ISOR/totaaltabel

Uit NORA Online
Ga naar: navigatie, zoeken
Tabel met alle elementen in het normenkader BIO Thema-uitwerking Serverplatform.
Een element kan zijn: Beveiligingsprincipe, Hoofdstuk normenkader, Norm, Normenkader, Normenkader-aspect, Privacyprincipe
Tip: klik op het pijltje naast 'ID' voor een logische volgorde.
IDElementtypeDeze speciale eigenschap maakt deel uit van WikiXL SmartCore (tm). Gebruik deze eigenschap niet voor andere doeleinden.VersieaanduidingStatus actualiteitRedactionele wijzigingsdatumPublicatiedatumBeschrijvingToelichtingConformiteitsindicatorCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekGrondslagStellingGrondslag opmerkingenRealiseertAfbeeldingOnderschriftPxAlt-tekstWijzigingsdatum"Wijzigingsdatum <span style="font-size:small;">(Modification date)</span>" is a predefined property that corresponds to the date of the last modification of a subject and is provided by Semantic MediaWiki. 
SERV_C.06Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Voor het adequaat beheersen en beheren van het servers en serverplatforms zou een beheersorganisatiestructuur moeten zijn vastgesteld waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.beveiligingsfunctionaris, beveiligingsbeleidBinnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.ControlStructuur9 september 2019 08:11:08Beheerorganisatie serverplatforms
SERV_U.03Beveiligingsprincipe1.0Actueel19 april 20211 februari 2019De organisatie maakt gebruik van malwareprotectie bij ingangs- en uitgangspunten van kritieke informatiesystemen (zoals Firewalls, e-mailservers, webservers, proxyservers, servers met externe toegang) en op werkstations, servers of mobiele computerapparatuur op het netwerk. De organisatie gebruikt deze beschermingsmechanismen om haar servers te beschermen tegen schadelijke code en om schadelijke code te detecteren en te neutraliserenpreventie,detectie,herstelTer bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 12.2.1
19 april 2021 11:14:59Malwareprotectie serverplatform
SERV_C.05Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Onder monitoren wordt verstaan: reviewen, analyseren en rapporteren. Het monitoren van gebruikers- en beheerderactiviteiten heeft tot doel ongeautoriseerde toegangspogingen tot servers en serverplatforms tijdig te signaleren en op basis van de ernst van de signalering acties te ondernemen. De monitoringsfunctie moet voorbehouden zijn aan een daartoe verantwoordelijke functionaris. Monitoring vindt mede plaats op basis van geregistreerde gegevens (logging). De geregistreerde gegevens dienen te worden geanalyseerd en te worden gerapporteerd (alerting). Alerting kan ook geautomatiseerd plaats vinden op basis van vastgestelde overschrijding van drempelwaarden.reviewt/analyseert, rapporterenDe organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.ControlGedrag
  • NIST SP800-53 AU (Audit and Accountability Control Family): AU 6
9 september 2019 08:09:42Monitoren van serverplatforms
SERV_U.06Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Toegang tot de servers is beperkt tot geautoriseerde personen en informatiesystemen. Onder bepaalde voorwaarden is het beheerders toegestaan door de organisatie beheerde servers "van buiten" te benaderen.richtlijnenRichtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.De reden waarom de norm gehanteerd wordt.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 6.2.2
30011 juli 2019 13:58:20Beheer op afstand
SERV_C.03Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Logging is het proces voor het registreren van technische activiteiten en gebeurtenissen. Hiermee kunnen achteraf fouten of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd. Het loggen van activiteiten spitst zich toe tot de bewaking van rechtmatigheid van toegekende rechten en het gebruik hiervan.logbestandenActiviteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.ControlGedrag
  • NEN-ISO/IEC 27002: 12.4.3
10 mei 2019 20:48:12Beheerderactiviteiten vastgelegd in logbestanden
SERV_U.02Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Standaarden voor configuratie van servers representeren documenten waarin afspraken zijn vastgelegd ten aanzien van configuraties en parametrisering van serverinstellingen.standaardenHet serverplatform is geconfigureerd in overeenstemming met gedocumenteerde standaarden.UitvoeringIntentie
  • SoGP (Standard of Good Practice): SY 1.2
10 mei 2019 20:49:57Standaarden voor configuratie van servers
SERV_C.04Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Op de serverplatforms vinden automatische en handmatige activiteiten plaats. Vanuit beveiligingsoptiek is het van belang om deze activiteiten te registreren in logboeken en te controleren.logbestandenLogbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.De reden waarom de norm gehanteerd wordt.ControlGedrag
  • NEN-ISO/IEC 27002: 12.4.1
30011 juli 2019 14:35:56Registratie gebeurtenissen
SERV_B.02Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Bij het inrichten van een beveiligde server behoren beveiligingsprincipes in acht te worden genomen. In ISO zijn twee principes expliciet genoemd: “Security by design” en “Defense in depth”. In andere baselines (zoals SoGP) zijn nog verschillende andere van belang zijnde inrichtingsprincipes te vinden.principesDe principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.BeleidIntentie
  • NEN-ISO/IEC 27002: 14.2.5
10 mei 2019 20:49:40Principes voor inrichten van beveiligde servers
SERV_U.08Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Opslagmedia van apparatuur bevat vaak vertrouwelijke informatie. Wanneer servers buiten gebruik worden gesteld of opnieuw worden ingezet, moet deze informatie veilig verwijderd zijn of worden.opslagmedia, geverifieerdAlle onderdelen van servers met opslagmedia behoren te worden geverifieerd, om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 11.2.7
10 mei 2019 20:50:03Veilig verwijderen of hergebruiken van serverapparatuur
SVP_B.01Beveiligingsprincipe2.0Actueel18 juni 20215 maart 2021==Definitie==

Het resultaat van een besluitvorming over het onderhouden van serverplatforms waarin het verantwoordelijke management voor serverplatforms van een organisatie heeft vastgelegd op welke wijze serverplatforms onderhouden dienen te worden.

Toelichting

De ISO 27002 2017 formuleert ‘beveiligd ontwikkelen’ in paragraaf 14.2.1 ‘Beleid voor beveiligd ontwikkelen’ als een eis voor het opbouwen van een beveiligde dienstverlening, software, systemen en architectuur.


In dit thema wordt bij het object ‘Beleid voor beveiligde inrichting en onderhoud’ inrichtings- en onderhoudsaspecten van serverplatform benadrukt. In het beleid worden onder andere standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van servers.
regelsVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.Het beheersen van de beveiligde inrichting en onderhoud van het serverplatform.Onvoldoende mogelijkheden om sturing te geven aan de effectieve en betrouwbare inrichting van een serverplatform en hierover een verantwoordingsrapportage te laten afgeven.BeleidIntentie
  • BIO 2019: 14.2.1
30018 juni 2021 08:49:47Beleid voor beveiligde inrichting en onderhoud
SERV_U.10Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Serverplatforms hebben verschillende features en bieden een veelheid van functies om services te kunnen leveren. Om veilig te functioneren, behoort elk serverplatform conform bepaalde standaarden en procedures te zijn geconfigureerd.geconfigureerd,ongeautoriseerdServerplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.De reden waarom de norm gehanteerd wordt.UitvoeringGedrag
  • SoGP (Standard of Good Practice): SY 1.2
30011 juli 2019 14:04:23Serverconfiguratie
SERV_U.05Beveiligingsprincipe1.0Actueel19 april 20211 februari 2019Patchmanagement is het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem. Een solide updatemechanisme is essentieel om voldoende beschermd te zijn tegen bekende beveiligingsproblemen in software. De noodzaak van het patchen staat vaak niet ter discussie, vaak ontstaat echter wel discussie over de urgentie waarmee patches moeten worden uitgevoerd. De ernst van de kwetsbaarheid bepaald de noodzaak om de tijdsduur tussen het uitkomen van een patch en het implementeren van een patch zo kort mogelijk te houden. Daarom is het van belang vast te stellen welke doelstelling en prioriteit met patchmanagement worden nagestreefd. Het kan voorkomen dat systemen die niet meer ondersteund worden, (tijdelijk) operationeel gehouden moeten worden. In dat geval is het van belang om te weten welke systemen dat zijn en welke aanvullende maatregelen getroffen zijn om deze systemen voor het uitbuiten van kwetsbaarheden te behoeden, zodat inzicht bestaat over het al of niet uitvoeren van de patch op deze systemen.procesmatig,procedureel,richtlijnenPatchmanagement is procesmatig en procedureel opgezet wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 12.6.1
  • NCSC ICT-Webrichtlijnen voor webapplicaties
19 april 2021 11:32:26Patchmanagement serverplatform
SERV_C.02Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Het is noodzakelijk om de technische omgeving regelmatig te beoordelen om de beveiliging doeltreffend te kunnen beheersen. Hiertoe dienen periodiek zowel de organisatorische als technische aspecten beoordeeld te worden, zoals: de toepassing van het geformuleerd inrichtingsbeleid voor servers, serverplatform architectuur, taken en verantwoordelijkheden, gebruik van technische middelen, frequentie, controle aanpak en inschakelen van externe specialisten. Als resultaat dient een rapportage van bevindingen aan het management te worden uitgebracht.nalevingTechnische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.De reden waarom de norm gehanteerd wordt.ControlFunctie
  • NEN-ISO/IEC 27002: 18.2.3
30011 juli 2019 14:34:55Beoordeling technische serveromgeving
SERV_U.14Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019De relatie tussen servers en de instellingen van configuraties moeten zijn vastgelegd in een ontwerpdocument.ontwerpHet ontwerp van een serverplatform behoort te zijn gedocumenteerd.UitvoeringStructuur
  • SoGP (Standard of Good Practice): SY 1.1.1
10 mei 2019 20:49:31Ontwerpdocumentatie
SERV_U.11Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Server virtualisatie stelt een organisatie in staat om één of meer gescheiden ‘logische’ omgevingen te creëren op één fysieke server. Bij virtualisatie zijn drie soorten componenten betrokken: een fysieke server, een hypervisor en één of meerdere virtuele servers. De hypervisor alloceert resources van de fysieke server naar elke onderliggende virtuele server, inclusief CPU, geheugen, harddisk of netwerk; hiermee zijn de virtuele servers in staat simultaan of geïsoleerd van elkaar te opereren. Deze drie componenten moeten voldoen aan specifieke eisen.virtuele servers,

fysieke servers,

hypervisors
Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisor en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.UitvoeringGedrag
  • SoGP (Standard of Good Practice): SY 1.3
10 mei 2019 20:48:19Beveiliging Virtueel serverplatform
SERV_U.01Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Bedieningsprocedures zijn een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms. De activiteiten kunnen gerelateerd zijn aan het starten en afsluiten van de computer, back-up en onderhoud van servers.BedieningsproceduresBedieningsprocedures behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben.UitvoeringIntentie
  • NEN-ISO/IEC 27002: 12.1.1
10 mei 2019 20:48:07Bedieningsprocedures
SERV_C.01Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Binnen de infrastructuur bevinden zich serverplatforms met verschillende servers en besturingssystemen en die het fundament vormen voor applicaties. Deze servers en hun besturingssystemen moeten daarom continu worden onderhouden, gehardend en op een veilige wijze geconfigureerd. Het is van groot belang dat deze servers en besturingssystemen, in het kader van risicomanagement, periodiek geëvalueerd worden. De evaluatie activiteiten dienen ondersteund te worden met evaluatie richtlijnen, procedures en instructies. Anders bestaat het risico dat de resultaten van de controle activiteiten niet voldoen aan de verwachte eisen. De beheerorganisatiestructuur geeft de samenhang van de ingerichte processen weer.richtlijnenEr behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.De reden waarom de norm gehanteerd wordt.ControlIntentie
  • NEN-ISO/IEC 27002:10.10.2
30011 juli 2019 14:33:37Evaluatie richtlijnen servers en besturingssystemen
SERV_B.03Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019De architectuur van een serverplatform geeft overzicht en inzicht in de wijze waarop de gebieden en objecten behoren te worden beveiligd. Architectuur geeft ook inzicht in de samenhang en samenwerking van beveiligingsmaatregelen. In de architectuur zijn gemaakte ontwerp en inrichtingskeuzen gedocumenteerd, verantwoord en zijn de gemaakte keuzen onderbouwd. Documentatie speelt ook een belangrijke rol bij het bepalen van de impact van wijzigingen en het voorkomen van ontwerpfouten. Documentatie moet dan ook na elke wijziging worden bijgewerkt en oude documentatie moet worden gearchiveerd.architectuurdocumentDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.BeleidStructuur
  • SoGP (Standard of Good Practice): SD 2.2
14 mei 2019 07:55:43Serverplatform architectuur
SERV_U.04Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt.

Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen:

  • Hoe is de serveromgeving opgebouwd en geconfigureerd?
  • Wat zijn bekende kwetsbaarheden en zwakheden?

Gerelateerd aan ‘Kwetsbaarhedenbeheer’ is het proces ‘Patch-management’. Het ISO-onderwerp ‘Beheer van technische kwetsbaarheden (12.6.1)’ behandelt wat betreft de maatregelen twee onderwerpen: kwetsbaarheden beheer (vulnerability management) (zie: U.04) en patchmanagement (zie: U.05). In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.

In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.
technische serverkwetsbaarheden,geëvalueerdInformatie over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.De reden waarom de norm gehanteerd wordt.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 12.6.1
30011 juli 2019 13:51:15Beheer van serverkwetsbaarheden
SERV_U.07Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019In dit thema wordt apparatuur vanuit de ISO opgevat als het infrastructuurcomponent ‘server’ dat periodiek onderhouden moet worden. Het onderhoud moet plaatsvinden binnen een tijdsinterval. Servers worden correct onderhouden door bevoegd personeel, om te zorgen dat de beschikbaarheid van de dienstverlening en de integriteit hiervan gegarandeerd is.onderhoudenServers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen.De reden waarom de norm gehanteerd wordt.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 11.2.4
30011 juli 2019 14:00:45Onderhoud van servers
SERV_U.12Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Voor het gebruik van software (door een beheerder) op een server zijn regels opgesteld.regelsVoor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.UitvoeringGedrag
  • NEN-ISO/IEC 27002: 12.6.2
10 mei 2019 20:48:18Beperking van software-installatie
SERV_U.13Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Om gebeurtenissen uit verschillende componenten te correleren, worden de klokken van de verschillende systemen gelijkgericht, zodat de timestamps van gebeurtenissen zijn gesynchroniseerd. Dit synchroniseren is het effect van de juiste instelling van tijd op betreffende componenten. Met behulp van het Network Time Protocol (NTP) wordt bereikt dat de tijd op alle servers en andere componenten overeenkomt (zie paragraaf 10.10.6 ‘Synchronisatie van systeemklokken’ in NEN/ISO-IEC 27002 ‘Code voor informatiebeveiliging’).gedocumenteerd,gesynchroniseerdDe klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn gedocumenteerd en gesynchroniseerd op één referentietijdbron.De reden waarom de norm gehanteerd wordt.UitvoeringGedrag
  • NEN-ISO/IEC 27002: 12.4.4
30011 juli 2019 14:26:55Kloksynchronisatie
SERV_U.09Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019De standaardconfiguratie van de meeste besturingssystemen is niet ontworpen met beveiliging als de primaire focus, in plaats daarvan zijn standaardinstellingen meer gericht op bruikbaarheid, communicatie en functionaliteit.

Hardening is het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd.

Ook servers behoren te worden gehardend; alle overbodige en niet gebruikte functies, services en accounts behoren van de server(s) te worden verwijderd of te worden uitgeschakeld.
functies, toegangVoor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld.UitvoeringGedrag
  • SoGP (Standard of Good Practice)
10 mei 2019 20:49:05Hardenen van servers
SVP_TOEL DOBHoofdstuk normenkader1.0Actueel8 april 20211 februari 2019.
Nr. Relevante beveiligingsobjecten Omschrijving
B.01 Beleid voor(beveiligd) onderhouden van serverplatforms Het resultaat van de besluitvorming ten aanzien van het onderhoud van serverplatforms die het verantwoordelijk management van een organisatie heeft vastgelegd.
B.02 Principes serverplatform beveiliging Principiële uitgangspunten voor het inrichten van serverplatforms, zoals: “Security by design” en “Defense in depth".
B.03 Serverplatform Architectuur Raamwerk en/of blauwdrukken waarmee wordt aangegeven op welke wijze serverplatforms zijn ingericht, samenhangen, beveiligd en beheerst.
U.01 Bedieningsprocedure Een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms.
U.02 Standaarden voor configuratie servers Documenten waarin afspraken zijn vastgelegd ten aanzien van configuraties en parametrisering serverinstellingen.
U.03 Malwareprotectie Beschermingsmechanismen om servers te beschermen tegen schadelijke code en om schadelijke code te detecteren en te neutraliseren.
U.04 Beheer van server kwetsbaarheden Proactieve beveiliging van servers door het verwerven van inzicht in de kwetsbaarheden en zwakheden in de software die op de server zijn geïnstalleerd.
U.05 Patch-management Het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem.
U.06 Beheer op afstand Het beheer van server door beheerders vanuit een niet-vertrouwde omgeving.
U.07 Onderhoud apparatuur Het actualiseren van configuraties van een serverplatform binnen een tijdsinterval.
U.08 Veilig verwijderen of hergebruiken van apparatuur Het opschonen van apparatuur en het veilig stellen van data op de apparatuur.
U.09 Hardenen van servers Het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd.
U.10 Serverconfiguratie Het conform de vereisten instellen van de verschillende features van serverplatforms.
U.11 Virtueel serverplatform Het beschikbaar stellen van één of meer gescheiden ‘logische’ omgevingen op één fysieke server.
U.12 Beperking software installatie Het stellen van regels voor het installeren op servers of serverplatforms.
U.13 Kloksynchronisatie Het gelijkrichten van klokken op verschillende servers.
U.14 Ontwerpdocumentatie Een document waarin de relatie tussen servers en de instellingen van configuraties zijn vastgelegd.
C.01 Evaluatierichtlijnen serverplatforms Richtlijnen die evaluatie activiteiten van servers ondersteunen.
C.02 Beoordeling technische serveromgeving Het proces van beoordelen op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.
C.03 Logbestandenbeheerders Het vastleggen van activiteiten van beheerders.
C.04 Registratiegebeurtenissen Het proces van registreren van gebeurtenissen op een server vanuit beveiligingsoptiek.
C.05 Monitorenservers en besturingssystemen Het proces van bewaken, reviewen, analyseren van vastgelegde gebeurtenissen en het rapporteren hierover.
C.06 Beheerorganisatieservers en besturingssystemen De adequaat gepositioneerde organisatorische eenheid die verantwoordelijk is voor de beheersing van de serverplatforms.
Serverplatform, Definiëring/omschrijving van beveiligingsobjecten
8 april 2021 10:32:17BIO Thema Serverplatform - Definiëring en omschrijving van beveiligingsobjecten
SVP_INLHoofdstuk normenkader1.0Actueel1 april 20211 februari 2019==Inleiding==

Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op controls uit de BIO (Baseline Informatiebeveiliging Overheid) die gebaseerd is op ISO-27002. Er wordt ook gebruik gemaakt van andere Best Practices als: SoGP en NIST. Dit kader dient evenals andere BIO-thema’s, als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur.

Opzet van het thema

Het thema Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van een lagenstructuur.

Dit thema volgt de standaard opzet voor BIO-thema’s:

  1. scope en begrenzing (§1.2);
  2. context en globale structuur van het thema (§1.3);
  3. beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen (§2.1);
  4. presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten (§2.1);
  5. globale relaties van de geïdentificeerd beveiligingsobjecten (§2.2).

Scope en begrenzing

In dit thema is de scope van het begrip serverplatform beperkt tot de basis functionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: serverhardware, virtualisatietechnologie en besturingssysteem (OS). Organisaties zullen op basis van deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden. Het beschrijft niet de kenmerken van specifieke type servers, zoals: bestandsserver, applicatieserver, webserver, mailserver of databaseserver.

De objecten ten aanzien van serverplatform komen soms direct of indirect uit ISO 27002. De vertaling van objecten uit ISO 27002/BIO wordt geïllustreerd in tabel 'Voorbeeld vertaling BIO objecten naar Thema ‘Serverplatform’ objecten'.


  ISO/BIO object     Vertaling naar Thema:  Serverplatform  
  Beleid voor beveiligd ontwikkelen  (14.2.1)     Beleid voor (beveiligd) onderhouden  van serverplatforms  
  Principes voor engineering van  beveiligde systemen     Principes serverplatform beveiliging.  
Serverplatform, Voorbeeld vertaling BIO-objecten naar Serverplatform-objecten

Context van serverplatform

Servers zijn computers, die via werkstations (clients), één of meerdere diensten en aan eindgebruikers of aan computersystemen beschikbaar stellen. Een server kan ook gerelateerd zijn aan zijn software die diensten mogelijk maakt, verzoeken accepteert en deze verwerkt. Voorbeelden van servers zijn: file-servers, database-servers, mail-servers, web-servers en FTP-servers Aan een server hangt één of meerdere clients. Figuur 1 geeft een globale context van enkele type servers en hoe ze in relatie staan met beleids- en beheersingsaspecten.

”Context thema Serverplatform”
Context thema Serverplatform
Een externe gebruiker logt bijvoorbeeld aan op een webserver vanuit internet. Dit type server geeft de relevante gebruikersgegevens door aan een portaltoegang-server, die op zijn beurt applicatieve diensten vanuit backofficeservers beschikbaar stelt. De onderste gebruiker in de figuur is een medewerker van een vertrouwde partij en zoekt via een semivertrouwd kanaal informatie op een webserver van de partnerorganisatie. De interne gebruiker logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er tevens sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het operating systeem.
1 april 2021 10:11:07BIO Thema Serverplatform - Inleiding
SVP_INL BSHoofdstuk normenkader1.0Actueel8 april 20211 februari 2019==Beveiligingsobjecten serverplatform==

Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC)), die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld spelen zijn:

  • welke rand voorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  • welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  • welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?

De belangrijkste functieblokken van een server kunnen binnen de SIVA-lagenstructuur worden beschreven, die functieblokken bevatten elk beveiligingsmaatregelen, die we vanuit de normatiek duiden als beveiligingsobjecten.

Vaststellen van beveiligingsobjecten voor serverplatform

Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor het serverplatform, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten. Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging web richtlijnen.


 Nr.   Relevante beveiligingsobjecten   Referentie naar standaarden   IFGS 
 B.01   Beleid voor beveiligde inrichting en onderhoud   BIO/14.2.1   I 
 B.02   Principes voor inrichten van beveiligde servers   BIO/14.2.5   I 
 B.03   Serverplatform architectuur   SoGP/SD2.2 (afgeleid uit)   S 
 U.01   Bedieningsprocedure   BIO/12.1.1   I 
 U.02   Standaarden voor configuratie van servers   SoGP/SY1.2   I 
 U.03   Malwareprotectie   BIO/12.2.1   F 
 U.04   Beheer van serverkwetsbaarheden   BIO/12.6.1   F 
 U.05   Patch-management   BIO/12.6.1, NCSC/WA   F 
 U.06   Beheer op afstand   BIO/6.2.2 (Afgeleid)   F 
 U.07   Onderhoud van serverapparatuur   BIO/11.2.4   F 
 U.08   Veilig verwijderen of hergebruiken van serverapparatuur   BIO/11.2.7   F 
 U.09   Hardenen van servers   SoGP/SYS1.25 en SYS12.8   G 
 U.10   Serverconfiguratie   SoGP/SY1.2   G 
 U.11   Virtueel serverplatform   SoGP/SY1.3   G 
 U.12   Beperking van software- installatie   BIO/12.6.2   G 
 U.13   Kloksynchronisatie   BIO/12.4.4   G 
 U.14   Ontwerpdocumentatie   SoGP/12.4.4   S 
 C.01   Evaluatie van richtlijnen voor servers en serverplatforms   BIO/10.10 2 (versie 2007)   I 
 C.02   Beoordeling technische serveromgeving   BIO/18.2.3   F 
 C.03   Logbestanden beheerders   BIO/12.4.3   G 
 C.04   Registratie van gebeurtenissen   BIO/12.4.1   G 
 C.05   Monitoren van servers en serverplatforms   NIST/AU-6   G 
 C.06   Beheerorganisatie servers en serverplatforms   CIP Domeingroep BIO   S 
Serverplatform, Overzicht van de relevante beveiligingsobjecten voor het serverplatform

Globale relaties tussen de geïdentificeerde beveiligingsobjecten

Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties ten behoeve van het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: Beleid, Uitvoering en Control. Deze objecten worden in Bijlage 1 verder toegelicht. De objecten per domein worden in hoofdstukken 3, 4 en 5 verder uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders.

”Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)”
Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)

Beleiddomein Geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moeten voldoen.

Uitvoeringsdomein De keuze van objecten uit ISO voor het thema serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan het serverplatform:

  • initiële installatie

de initiële installatie wordt uitgevoerd op basis van richtlijnen en procedures, bijvoorbeeld: Bedieningsprocedure (ISO terminologie),

  • beveiligings- en beheerfuncties

de beveiligingsfunctie is gerelateerd aan protectie mechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfuncties is gerelateerd aan enkele processen, zoals: Onderhoud van servers en Beheer van kwetsbaarheden,

  • feature configuratie

Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om beveiligingsniveau te kunnen garanderen.

  • structuur en ontwerp

De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerp document zijn vastgelegd.

Controldomein

Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.
8 april 2021 11:19:09BIO Thema Serverplatform - Beveiligingsobjecten serverplatform
SERV_C.05.04Norm1.0Actueel1 februari 20191 februari 2019reviewt/analyseertControl
  • NEN-ISO/IEC 27002: 10.10.1
De rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd.Monitoren van serverplatforms10 mei 2019 20:48:00Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s
SERV_B.03.02Norm1.0Actueel1 februari 20191 februari 2019architectuurdocumentBeleid
  • SoGP (Standard of Good Practice): SD 2.2
In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen.Serverplatform architectuur10 mei 2019 20:49:19In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen
SERV_U.03.02Norm1.0Actueel1 februari 20191 februari 2019preventieUitvoering
  • NEN-ISO/IEC 27002: 12.2.1
Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware.Malwareprotectie serverplatform10 mei 2019 20:49:01Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links
SERV_U.05.05Norm1.0Actueel1 februari 20191 februari 2019procedureelUitvoering
  • NCSC ICT-Webrichtlijnen voor webapplicaties
De patchmanagement procedure is actueel en beschikbaar.Patchmanagement serverplatform10 mei 2019 20:48:21De Patchmanagement procedure is actueel en beschikbaar
SERV_U.04.05Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
  • SoGP (Standard of Good Practice): TM 1.1.6
Het proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
  • identificatie van bekende technische kwetsbaarheden;
  • high-level inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie;
  • relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen;
  • prioriteit geven aan herstel van onderkende kwetsbaarheden.
Beheer van serverkwetsbaarheden10 mei 2019 20:49:08Het kwetsbaarheden beheerproces
SERV_C.04.01Norm1.0Actueel1 februari 20191 februari 2019logbestandenControl
  • NEN-ISO/IEC 27002: 12.4.1
  • Logbestanden van gebeurtenissen bevatten, voor zover relevant:
    1. gebruikersidentificaties;
    2. systeemactiviteiten;
    3. data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie;
    4. identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
    5. systeemconfiguratie veranderingen;
    6. gebruik van speciale bevoegdheden;
    7. alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
    8. activering en deactivering van beschermingssystemen, zoals antivirus systemen en inbraakdetectie systemen;
    9. verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.
    Registratie gebeurtenissen10 mei 2019 20:48:44Eisen aan de inhoud van de logbestanden van gebeurtenissen
    SERV_U.05.04Norm1.0Actueel1 februari 20191 februari 2019procesmatigUitvoering
    • NEN-ISO/IEC 27002: 12.6.1
    • SoGP (Standard of Good Practice): TM 1.1.10
    Het Patchmanagement proces bevat methoden om:
    1. patches te testen en te evalueren voordat ze worden geïnstalleerd;
    2. patches te implementeren op servers die niet toegankelijk zijn via het bedrijfsnetwerk;
    3. om te gaan met de mislukte of niet uitgevoerde patches;
    4. te rapporteren over de status van het implementeren van patches;
    5. acties te bepalen, ingeval een technische kwetsbaarheid niet met een patch kan worden hersteld, of een beschikbare patch niet kan worden aangebracht.
    Patchmanagement serverplatform10 mei 2019 20:48:48Eisen aan het Patchmanagement
    SERV_B.02.02Norm1.0Actueel1 februari 20191 februari 2019principesBeleid
    • SoGP (Standard of Good Practice)
    Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
    • defense in depth (beveiliging op verschillende lagen);
    • secure by default;
    • least privilege (minimale toegangsniveau);
    • fail secure, waarbij informatie in geval van een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd;
    • eenduidige naamgevingconventie;
    • minimalisatie van Single points of failure.
    Principes voor inrichten van beveiligde servers10 mei 2019 20:48:20Beveiligingsprincipes voor het beveiligd inrichten van servers
    SERV_U.01.02Norm1.0Actueel1 februari 20191 februari 2019bedieningsproceduresUitvoering
  • NEN-ISO/IEC 27002: 12.1.1
  • Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door hoger management goedgekeurd.Bedieningsprocedures10 mei 2019 20:48:56Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten
    SERV_U.11.01Norm1.0Actueel1 februari 20191 februari 2019fysieke serversUitvoering
    • SoGP (Standard of Good Practice): SY 1.3.4
    Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd tegen:
    • onbeheerde en ad hoc inzet van virtuele servers (zonder juiste procedure aanvraag, creëren en schonen);
    • overbelasting van resources (CPU, geheugen en harde schijf) door het stellen van een limiet voor het aanmaken van het aantal virtuele servers op een fysieke host server.
    Beveiliging Virtueel serverplatform9 september 2019 07:58:51Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd
    SERV_U.10.02Norm1.0Actueel1 februari 20191 februari 2019geconfigureerdUitvoering
  • SoGP (Standard of Good Practice): SY 1.2.3
  • De servers zijn geconfigureerd in overeenstemming met een gestandaardiseerde en vooraf bepaald serverimage.Serverconfiguratie10 mei 2019 20:48:35De servers zijn geconfigureerd conform een gestandaardiseerde serverimage
    SERV_U.13.01Norm1.0Actueel1 februari 20191 februari 2019gedocumenteerdUitvoering
    • NEN-ISO/IEC 27002: 12.4.4
    • SoGP (Standard of Good Practice): TM 1.2.3
    De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken.Kloksynchronisatie10 mei 2019 20:48:36De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd
    SVP_B.01.01Norm2.0Actueel18 juni 20215 maart 2021RegelsBeleidIntentie
    • BIO 2019: 14.2.1.1
    De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het onderhouden van servers.Beleid voor beveiligde inrichting en onderhoud18 juni 2021 09:01:50Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
    SERV_U.11.04Norm1.0Actueel1 februari 20191 februari 2019virtuele serversUitvoering
    • SoGP (Standard of Good Practice): SY 1.3.6 & SY 1.3.7
    Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
    • het toepassen van standaard beveiligingsrichtlijnen ten aanzien van fysieke en logische toegang;
    • het hardenen van de fysieke en virtuele servers;
    • wijzigingsbeheer, malwareprotectie;
    • het toepassen van monitoring en van netwerk gebaseerde beveiliging.
    Beveiliging Virtueel serverplatform11 juli 2019 14:49:51Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors
    SERV_U.04.07Norm1.0Actueel1 februari 20191 februari 2019geëvalueerdUitvoering
  • NEN-ISO/IEC 27002: 12.6.1
  • Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd.Beheer van serverkwetsbaarheden10 mei 2019 20:49:09Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd
    SERV_U.05.09Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • NEN-ISO/IEC 27002: 12.6.1
    Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.Patchmanagement serverplatform10 mei 2019 20:47:59Alleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd
    SERV_U.09.02Norm1.0Actueel1 februari 20191 februari 2019functiesUitvoering
    • SoGP (Standard of Good Practice)
    Servers zijn zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
    1. communicatiediensten die inherent vatbaar zijn voor misbruik;
    2. communicatieprotocollen die gevoelig zijn voor misbruik.
    Hardenen van servers10 mei 2019 20:49:53Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt
    SERV_U.08.02Norm1.0Actueel1 februari 20191 februari 2019geverifieerdUitvoering
    • NEN-ISO/IEC 27002: 11.2.7
    Voorafgaand aan verwijdering of hergebruik wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd.Veilig verwijderen of hergebruiken van serverapparatuur10 mei 2019 20:49:02Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat
    SERV_U.05.02Norm1.0Actueel1 februari 20191 februari 2019procesmatigUitvoering
    • NCSC ICT-Webrichtlijnen voor webapplicaties
    Een technisch mechanisme zorgt voor (semi-) automatische updates.Patchmanagement serverplatform10 mei 2019 20:48:41Een technisch mechanisme zorgt voor (semi-)automatische updates
    SERV_C.05.01Norm1.0Actueel1 februari 20191 februari 2019reviewt/analyseertControl
    • NEN-ISO/IEC 27002: 10.10.1
    De verantwoordelijke functionaris analyseert periodiek:

    De verantwoordelijke functionaris analyseert periodiek:

    • de gelogde gebruikers-, activiteiten gegevens ten aanzien van servers en serverplatforms;
    • het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen;
    • eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.
    NB: Verdachte gebeurtenissen zijn afwijkend en opmerkelijk gedrag ten aanzien gangbare patronen en geldende (beleids)regels.
    Monitoren van serverplatforms10 mei 2019 20:48:45Eisen aan de periodieke beoordeling van de logbestanden
    SWP_U.08.02Norm1.1Actueel23 april 202130 maart 2021VersleutelingUitvoeringFunctie
    • SSD 2020: SSD-4/01.02
    Het platform waarop het softwarepakket draait, zorgt voor de versleuteling van communicatie tussen de applicatieserver en webserver en tussen de applicatie en database. De webserver forceert versleuteling tussen de webserver en cliënt.Communicatie23 april 2021 09:34:30Versleutelen communicatie tussen applicatie- en webserver
    SERV_U.01.03Norm1.0Actueel1 februari 20191 februari 2019bedieningsproceduresUitvoering
    • NEN-ISO/IEC 27002: 12.1.1
    In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
    1. de installatie en configuratie van systemen;
    2. de verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
    3. de back-up;
    4. de eisen ten aanzien van de planning, met inbegrip van onderlinge verbondenheid met andere systemen;
    5. de voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen ten aanzien van het gebruik van systeemhulpmiddelen;
    6. de ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van onverwachte bedienings- of technische moeilijkheden;
    7. het beheer van audit- en systeemlog bestandinformatie;
    8. de procedures voor het monitoren van activiteiten.
    Bedieningsprocedures10 mei 2019 20:49:18In de bedieningsprocedures opgenomen bedieningsvoorschriften
    SERV_C.06.01Norm1.0Actueel1 februari 20191 februari 2019beveiligingsfunctionarisControlDe beveiligingsfunctionaris zorgt o.a. voor:
  • de actualisatie van beveiligingsbeleid ten aanzien servers en besturingssystemen;
  • de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met o.a. de ketenpartijen;
  • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
  • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
  • de bespreking van beveiligingsissues met ketenpartijen;
  • het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.
  • Beheerorganisatie serverplatforms10 mei 2019 20:47:56Activiteiten van de beveiligingsfunctionaris
    SERV_U.05.10Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoeringDe risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch.Patchmanagement serverplatform11 juli 2019 13:53:51De risico’s verbonden aan het installeren van de patch worden beoordeeld
    SERV_U.10.01Norm1.0Actueel1 februari 20191 februari 2019geconfigureerdUitvoering
    • SoGP (Standard of Good Practice): SY 1.2.1
    De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures en welke betrekking hebben op:
    1. het inrichten van standaard firmware-configuraties;
    2. het gebruik van gestandaardiseerde vooraf bepaalde server-images voor het bouwen/configureren van servers;
    3. het wijzigen van de standaardwaarden en andere beveiligingsparameters van de leverancier(s);
    4. het verwijderen, uitschakelen en/of beperken van onnodige functies en services;
    5. het beperken van de toegang tot krachtige beheerhulpmiddelen en hostparameter instellingen;
    6. het beschermen tegen ongeoorloofde toegang;
    7. het uitvoeren van standaard beveiligingsbeheer.
    Serverconfiguratie10 mei 2019 20:48:22De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures
    SERV_U.05.08Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • NCSC ICT-Webrichtlijnen voor webapplicaties
    Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd.Patchmanagement serverplatform10 mei 2019 20:48:40Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd.
    SERV_U.05.06Norm1.0Actueel1 februari 20191 februari 2019procedureelUitvoering
    • NCSC ICT-Webrichtlijnen voor webapplicaties
    De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld.Patchmanagement serverplatform10 mei 2019 20:48:34De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld
    SERV_U.12.04Norm1.0Actueel1 februari 20191 februari 2019regelsUitvoering
    • NEN-ISO/IEC 27002: 12.6.2
    De rechten van beheerders worden verleend op basis van rollen.Beperking van software-installatie10 mei 2019 20:48:32De rechten van beheerders worden verleend op basis van rollen
    SERV_U.10.03Norm1.0Actueel1 februari 20191 februari 2019ongeautoriseerdUitvoering
    • SoGP (Standard of Good Practice): SY 1.2.7
    Toegang tot server parameterinstellingen en krachtige beheerinstrumenten is:
    • beperkt tot een gelimiteerd aantal geautoriseerde personen;
    • beperkt tot specifiek omschreven situaties;
    • gekoppeld aan specifieke en gespecificeerde autorisatie.
    Serverconfiguratie10 mei 2019 20:50:00Toegang tot serverparameter en krachtige beheerinstrumenten is beperkt
    SERV_C.05.06Norm1.0Actueel1 februari 20191 februari 2019rapporterenControl
  • NEN-ISO/IEC 27002: 10.10.1
  • De eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan.Monitoren van serverplatforms10 mei 2019 20:48:26De eindrapportage bevat verbeteringsvoorstellen op basis van analyses
    SERV_C.01.04Norm1.0Actueel1 februari 20191 februari 2019richtlijnenControl
    • NEN-ISO/IEC 27002:10.10.2
    De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd.Evaluatie richtlijnen servers en besturingssystemen10 mei 2019 20:48:37De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd
    SERV_U.05.07Norm1.0Actueel1 februari 20191 februari 2019procedureelUitvoering
    • NCSC ICT-Webrichtlijnen voor webapplicaties
    De volgende aspecten van een patch worden geregistreerd:
    de beschikbare patches;
    
    • hun relevantie voor de systemen / bestanden;
    • het besluit tot wel/niet uitvoeren;
    • de testdatum en het resultaat van de patchtest;
    • de datum van implementatie; en
    • het patchresultaat.
    Patchmanagement serverplatform10 mei 2019 20:49:44Registratie van de aspecten van een patch
    SERV_U.03.04Norm1.0Actueel1 februari 20191 februari 2019preventieUitvoering
  • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1
  • Gebruikers zijn voorgelicht over de risico's ten aanzien van surfgedrag en het klikken op onbekende links.Malwareprotectie serverplatform20 mei 2019 16:43:45Servers zijn voorzien van up-to-date anti-malware
    SERV_U.05.01Norm1.0Actueel1 februari 20191 februari 2019procesmatigUitvoeringHet patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris.Patchmanagement serverplatform11 juli 2019 13:52:34Patchmanagement is beschreven, goedgekeurd en toegekend
    SERV_C.02.03Norm1.0Actueel1 februari 20191 februari 2019nalevingControl
    • NEN-ISO/IEC 27002: 18.2.3
    De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar.Beoordeling technische serveromgeving10 mei 2019 20:50:01Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar
    SERV_C.02.01Norm1.0Actueel1 februari 20191 februari 2019nalevingControl
    • NEN-ISO/IEC 27002: 18.2.3
    Technische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist.Beoordeling technische serveromgeving10 mei 2019 20:48:54Eisen aan het vervaardigen en interpreteren van technische naleving
    SERV_C.02.04Norm1.0Actueel1 februari 20191 februari 2019nalevingControl
    • NEN-ISO/IEC 27002: 18.2.3
    Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management.Beoordeling technische serveromgeving10 mei 2019 20:48:50Eisen aan het beoordelen van technische naleving
    SERV_U.03.03Norm1.0Actueel1 februari 20191 februari 2019preventieUitvoering
    • NEN-ISO/IEC 27002: 12.2.1
    Severs zijn voorzien van (up-to-date) software die malware opspoort en daartegen beschermt.Malwareprotectie serverplatform10 mei 2019 20:49:07Het downloaden van bestanden is beheerst en beperkt
    SERV_U.05.11Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoeringWanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
    • het uitschakelen van functionaliteiten en/of diensten;
    • het aanpassen of toevoegen van toegangsbeveiligingsmaatregelen, bijv. firewalls, rond de grenzen van netwerken;
    • het vaker monitoren om de werkelijke aanvallen op te sporen;
    • het kweken van bewustzijn omtrent de kwetsbaarheid.
    Patchmanagement serverplatform11 juli 2019 13:55:48Wanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogen
    SERV_U.05.03Norm1.0Actueel1 februari 20191 februari 2019procesmatigUitvoering
  • NCSC ICT-Webrichtlijnen voor webapplicaties
  • Configuratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht.Patchmanagement serverplatform10 mei 2019 20:49:32Op basis van inzicht vanuit configuratiebeheer worden de servers gepatcht
    SERV_U.04.06Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
    • SoGP (Standard of Good Practice): TM 1.1.9
    Technische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld.Beheer van serverkwetsbaarheden10 mei 2019 20:49:41Procesmatig herstel van technische kwetsbaarheden
    SERV_U.11.03Norm1.0Actueel1 februari 20191 februari 2019virtuele serversUitvoering
    • SoGP (Standard of Good Practice): SY 1.3.1 & SY 1.3.2
    Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
    • fysieke servers, die worden gebruikt voor het hosten van virtuele servers;
    • hypervisors, die zijn geassocieerd met virtuele servers;
    • virtuele servers die op een fysieke server worden uitgevoerd.
    Beveiliging Virtueel serverplatform11 juli 2019 14:49:22Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures
    SERV_B.02.01Norm1.0Actueel1 februari 20191 februari 2019principesBeleid
  • BIO (Baseline Informatiebeveiliging Overheid): 14.2.1.1
  • De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers.Principes voor inrichten van beveiligde servers10 mei 2019 20:48:59Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
    SERV_U.08.01Norm1.0Actueel1 februari 20191 februari 2019opslagmediaUitvoering
    • NEN-ISO/IEC 27002: 11.2.7
    de server(s):
    1. wordt informatie welke niet meer benodigd is, vernietigd door middel van het verwijderen of overschrijven gebruikmakend van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen;
    2. worden opslagmedia die niet meer benodigd zijn en die vertrouwelijke of door auteursrecht beschermde informatie bevatten fysiek vernietigd.
    Veilig verwijderen of hergebruiken van serverapparatuur10 mei 2019 20:49:28Niet meer benodigde opslagmedia en informatie van servers worden vernietigd
    SERV_C.02.02Norm1.0Actueel1 februari 20191 februari 2019nalevingControl
    • NEN-ISO/IEC 27002: 18.2.3
    Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd.Beoordeling technische serveromgeving10 mei 2019 20:49:39Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen
    SERV_U.01.01Norm1.0Actueel1 februari 20191 februari 2019bedieningsproceduresUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.1.1
    Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld.Bedieningsprocedures10 mei 2019 20:49:03Gedocumenteerde procedures voor bedieningsactiviteiten
    SERV_C.03.02Norm1.0Actueel1 februari 20191 februari 2019logbestandenControl
    • NEN-ISO/IEC 27002: 12.4.3
    Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten.Beheerderactiviteiten vastgelegd in logbestanden10 mei 2019 20:49:56Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten
    SERV_U.12.02Norm1.0Actueel1 februari 20191 februari 2019regelsUitvoering
    • NEN-ISO/IEC 27002: 12.6.2
    De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.Beperking van software-installatie10 mei 2019 20:48:31De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.
    SERV_C.06.02Norm1.0Actueel1 februari 20191 februari 2019beveiligingsbeleidControlHet beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
    1. specifieke beveiligings- en architectuurvoorschriften;
    2. afhankelijkheden tussen servercomponenten;
    3. de inrichting, het onderhoud en het beheer van de servers.
    Beheerorganisatie serverplatforms11 juli 2019 14:56:27Inhoud van het beveiligingsbeleid
    SERV_U.11.02Norm1.0Actueel1 februari 20191 februari 2019hypervisorsUitvoering
    • SoGP (Standard of Good Practice): SY 1.3.5
    Hypervisors worden geconfigureerd om:
    • virtuele servers onderling (logisch) te scheiden op basis van vertrouwelijkheidseisen en om te voorkomen dat informatie wordt uitgewisseld tussen discrete omgevingen;
    • de communicatie tussen virtuele servers te coderen;
    • de toegang te beperken tot een beperkt aantal geautoriseerde personen;
    • de rollen van hypervisor administrators te scheiden.
    Beveiliging Virtueel serverplatform9 september 2019 08:03:01Hypervisors worden geconfigureerd
    SERV_U.02.01Norm1.0Actueel1 februari 20191 februari 2019standaardenUitvoering
  • SoGP (Standard of Good Practice): SY 1.2.1
  • De documentatie conform de standaarden omvat:
    1. het bieden van gestandaardiseerde firmware-configuraties;
    2. het gebruik van gestandaardiseerde en vooraf bepaalde server-images voor het bouwen/configureren van servers;
    3. het wijzigen van de standaardwaarden van leverancier- en andere beveiligingsparameters;
    4. het uitschakelen of beperken van onnodige functies en services;
    5. het beperken van de toegang tot krachtige beheerhulpmiddelen en host-parameter instellingen (bijvoorbeeld Windows 'Register-editor');
    6. het beschermen tegen ongeoorloofde toegang;
    7. het uitvoeren van standaard beveiligingsbeheer praktijken.
    Standaarden voor configuratie van servers10 mei 2019 20:48:42Eisen aan de "gedocumenteerde standaarden"
    SERV_U.03.08Norm1.0Actueel1 februari 20191 februari 2019herstelUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1
    Software die malware opspoort en bijbehorende herstelsoftware zijn geïnstalleerd en worden regelmatig geüpdate.Malwareprotectie serverplatform10 mei 2019 20:48:25De anti-malware software wordt regelmatig geüpdate
    SERV_U.09.03Norm1.0Actueel1 februari 20191 februari 2019toegangUitvoeringServers worden beschermd tegen ongeoorloofde toegang doordat:
    1. onnodige of onveilige gebruikersaccounts zijn verwijderd;
    2. belangrijke beveiliging gerelateerde parameters juist zijn ingesteld;
    3. time-out faciliteiten worden gebruikt, die:
      1. automatisch na een vooraf bepaalde periode van inactiviteit sessies sluiten en een blanco scherm tonen op de beheerschermen;
      2. vereisen dat opnieuw wordt ingelogd voordat een beheerscherm zich herstelt.
    Hardenen van servers11 juli 2019 14:02:46Servers worden beschermd tegen ongeoorloofde toegang
    SERV_U.04.02Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
    • NEN-ISO/IEC 27002: 12.6.1
    Voor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheid van:
    • (onderlinge)afhankelijkheden;
    • software t.a.v. versienummers, toepassingsstatus;
    • verantwoordelijken voor de software.
    Beheer van serverkwetsbaarheden10 mei 2019 20:49:20Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse
    SERV_U.03.06Norm1.0Actueel1 februari 20191 februari 2019detectieUitvoeringServers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server zijn opgeslagen.Malwareprotectie serverplatform11 juli 2019 13:49:14Servers en hiervoor gebruikte media worden routinematig gescand op malware
    SERV_U.07.01Norm1.0Actueel1 februari 20191 februari 2019onderhoudenUitvoering
  • NEN-ISO/IEC 27002: 11.2.4
  • Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen die invulling geven aan de volgende eisen:
    1. onderhoud wordt uitgevoerd in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten;
    2. alleen bevoegd onderhoudspersoneel voert reparaties en onderhoudsbeurten uit;
    3. van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt registratie bijgehouden;
    4. voor onderhoud vanuit interne of externe locaties worden passende maatregelen getroffen;
    5. voordat servers na onderhoud weer in bedrijf worden gesteld, vindt een inspectie plaats om te waarborgen dat niet is geknoeid met de server en dat deze nog steeds of weer goed functioneert.
    Onderhoud van servers10 mei 2019 20:49:10Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen
    SERV_C.01.03Norm1.0Actueel1 februari 20191 februari 2019richtlijnenControl
    • NEN-ISO/IEC 27002:10.10.2
    De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Evaluatie richtlijnen servers en besturingssystemen10 mei 2019 20:49:46Richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie
    SERV_C.05.03Norm1.0Actueel1 februari 20191 februari 2019reviewt/analyseertControl
    • NEN-ISO/IEC 27002: 10.10.1
    Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd.Monitoren van serverplatforms10 mei 2019 20:48:47Eisen aan de periodieke rapportage over de analyse van de logbestanden
    SERV_U.03.01Norm1.0Actueel1 februari 20191 februari 2019preventieUitvoering
    • NEN-ISO/IEC 27002: 12.2.1
    Een formeel beleid wordt toegepast waarin het gebruik van ongeautoriseerde gebruik van software is verboden.Malwareprotectie serverplatform10 mei 2019 20:49:17In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software
    SERV_U.12.03Norm1.0Actueel1 februari 20191 februari 2019regelsUitvoering
    • NEN-ISO/IEC 27002: 12.6.2
    Het principe van least-privilege wordt toegepast.Beperking van software-installatie10 mei 2019 20:49:13Het principe van least-privilege wordt toegepast
    SERV_U.13.02Norm1.0Actueel1 februari 20191 februari 2019gesynchroniseerdUitvoering
    • NEN-ISO/IEC 27002: 12.4.4
    De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd op basis van externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd.Kloksynchronisatie10 mei 2019 20:48:27De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd.
    SERV_C.05.02Norm1.0Actueel1 februari 20191 februari 2019reviewt/analyseertControl
    • NEN-ISO/IEC 27002: 10.10.1
    De verzamelde loginformatie wordt in samenhang geanalyseerd.Monitoren van serverplatforms10 mei 2019 20:48:39De verzamelde loginformatie wordt in samenhang geanalyseerd
    SERV_U.09.01Norm1.0Actueel1 februari 20191 februari 2019functiesUitvoering
    • SoGP (Standard of Good Practice)
    Servers zijn zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
    1. niet-essentiële en overbodige (redundant) services;
    2. het kunnen uitvoeren van gevoelige transacties en scripts;
    3. krachtige beheerhulpmiddelen;
    4. het “run” commando” en “commandprocessors”;
    5. de “auto-run”-functie.
    Hardenen van servers10 mei 2019 20:49:52Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld
    SERV_B.03.01Norm1.0Actueel1 februari 20191 februari 2019architectuurdocumentBeleid
    • SoGP (Standard of Good Practice): SD 2.2
    Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
    • heeft een eigenaar;
    • is voorzien van een datum en versienummer;
    • bevat een documenthistorie (wat is wanneer en door wie aangepast);
    • is actueel, juist en volledig;
    • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd;
    • wordt actief onderhouden.
    Serverplatform architectuur10 mei 2019 20:48:49Eisen aan het architectuurdocument van het in te richten van het serverplatform
    SERV_U.04.04Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
  • NEN-ISO/IEC 27002: 12.6.1
  • Met betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident.Beheer van serverkwetsbaarheden10 mei 2019 20:48:24De activiteiten zijn afgestemd op het incident
    SERV_U.06.02Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • SoGP (Standard of Good Practice): NC 1.6.4
    Het op afstand onderhouden van servers wordt strikt beheerd door middel van:
    1. het verifiëren van de bron van de verbinding op afstand;
    2. het bepalen van de toestemming voordat toegang wordt verleend voor de connectiviteit;
    3. het beperken van het aantal gelijktijdige externe verbindingen;
    4. het bewaken van activiteiten gedurende de gehele duur van de verbinding;
    5. het uitschakelen van de verbinding zodra de geautoriseerde activiteit voltooid is.
    Beheer op afstand10 mei 2019 20:49:12Het op afstand onderhouden van servers wordt strikt beheerd
    SERV_C.03.01Norm1.0Actueel1 februari 20191 februari 2019logbestandenControl
    • NEN-ISO/IEC 27002: 12.4.3
    De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd.Beheerderactiviteiten vastgelegd in logbestanden10 mei 2019 20:48:51Eisen aan het beschermen van de logbestanden
    SERV_C.01.01Norm1.0Actueel1 februari 20191 februari 2019richtlijnenControl
    • NEN-ISO/IEC 27002:10.10.2
    De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen.Evaluatie richtlijnen servers en besturingssystemen10 mei 2019 20:49:45Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen
    SERV_U.03.05Norm1.0Actueel1 februari 20191 februari 2019preventieUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1
    Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en van het principe "need-of-use".Malwareprotectie serverplatform10 mei 2019 20:45:46Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd
    SERV_U.04.01Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.6.1
    Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Beheer van serverkwetsbaarheden10 mei 2019 20:48:53Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen
    SERV_U.06.03Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • SoGP (Standard of Good Practice): NC 1.1.2
    Het serverplatform is zodanig ingericht, dat deze op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden.Beheer op afstand10 mei 2019 20:49:14Het serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd
    SVP_B.01.02Norm2.0Actueel18 juni 20215 maart 2021RegelsBeleidIntentie
    • SoGP 2018: SY1.2.1
    In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
    • het toepassen van richtlijnen/standaarden voor de configuratie van servers en besturingssystemen;
    • het gebruik van hardeningsrichtlijnen;
    • het toepassen van standaard images;
    • het beperken van toegang tot krachtige faciliteiten en instellingen voor hostparameter;
    • het beschermen tegen ongeautoriseerde toegang.
    Beleid voor beveiligde inrichting en onderhoud18 juni 2021 09:10:37Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
    SERV_U.03.07Norm1.0Actueel1 februari 20191 februari 2019detectieUitvoering
  • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1
  • De malware scan wordt op alle omgevingen uitgevoerd.Malwareprotectie serverplatform10 mei 2019 20:48:28De malware scan wordt op alle omgevingen uitgevoerd
    SERV_C.01.02Norm1.0Actueel1 februari 20191 februari 2019richtlijnenControl
    • NEN-ISO/IEC 27002:10.10.2
    De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.Evaluatie richtlijnen servers en besturingssystemen10 mei 2019 20:48:29De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
    SERV_U.12.01Norm1.0Actueel1 februari 20191 februari 2019regelsUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.6.2
    Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (white-list).Beperking van software-installatie10 mei 2019 20:49:33Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan
    SERV_U.04.03Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
    • NEN-ISO/IEC 27002: 12.6.1
    Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
    • de rollen en verantwoordelijkheden in samenhang met beheer van technische kwetsbaarheden vastgesteld;
    • de middelen om technische kwetsbaarheden te bepalen vastgesteld.
    Beheer van serverkwetsbaarheden10 mei 2019 20:50:05Verantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren
    SERV_C.05.05Norm1.0Actueel1 februari 20191 februari 2019rapporterenControlDe analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management.Monitoren van serverplatforms11 juli 2019 14:53:39Eisen aan de inhoud en verspreiding van de loganalyse
    SERV_U.06.04Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
  • SoGP (Standard of Good Practice): NC 1.1.2
  • Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd.Beheer op afstand10 mei 2019 20:49:04Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd
    SERV_U.06.05Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • SoGP (Standard of Good Practice): NC 1.1.2
    Alle externe toegang tot servers vindt versleuteld plaats.Beheer op afstand10 mei 2019 20:47:57Alle externe toegang tot servers vindt versleuteld plaats
    SERV_U.06.01Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • SoGP (Standard of Good Practice): NC 1.6.1
    Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door middel van:
    1. het definiëren en overeenkomen van de doelstellingen en reikwijdte van de geplande werkzaamheden;
    2. het autoriseren van individuele sessies;
    3. het beperken van toegangsrechten (binnen doelstellingen en reikwijdte);
    4. het loggen van alle ondernomen activiteiten;
    5. het gebruiken van unieke authenticatie referenties voor elke implementatie;
    6. het toewijzen van toegangsreferenties aan individuen in plaats van gedeeld;
    7. het intrekken van toegangsrechten en het wijzigen van wachtwoorden onmiddellijk nadat het overeengekomen onderhoud is voltooid;
    8. het uitvoeren van een onafhankelijke beoordeling van onderhoudsactiviteiten op afstand.
    Beheer op afstand10 mei 2019 20:49:59Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd
    SVPNormenkader2.0Concept30 maart 20215 maart 2021
    ”Dit plaatje duidt aan dat deze pagina en/of dit document in bewerking is”
    Deze BIO Thema-uitwerking is in onderhoud


    NB Dit normenkader is in onderhoud zolang er bij de status Concept staat.


    De BIO Thema-uitwerking Serverplatform, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie (UWV/CIP) en Jaap van der Veen (CIP). Het CIP-kernteam heeft dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.


    De volgende leeswijzer geldt voor dit normenkader:

    • Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
    • De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
    • Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
    • Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
    30 maart 2021 15:07:35BIO Thema-uitwerking Serverplatform
    SVP_CNormenkader-aspect1.0Actueel30 maart 20215 maart 2021De onderwerpen die specifiek voor het serverplatform een rol spelen, zijn in Tabel 'Controlobjecten uitgewerkt in het Controldomein' en in Figuur 'Thema Serverplatform - Onderwerpen die binnen het Controldomein een rol spelen' vermeld.
    Thema Serverplatform - Onderwerpen die binnen het Controldomein een rol spelen
    Onderwerpen die binnen het Control domein een rol spelen


    Nr. Relevante beveiligingsobjecten Referentie naar standaarden IFGS
    C.01 Evaluatie van richtlijnen serverplatforms BIO versie 2007: 10.10.2 I
    C.02 Beoordeling technische serveromgeving BIO: 18.2.3 F
    C.03 Logbestanden beheerders BIO: 12.4.3 G
    C.04 Registratie van gebeurtenissen BIO: 12.4.1 G
    C.05 Monitoren van serverplatforms NIST: AU-6 G
    C.06 Beheerorganisatie serverplatforms CIP Domeingroep BIO S
    Serverplatform, Voor het Control domein uitgewerkte Beveiligingsobjecten
    Doelstelling van het Controldomein is om vast te stellen of:
    • de beoogde controls voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van het serverplatform;
    • de infrastructurele diensten functioneel en technisch op het juiste niveau worden gehouden.
    Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.
    Door het ontbreken van noodzakelijke maatregelen binnen de organisatie van de IT-Leverancier is het niet zeker of de ontwikkel- en onderhoud- administratie aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Ook kan dan niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.Control30030 maart 2021 17:04:52Serverplatform Control
    SVP_UNormenkader-aspect1.0Actueel30 maart 20215 maart 2021De onderwerpen die specifiek voor het serverplatform een rol spelen, zijn in Tabel 'Uitvoeringsobjecten uitgewerkt in het uitvoeringsdomein' en Figuur 'Thema Serverplatform - Onderwerpen die binnen het Uitvoeringsdomein een rol spelen' vermeld.
    ”Thema Serverplatform - Onderwerpen die binnen het Uitvoeringsdomein een rol spelen”
    Onderwerpen die binnen het Uitvoeringsdomein een rol spelen


     Nr.   Relevante beveiligingsobjecten   Referentie naar standaarden   IFGS 
     U.01   Bedieningsprocedure   BIO/12.1.1   I 
     U.02   Standaarden voor configuratie van servers   SoGP/SY1.2   I 
     U.03   Malwareprotectie   BIO/12.2.1   F 
     U.04   Beheer van serverkwetsbaarheden   BIO/12.6.1   F 
     U.05   Patch-management   BIO/12.6.1, NCSC/WA   F 
     U.06   Beheer op afstand   BIO/6.2.2 (Afgeleid)   F 
     U.07   Onderhoud van serverapparatuur   BIO/11.2.4   F 
     U.08   Veilig verwijderen of hergebruiken van serverapparatuur   BIO/11.2.7   F 
     U.09   Hardenen van servers   SoGP/SYS1.25 en SYS12.8   G 
     U.10   Serverconfiguratie   SoGP/SY1.2   G 
     U.11   Beveiliging van virtuele servers   SoGP/SY1.3   G 
     U.12   Beperking van software- installatie   BIO/12.6.2   G 
     U.13   Kloksynchronisatie   BIO/12.4.4   G 
     U.14   Ontwerpdocumentatie serverplatform   SoGP/12.4.4   S 
    Serverplatform, Voor het Uitvoeringsdomein uitgewerkte Beveiligingsobjecten
    De doelstelling van het uitvoeringsdomein voor inrichting en exploitatie van het serverplatform is het waarborgen dat de werkzaamheden plaatsvinden overeenkomstig specifieke beleidsuitgangspunten en dat de werking voldoet aan de eisen die door de klant (doelorganisatie) zijn gesteld.Wanneer adequate protectiefuncties voor het serverplatform ontbreken, ontstaan er risico’s op het gebied van virus- en malwarebesmetting, dataverlies of datalekkage.

    Wanneer meer functionaliteit is ingeschakeld dan nodig is voor de bedrijfsvoering, dan nemen risico’s van diefstal of inbreuk toe. Wanneer er onvoldoende zoneringfuncties zijn geactiveerd, kunnen invloeden van buitenaf de dienstverlening via computers of netwerken onmogelijk maken.

    Hiaten in de systeemketens zoals Single points of Failure (SpoF), veroorzaken continuïteitsproblemen en maken 7x24 uur beschikbaarheidgaranties praktisch onmogelijk.
    Uitvoering16 april 2021 14:14:28Serverplatform Uitvoering
    SVP_BNormenkader-aspect1.0Actueel30 maart 20215 maart 2021Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Serverplatform beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

    Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Serverplatform De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

    Binnen de kolom functies behoren objecten te worden opgenomen die ten aanzien van het Serverplatform gerelateerd zijn aan beveiligingsfuncties en beheerprocessen. Deze objecten hebben in dit geval echter meer een operationele karakter, daarom zijn functiegerelateerde objecten in het Uitvoeringsdomein opgenomen. De noodzakelijke beveiligingseisen t.a.v. functies op dit niveau zijn vermeld in het beleid voor ‘Serverplatform’ (B.01). Binnen de gedrag kolom zouden we een beleid ten aanzien van configuratie, parametrisering en toegangsbeleid tot serverplatform kunnen opnemen; dit soort beleidselementen komen echter in dit geval ook voor in het beleid voor ‘Serverplatform’ (B.01) en vandaar dat ook in deze kolom geen objecten zijn vermeld.

    ”Onderwerpen die binnen het Beleid domein een rol spelen”
    Onderwerpen die binnen het Beleid domein een rol spelen


     Nr.   Relevante beveiligingsobjecten   Referentie naar standaarden   IFGS 
     B.01   Beleid voor beveiligde inrichting en onderhoud   BIO: 14.2.1   I 
     B.02   Principes voor inrichten van beveiligde servers   BIO: 14.2.5   I 
     B.03   Serverplatform architectuur   SoGP/SD2.2 (afgeleid uit)   S 
    Serverplatform, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten
    De doelstelling van het beleidsdomein is de conditionele elementen te identificeren die randvoorwaardelijk zijn voor het inrichten, beveiligen en beheersen van de serverplatforms. De hiervoor van belang zijnde beveiligingsobjecten en de daaraan gerelateerde maatregel zijn opgenomen.Als de juiste beleidsaspecten voor de inrichting en het onderhoud van het serverplatform ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van de systemen die op dit serverplatform draaien. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een grote kans op datalekken.Beleid30030 maart 2021 17:05:09Serverplatform Beleid