkwetsbaarhedenAls de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.02technische serverkwetsbaarhedenVoor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheid van:
    • (onderlinge)afhankelijkheden;
    • software t.a.v. versienummers, toepassingsstatus;
    • verantwoordelijken voor de software.
    Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.03technische serverkwetsbaarhedenOm een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
  • de rollen en verantwoordelijkheden in samenhang met beheer van technische kwetsbaarheden vastgesteld;
  • de middelen om technische kwetsbaarheden te bepalen vastgesteld.
  • Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.04technische serverkwetsbaarhedenMet betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident.Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.05technische serverkwetsbaarhedenHet proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van bekende technische kwetsbaarheden;
  • high-level inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie;
  • relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen;
  • prioriteit geven aan herstel van onderkende kwetsbaarheden.
  • Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.06technische serverkwetsbaarhedenTechnische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld.Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.07geëvalueerdHet kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd.Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.05.01procesmatigHet patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris.PatchmanagementUitvoering
    SERV_U.05.02procesmatigEen technisch mechanisme zorgt voor (semi-) automatische updates.PatchmanagementUitvoering
    SERV_U.05.03procesmatigConfiguratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht.PatchmanagementUitvoering
    SERV_U.05.04procesmatigHet Patchmanagement proces bevat methoden om:
    1. patches te testen en te evalueren voordat ze worden geïnstalleerd;
    2. patches te implementeren op servers die niet toegankelijk zijn via het bedrijfsnetwerk;
    3. om te gaan met de mislukte of niet uitgevoerde patches;
    4. te rapporteren over de status van het implementeren van patches;
    5. acties te bepalen, ingeval een technische kwetsbaarheid niet met een patch kan worden hersteld, of een beschikbare patch niet kan worden aangebracht.
    PatchmanagementUitvoering
    SERV_U.05.05procedureelDe patchmanagement procedure is actueel en beschikbaar.PatchmanagementUitvoering
    SERV_U.05.06procedureelDe rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld.PatchmanagementUitvoering
    SERV_U.05.07procedureelDe volgende aspecten van een patch worden geregistreerd:
    de beschikbare patches;
    
    • hun relevantie voor de systemen / bestanden;
    • het besluit tot wel/niet uitvoeren;
    • de testdatum en het resultaat van de patchtest;
    • de datum van implementatie; en
    • het patchresultaat.
    PatchmanagementUitvoering
    SERV_U.05.08richtlijnenTer ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd.PatchmanagementUitvoering
    SERV_U.05.09richtlijnenAlleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.PatchmanagementUitvoering
    SERV_U.05.10richtlijnenDe risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch.PatchmanagementUitvoering
    SERV_U.05.11richtlijnenWanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
  • het uitschakelen van functionaliteiten en/of diensten;
  • het aanpassen of toevoegen van toegangsbeveiligingsmaatregelen, bijv. firewalls, rond de grenzen van netwerken;
  • het vaker monitoren om de werkelijke aanvallen op te sporen;
  • het kweken van bewustzijn omtrent de kwetsbaarheid.
  • PatchmanagementUitvoering
    SERV_U.06.01richtlijnenToegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door middel van:
    1. het definiëren en overeenkomen van de doelstellingen en reikwijdte van de geplande werkzaamheden;
    2. het autoriseren van individuele sessies;
    3. het beperken van toegangsrechten (binnen doelstellingen en reikwijdte);
    4. het loggen van alle ondernomen activiteiten;
    5. het gebruiken van unieke authenticatie referenties voor elke implementatie;
    6. het toewijzen van toegangsreferenties aan individuen in plaats van gedeeld;
    7. het intrekken van toegangsrechten en het wijzigen van wachtwoorden onmiddellijk nadat het overeengekomen onderhoud is voltooid;
    8. het uitvoeren van een onafhankelijke beoordeling van onderhoudsactiviteiten op afstand.
    Beheer op afstandUitvoering
    SERV_U.06.02richtlijnenHet op afstand onderhouden van servers wordt strikt beheerd door middel van:
  • het verifiëren van de bron van de verbinding op afstand;
  • het bepalen van de toestemming voordat toegang wordt verleend voor de connectiviteit;
  • het beperken van het aantal gelijktijdige externe verbindingen;
  • het bewaken van activiteiten gedurende de gehele duur van de verbinding;
  • het uitschakelen van de verbinding zodra de geautoriseerde activiteit voltooid is.
  • Beheer op afstandUitvoering
    SERV_U.06.03richtlijnenHet serverplatform is zodanig ingericht, dat deze op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden.Beheer op afstandUitvoering
    SERV_U.06.04richtlijnenHandmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd.Beheer op afstandUitvoering
    SERV_U.06.05richtlijnenAlle externe toegang tot servers vindt versleuteld plaats.Beheer op afstandUitvoering
    SERV_U.07.01onderhoudenHet onderhoud van servers wordt uitgevoerd op basis van richtlijnen die invulling geven aan de volgende eisen:
  • onderhoud wordt uitgevoerd in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten;
  • alleen bevoegd onderhoudspersoneel voert reparaties en onderhoudsbeurten uit;
  • van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt registratie bijgehouden;
  • voor onderhoud vanuit interne of externe locaties worden passende maatregelen getroffen;
  • voordat servers na onderhoud weer in bedrijf worden gesteld, vindt een inspectie plaats om te waarborgen dat niet is geknoeid met de server en dat deze nog steeds of weer goed functioneert.
  • Onderhoud van serversUitvoering
    SERV_U.08.01opslagmediade server(s):
  • wordt informatie welke niet meer benodigd is, vernietigd door middel van het verwijderen of overschrijven gebruikmakend van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen;
  • worden opslagmedia die niet meer benodigd zijn en die vertrouwelijke of door auteursrecht beschermde informatie bevatten fysiek vernietigd.
  • Veilig verwijderen of hergebruiken van serverapparatuurUitvoering
    SERV_U.08.02geverifieerdVoorafgaand aan verwijdering of hergebruik wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd.Veilig verwijderen of hergebruiken van serverapparatuurUitvoering
    SERV_U.09.01functiesServers zijn zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
  • niet-essentiële en overbodige (redundant) services;
  • het kunnen uitvoeren van gevoelige transacties en scripts;
  • krachtige beheerhulpmiddelen;
  • het “run” commando” en “commandprocessors”;
  • de “auto-run”-functie.
  • Hardenen van serversUitvoering
    SERV_U.09.02functiesServers zijn zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
  • communicatiediensten die inherent vatbaar zijn voor misbruik;
  • communicatieprotocollen die gevoelig zijn voor misbruik.
  • Hardenen van serversUitvoering
    SERV_U.09.03toegangServers worden beschermd tegen ongeoorloofde toegang doordat:
  • onnodige of onveilige gebruikersaccounts zijn verwijderd;
  • belangrijke beveiliging gerelateerde parameters juist zijn ingesteld;
  • time-out faciliteiten worden gebruikt, die:
    1. automatisch na een vooraf bepaalde periode van inactiviteit sessies sluiten en een blanco scherm tonen op de beheerschermen;
    2. vereisen dat opnieuw wordt ingelogd voordat een beheerscherm zich herstelt.
  • Hardenen van serversUitvoering
    SERV_U.10.01geconfigureerdDe Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures en welke betrekking hebben op:
  • het inrichten van standaard firmware-configuraties;
  • het gebruik van gestandaardiseerde vooraf bepaalde server-images voor het bouwen/configureren van servers;
  • het wijzigen van de standaardwaarden en andere beveiligingsparameters van de leverancier(s);
  • het verwijderen, uitschakelen en/of beperken van onnodige functies en services;
  • het beperken van de toegang tot krachtige beheerhulpmiddelen en hostparameter instellingen;
  • het beschermen tegen ongeoorloofde toegang;
  • het uitvoeren van standaard beveiligingsbeheer.
  • ServerconfiguratieUitvoering
    SERV_U.10.02geconfigureerdDe servers zijn geconfigureerd in overeenstemming met een gestandaardiseerde en vooraf bepaald serverimage.ServerconfiguratieUitvoering
    SERV_U.10.03ongeautoriseerdToegang tot server parameterinstellingen en krachtige beheerinstrumenten is:
    • beperkt tot een gelimiteerd aantal geautoriseerde personen;
    • beperkt tot specifiek omschreven situaties;
    • gekoppeld aan specifieke en gespecificeerde autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen.
    ServerconfiguratieUitvoering
    SERV_U.11.01fysieke serversFysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd tegen:
  • onbeheerde en ad hoc inzet van virtuele servers (zonder juiste procedure aanvraag, creëren en schonen);
  • overbelasting van resources (CPU, geheugen en harde schijf) door het stellen van een limiet voor het aanmaken van het aantal virtuele servers op een fysieke host server.
  • Beveiliging Virtueel serverplatformUitvoering
    SERV_U.11.02hypervisorsHypervisors worden geconfigureerd om:
  • virtuele servers onderling (logisch) te scheiden op basis van vertrouwelijkheidseisen en om te voorkomen dat informatie wordt uitgewisseld tussen discrete omgevingen;
  • de communicatie tussen virtuele servers te coderen;
  • de toegang te beperken tot een beperkt aantal geautoriseerde personen;
  • de rollen van hypervisor administrators te scheiden.
  • Beveiliging Virtueel serverplatformUitvoering
    SERV_U.11.03virtuele serversVirtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
  • fysieke servers, die worden gebruikt voor het hosten van virtuele servers;
  • hypervisors, die zijn geassocieerd met virtuele servers;
  • virtuele servers die op een fysieke server worden uitgevoerd.
  • Beveiliging Virtueel serverplatformUitvoering
    SERV_U.11.04virtuele serversVirtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
  • het toepassen van standaard beveiligingsrichtlijnen ten aanzien van fysieke en logische toegang;
  • het hardenen van de fysieke en virtuele servers;
  • wijzigingsbeheer, malwareprotectie;
  • het toepassen van monitoring en van netwerk gebaseerde beveiliging.
  • Beveiliging Virtueel serverplatformUitvoering
    SERV_U.12.01regelsGebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (white-list).Beperking van software-installatieUitvoering
    SERV_U.12.02regelsDe organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.Beperking van software-installatieUitvoering
    SERV_U.12.03regelsHet principe van least-privilege wordt toegepast.Beperking van software-installatieUitvoering
    SERV_U.12.04regelsDe rechten van beheerders worden verleend op basis van rollen.Beperking van software-installatieUitvoering
    SERV_U.13.01gedocumenteerdDe systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken.KloksynchronisatieUitvoering
    SERV_U.13.02gesynchroniseerdDe interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd op basis van externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd.KloksynchronisatieUitvoering