ISOR/totaaltabel

Uit NORA Online
Naar navigatie springen Naar zoeken springen 
Tabel met alle elementen in het normenkader BIO Thema-uitwerking Serverplatform.
Een element kan zijn: Beveiligingsprincipe, Hoofdstuk normenkader, Norm, Normenkader, Normenkader-aspect, Privacyprincipe
Tip: klik op het pijltje naast 'ID' voor een logische volgorde.
IDElementtypeDeze speciale eigenschap maakt deel uit van SmartCore. Gebruik deze eigenschap niet voor andere doeleinden.VersieaanduidingStatus actualiteitRedactionele wijzigingsdatumPublicatiedatumBeschrijvingToelichtingConformiteitsindicatorCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekGrondslagStellingGrondslag opmerkingenRealiseertAfbeeldingOnderschriftPxAlt-tekstWijzigingsdatum“Wijzigingsdatum <span style="font-size:small;">(Modification date)</span>” is een voorgedefinieerde eigenschap die overeenkomt met de datum van de laatste wijziging van een onderwerp. Deze eigenschap wordt geleverd door Semantic MediaWiki. 
SVP_U.14Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft een document waarin de relatie tussen servers en instellingen van configuraties zijn vastgelegd.

Objecttoelichting

De relatie tussen servers en de instellingen van configuraties moet zijn vastgelegd in een ontwerpdocument.		OntwerpHet ontwerp van een serverplatform behoort te zijn gedocumenteerd.Het hebben van een middel waarmee de vereiste acties genomen kunnen worden in de volgende fase, de inrichting van de server en het serverplatform. Inzichtelijk is waar wel en niet rekening mee is gehouden in het ontwerp.De inrichting van de server en het serverplatform wijkt af van wat vooraf nodig is geacht.UitvoeringStructuur
  • The Standard of Good Practice for Information Security 2018: SY1.1.1
26 oktober 2021 09:27:06Ontwerpdocument
SVP_C.01Beveiligingsprincipe2.1Actueel2 november 202125 oktober 2021==Objectdefinitie==

Betreft systematisch ontwikkelde aanbevelingen voor het achteraf beoordelen van ontwikkelactiviteiten.

Objecttoelichting

Binnen de infrastructuur bevinden zich verschillende servers en besturingssystemen die het fundament vormen voor applicaties. Deze servers en besturingssystemen moeten daarom continu worden onderhouden, gehardend en op een veilige wijze geconfigureerd. Het is van groot belang dat deze servers en besturingssystemen vanwege risicomanagement, periodiek geëvalueerd worden. De evaluatie-activiteiten dienen ondersteund te worden met evaluatierichtlijnen, procedures en instructies. Anders bestaat het risico dat de resultaten van deze controle-activiteiten niet voldoen aan de verwachte eisen. De beheerorganisatiestructuur geeft de samenhang van de ingerichte processen weer.		RichtlijnenRichtlijnen behoren te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.Het adequaat controle-activiteiten en rapportages opstellen gericht op de implementatie en beveiliging van servers en besturingssystemen.De resultaten van de controle-activiteiten voldoen niet aan de verwachte eisen. Het management stuurt niet op afwijkingen.ControlIntentie
  • ISO 27002 2017: 10.10.2
3002 november 2021 12:14:13Richtlijn evaluatie ontwikkelactiviteiten
SVP_U.11Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft een of meer gescheiden logische omgevingen op één fysieke server of serverplatform.

Objecttoelichting

Servervirtualisatie stelt een organisatie in staat om een of meer gescheiden logische omgevingen te creëren op één fysieke server. Bij virtualisatie zijn drie soorten componenten betrokken: een fysieke server, een hypervisor en een of meerdere virtuele servers.


De hypervisor alloceert resources van de fysieke server naar elke onderliggende virtuele server, inclusief Central Processing Unit (CPU), geheugen, harddisk of netwerk. Hiermee zijn de virtuele servers in staat simultaan of geïsoleerd van elkaar te opereren. Deze drie componenten moeten voldoen aan specifieke eisen.		Virtuele servers, Fysieke servers, HypervisorsVirtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisors en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.Het in voldoende mate beveiligen van gevoelige informatie op een virtueel serverplatform.Dat onbevoegden inzicht krijgen in gevoelige informatie.UitvoeringGedrag
  • The Standard of Good Practice for Information Security 2018: SY1.3
26 oktober 2021 08:53:18Virtualisatie serverplatform
SVP_U.01Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft een vastgelegde manier van handelen voor het beheren van serverplatforms.

Objecttoelichting

De taken/activiteiten kunnen gerelateerd zijn aan het starten en afsluiten van de computer, back-up en onderhoud van servers.		BedieningsproceduresBedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.Het waarborgen van een correcte en veilige bediening van serverplatforms.Het optreden van beveiligingsincidenten en/of datalekken en verlies van kennis voor het bedienen van serverplatforms.UitvoeringIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 12.1.1
26 oktober 2021 10:07:18Bedieningsprocedure
SVP_U.07Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft activiteiten voor de instandhouding van de adequate werking en het beveiligingsniveau van een serverplatform.

Objecttoelichting

In deze BIO Thema-uitwerking wordt apparatuur vanuit de ISO 27002 2017 opgevat als het infrastructuurcomponent ‘server’ die periodiek onderhouden dient te worden. Het onderhoud behoort plaats te vinden binnen een tijdsinterval. Servers worden correct onderhouden door bevoegd personeel om te zorgen dat de beschikbaarheid van de dienstverlening en de integriteit hiervan gegarandeerd is.		OnderhoudenServers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen.Het waarborgen van continue beschikbare en integere servers.Aantasting van de beschikbaarheid en integriteit van serversUitvoeringFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 11.2.4
30026 oktober 2021 08:30:35Server-onderhoud
SVP_B.03Beveiligingsprincipe2.1Actueel25 oktober 202125 oktober 2021==Objectdefinitie==

Betreft een modelmatige beschrijving van de wijze waarop serverplatforms zijn ingericht, samenhangen, zijn beveiligd en worden beheerst.

Objecttoelichting

De architectuur van een serverplatform geeft overzicht en inzicht in de wijze waarop de gebieden en objecten behoren te worden beveiligd. Architectuur geeft ook inzicht in de samenhang en samenwerking van beveiligingsmaatregelen. In de architectuur zijn gemaakte ontwerp- en inrichtingskeuzen gedocumenteerd, verantwoord en zijn de gemaakte keuzen onderbouwd.


Documentatie speelt ook een belangrijke rol bij het bepalen van de impact van wijzigingen en het voorkomen van ontwerpfouten. Documentatie moet dan ook na elke wijziging worden bijgewerkt en oude documentatie moet worden gearchiveerd.		architectuurdocumentDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.Een landschap bieden voor een serverplatform dat in samenhang beveiligd is en inzicht geeft in de inrichting van het serverplatform.Onvoldoende sturing hebben op de inrichting van het serverplatform. Bedreigingen worden over het hoofd gezien.BeleidStructuur
  • NIST SP 800-53 Rev. 5 2020 (Security and Privacy Controls for Information Systems and Organizations): PL-8
25 oktober 2021 08:40:37Serverplatform-architectuur
SVP_U.04Beveiligingsprincipe2.1Actueel25 november 202125 oktober 2021==Objectdefinitie==

Betreft een instandhoudingsproces voor het onderzoek naar en het oplossen van technische kwetsbaarheden.

Objecttoelichting

Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt.


Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen:

  • Hoe is de serveromgeving opgebouwd en geconfigureerd?
  • Wat zijn bekende kwetsbaarheden en zwakheden?


Gerelateerd aan kwetsbaarhedenbeheer is het patchmanagementproces. Het ISO 27002-onderwerp ‘Beheer van technische kwetsbaarheden’ (in paragraaf 12.6.1) behandelt wat betreft de maatregelen twee onderwerpen:

  1. Kwetsbaarhedenbeheer (vulnerability-management);
  2. Patchmanagement (zie U.05 Patchmanagement).
In deze BIO Thema-uitwerking worden deze twee onderwerpen apart beschreven.		Technische serverkwetsbaarheden, GeëvalueerdInformatie over technische serverkwetsbaarheden1 behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.Het voorkomen van misbruik van technische kwetsbaarheden en bij blootstelling ervan tijdig passende maatregelen treffen.Kwetsbaarheden in servers worden niet opgemerkt, waardoor er misbruik van gemaakt kan worden.UitvoeringFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 12.6.1
30025 november 2021 15:51:53Technische kwetsbaarhedenbeheer serverplatform
SVP_U.12Beveiligingsprincipe2.1Actueel19 november 202125 oktober 2021==Objectdefinitie==

Betreft systematisch ontwikkelde aanbevelingen, bedoeld om het installeren van programmatuur door eindgebruikers te beperken.

Objecttoelichting

Voor het gebruik van software (door een beheerder) op een server zijn regels opgesteld.		RegelsVoor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.Het voorkomen dat er software wordt geïnstalleerd die schade kan veroorzaken, zoals het weglekken van informatie, verlies van integriteit, andere informatiebeveiligingsincidenten of het schenden van intellectuele-eigendomsrechten.Het introduceren van kwetsbaarheden.UitvoeringGedrag
  • BIO (Baseline Informatiebeveiliging Overheid): 12.6.2
19 november 2021 11:10:49Beperking software-installatie serverplatform
SVP_U.13Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft het synchroon instellen van systeemklokken op verschillende servers.

Objecttoelichting

Om gebeurtenissen uit verschillende componenten te correleren, worden de klokken van de verschillende systemen gelijkgericht en waarmee de timestamps van gebeurtenissen zijn gesynchroniseerd. Dit synchroniseren is het effect van de juiste instelling van tijd op betreffende componenten.


Met het Network Time Protocol (NTP) wordt bereikt dat de tijd op alle servers en andere componenten overeenkomt (zie paragraaf 10.10.6 ‘Synchronisatie van systeemklokken’ in de ISO 27002 2007).		Gedocumenteerd, GesynchroniseerdDe klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gedocumenteerd en gesynchroniseerd met één referentietijdbron.Om de correlatie en analyse van beveiligingsgerelateerde gebeurtenissen en andere geregistreerde gegevens mogelijk te maken en om onderzoeken naar informatiebeveiligingsincidenten te ondersteunen.Onnauwkeurige auditlogbestanden niet kunnen onderzoeken of als bewijs in juridische of disciplinaire zaken belemmeren en de geloofwaardigheid van dat bewijsmateriaal schaden.UitvoeringGedrag
  • BIO (Baseline Informatiebeveiliging Overheid): 12.4.4
30026 oktober 2021 09:19:22Kloksynchronisatie
SVP_U.09Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft het proces van het uitschakelen van overbodige functies van een server.

Objecttoelichting

De standaardconfiguratie van de meeste besturingssystemen is niet ontworpen met beveiliging als de primaire focus. In plaats daarvan zijn standaardinstellingen meer gericht op bruikbaarheid, communicatie en functionaliteit.


Hardening is het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd. Ook servers behoren te worden gehardend. Alle overbodige en niet gebruikte functies, services en accounts behoren van de server(s) te worden verwijderd of te worden uitgeschakeld.		Functies, ToegangVoor het beveiligen van een server worden overbodige functies en ongeoorloofde toegang uitgeschakeld.Het verbeteren van de beveiliging van een server.Misbruik van overbodige en/of niet gebruikte functies, services en accounts.UitvoeringGedrag
  • The Standard of Good Practice for Information Security 2018: SY1.2.5 en SY1.2.8
26 oktober 2021 13:52:46Hardenen server
SVP_U.03Beveiligingsprincipe2.1Actueel25 november 202125 oktober 2021==Objectdefinitie==

Omvat het continu beschermen van serverplatforms tegen schadelijke software.

Objecttoelichting

De organisatie maakt gebruik van malwareprotectie bij ingangs- en uitgangspunten van kritieke informatiesystemen (zoals firewalls, e-mailservers, webservers, proxyservers, servers met externe toegang) en op werkstations, servers of mobiele computerapparatuur op het netwerk.

De organisatie gebruikt deze beschermingsmechanismen om haar servers te beschermen tegen schadelijke code en om schadelijke code te detecteren en te neutraliseren.		Preventie, Detectie,HerstelTer bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.Het zorgen dat informatie op servers wordt beschermd tegen malware.Malware wordt niet opgespoord en aangetroffen malware wordt niet of onvoldoende hersteld.UitvoeringFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1
25 november 2021 15:36:52Malwareprotectie serverplatform
SVP_C.06Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordlijkheden en bevoegdheden voor de beheersing van de serverplatformomgevingen.

Objectoelichting

Voor het adequaat beheersen en beheren van servers en serverplatforms zou een beheersorganisatiestructuur moeten zijn vastgesteld, waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.		Beveiligingsfunctionaris, BeveiligingsbeleidBinnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.Het invullen, coördineren en borgen van de beheersing van servers en serverplatforms.De beheersorganisatie is niet effectief ingericht waardoor servers en serverplatforms onvoldoende zijn beveiligd.ControlStructuur
  • CIP-netwerk
26 oktober 2021 09:32:05Beheersorganisatie servers en serverplatforms
SVP_U.06Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft een instandhoudingsproces van servers vanuit een externe niet-vertrouwde omgeving.

Objecttoelichting

Toegang tot de servers is beperkt tot geautoriseerde personen en informatiesystemen.

Onder bepaalde voorwaarden is het beheerders ‘van buiten’ de door de organisatie beheerde netwerken, toegestaan servers te benaderen.		RichtlijnenRichtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.Voorkomen van verlies, schade, diefstal of in gevaar brengen van informatie en andere bijbehorende assets en onderbreking van de activiteiten van de organisatie.De server is onbetrouwbaar en functioneert niet naar behoren.UitvoeringFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 6.2.2
30026 oktober 2021 10:34:56Beheer op afstand
SVP_C.05Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Omvat het bewaken en onderkennen van afwijkingen op beleidsregels.

Objecttoelichting

Onder monitoren wordt verstaan: reviewen, analyseren en rapporteren. Het monitoren van gebruikers- en beheerdersactiviteiten heeft tot doel ongeautoriseerde toegangspogingen tot servers en serverplatforms tijdig te signaleren en met de ernst van de signalering acties te ondernemen. De monitoringsfunctie moet voorbehouden zijn aan een daartoe verantwoordelijke functionaris. Monitoring vindt mede plaats met geregistreerde gegevens (logging). De geregistreerde gegevens dienen te worden geanalyseerd en te worden gerapporteerd (alerting). Alerting kan ook geautomatiseerd plaats vinden op basis van vastgestelde overschrijding van drempelwaarden.		Reviewt/analyseert, rapporterenDe organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten op servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.Het vaststellen van onjuist gebruik en verdachte activiteiten op servers en besturingssystemen waarmee het management tijdig kan bijsturen.Onvoldoende mogelijkheden om tijdig bij te sturen om organisatorisch en technisch te (blijven) voldoen aan de doelstellingen.ControlGedrag
  • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.07
26 oktober 2021 11:05:27Monitoring
SVP_C.04Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Omvat het vastleggen van informatiebeveiligingsgerelateerde gebeurtenissen.

Objecttoelichting

Op de servers en besturingssystemen vinden automatische en handmatige activiteiten plaats. Vanuit beveiligingsoptiek is het van belang om deze activiteiten te registreren in logboeken en te controleren.		LogbestandenLogbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.Het verzamelen van bewijs om achteraf te kunnen beoordelen of er ongeoorloofde acties hebben plaatsgevonden op servers en besturingssystemen.Ongeoorloofde acties op servers en besturingssystemen worden niet opgemerkt. Bij wel opmerken, is er geen bewijs voorhanden.ControlGedrag
  • BIO (Baseline Informatiebeveiliging Overheid): 12.4.1
30026 oktober 2021 09:55:48Logging
SVP_C.03Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft in bestanden vastgelegde beheeractiviteiten.

Objecttoelichting

Logging is het proces voor het registreren van technische activiteiten en gebeurtenissen. Hiermee kunnen achteraf fouten of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd. Het loggen van activiteiten spitst zich toe tot de bewaking van rechtmatigheid van toegekende rechten en het gebruik hiervan.		LogbestandenActiviteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.Achteraf kunnen fouten en/of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd.Schade door het niet opmerkingen van fouten en/of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten.ControlGedrag
  • BIO (Baseline Informatiebeveiliging Overheid): 12.4.3
26 oktober 2021 09:51:47Logbestanden beheerders
SVP_U.02Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft een set aan documenten met erkende afspraken, specificaties of criteria over configuraties en parametrisering van serverinstellingen.

Objecttoelichting

Standaarden voor de configuratie van servers representeren documenten waarin afspraken, specificaties of criteria zijn vastgelegd voor configuraties en parametrisering van serverinstellingen.		StandaardenHet serverplatform is geconfigureerd volgens gedocumenteerde standaarden.Dat een serverplatform correct werkt met de vereiste beveiligingsinstellingen, dat de configuratie niet wordt gewijzigd door ongeautoriseerden en het voorkomen van onjuiste wijzigingen.De server is niet of onvoldoende geconfigureerd voor de functionaliteit binnen de IT-omgeving.UitvoeringIntentie
  • The Standard of Good Practice for Information Security 2018: SY1.2
26 oktober 2021 10:11:57Standaarden voor serverconfiguratie
SVP_B.02Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft fundamentele uitgangspunten voor het veilig inrichten van een serverplatform.

Objecttoelichting

Bij het inrichten van een beveiligde server behoren beveiligingsprincipes in acht te worden genomen. In de standaard ISO 27002 2017 zijn twee principes expliciet genoemd: ‘security by design’ en ‘defence in depth’. In andere baselines (zoals de The Standard of Good Practice for Information Security 2018 (SoGP)) zijn verschillende andere van belang zijnde inrichtingsprincipes te vinden.		PrincipesPrincipes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.Het zorgen dat servers betrouwbaar zijn gedurende alle inrichtingsverrichtingen van servers.Bij de inrichting van servers zijn niet alle vereiste beveiligingsprincipes meegenomen.BeleidIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 14.2.5
26 oktober 2021 11:01:59Inrichtingsprincipes voor serverplatform
SVP_B.01Beveiligingsprincipe2.1Actueel2 november 202125 oktober 2021==Objectdefinitie==

Betreft het resultaat van een besluitvorming over het onderhouden van een serverplatform.

Objecttoelichting

De ISO 27002 2017 formuleert ‘beveiligd ontwikkelen’ in paragraaf 14.2.1 ‘Beleid voor beveiligd ontwikkelen’ als een eis voor het opbouwen van een beveiligde dienstverlening, software, systemen en architectuur.


In deze BIO Thema-uitwerking wordt bij het object ‘Beleid voor beveiligde inrichting en onderhoud’ inrichtings- en onderhoudsaspecten van serverplatform benadrukt. In het beleid worden onder andere standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van servers.		RegelsVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.Het beheersen van de beveiligde inrichting en onderhoud van het serverplatform.Onvoldoende mogelijkheden om sturing te geven aan de effectieve en betrouwbare inrichting van een serverplatform en hierover een verantwoordingsrapportage te laten afgeven.BeleidIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 14.2.1
3002 november 2021 10:01:13Beleid voor beveiligde inrichting en onderhoud
SVP_U.08Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft het veilig verwijderen of hergebruiken van serverapparatuur.

Objecttoelichting

Opslagmedia van apparatuur bevat vaak vertrouwelijke informatie. Wanneer servers buiten gebruik worden gesteld of opnieuw worden ingezet, moet deze informatie veilig verwijderd zijn of worden.		Opslagmedia, GeverifieerdAlle onderdelen van servers die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Het waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Informatie met een vertrouwelijk karakter komt in handen van onbevoegden.UitvoeringFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 11.2.7
26 oktober 2021 08:38:33Verwijderen of hergebruiken serverapparatuur
SVP_U.10Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Betreft het instellen van systeemfuncties van een serverplatform.

Objecttoelichting

Serverplatforms hebben verschillende features en bieden een veelheid van functies om services te kunnen leveren. Om serverplatforms veilig te laten functioneren, behoort elk serverplatform conform bepaalde standaarden en procedures te zijn geconfigureerd.		Geconfigureerd, OngeautoriseerdServerplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.Het veilig laten functioneren van serverplatforms.Serverplatforms functioneren niet zoals vereist en zijn niet/onvoldoende beschermd tegen ongeautoriseerd en incorrecte updates.UitvoeringGedrag
  • The Standard of Good Practice for Information Security 2018: SY1.2
30026 oktober 2021 08:49:18Serverconfiguratie
SVP_U.05Beveiligingsprincipe2.1Actueel25 november 202125 oktober 2021==Objectdefinitie==

Betreft een besturingsproces voor het verwerven, testen en installeren van patches op een computersysteem.

Objecttoelichting

Patchmanagement is het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem. Een solide updatemechanisme is essentieel om voldoende beschermd te zijn tegen bekende beveiligingsproblemen in software.


De noodzaak van het patchen staat vaak niet ter discussie. Vaak ontstaat echter wel discussie over de urgentie waarmee patches moeten worden uitgevoerd. De ernst van de kwetsbaarheid bepaalt de noodzaak om de tijdsduur tussen het uitkomen van een patch en het implementeren van een patch zo kort mogelijk te houden. Daarom is het van belang vast te stellen welke doelstelling en prioriteit met patchmanagement worden nagestreefd. Het kan voorkomen dat systemen die niet meer ondersteund worden, (tijdelijk) operationeel gehouden moeten worden. In dat geval is het van belang om te weten welke systemen dat zijn en welke aanvullende maatregelen getroffen zijn om deze systemen voor het uitbuiten van kwetsbaarheden te behoeden, zodat inzicht bestaat over het al of niet uitvoeren van de patch op deze systemen.		Procesmatig, Procedureel, RichtlijnenPatchmanagement is procesmatig en procedureel opgezet en wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.Het zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.De stabiliteit en betrouwbaarheid van servers komt in gevaar.UitvoeringFunctie
  • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.09
25 november 2021 15:55:44Patchmanagement serverplatform
SVP_C.02Beveiligingsprincipe2.1Actueel26 oktober 202125 oktober 2021==Objectdefinitie==

Omvat de evaluatie van de mate waarin de serveromgeving voldoet aan de vooraf gestelde technische eisen.

Objecttoelichting

Het is noodzakelijk om de technische omgeving regelmatig te beoordelen om de beveiliging doeltreffend te kunnen beheersen. Hiertoe dienen periodiek zowel de organisatorische als technische aspecten beoordeeld te worden, zoals: de toepassing van het geformuleerd inrichtingsbeleid voor servers, serverplatformarchitectuur, taken en verantwoordelijkheden, gebruik van technische middelen, frequentie, controle aanpak en inschakelen van externe specialisten. Als resultaat dient een rapportage van bevindingen aan het management te worden uitgebracht.		NalevingTechnische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor servers en besturingssystemen.Het vaststellen of de technische serveromgevingen voor servers en besturingssystemen afdoende zijn beveiligd.Kwetsbaarheden in technische serveromgevingen voor servers en besturingssystemen worden niet opgemerkt.ControlFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 18.2.3
30026 oktober 2021 09:46:54Beoordeling technische serveromgeving
SVP_INLHoofdstuk normenkader2.0Actueel2 november 202125 oktober 2021Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op de controls uit de Baseline Informatiebeveiliging Overheid (BIO), die gebaseerd is op de NEN-EN-ISO/IEC 27002: 2017 (hierna genoemd ISO 27002). Er wordt ook gebruik gemaakt van andere best practices zoals: The Standard of Good Practice for Information Security (SoGP) 2018 en van de National Institute of Standards and Technology (NIST).


Dit kader dient evenals andere BIO Thema-uitwerkingen als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur.

Opzet BIO Thema-uitwerking

De BIO Thema-uitwerking Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: structuur en objecten. De structuur van deze BIO Thema-uitwerkingdocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van controls en onderliggende maatregelen zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd met een (BUC-)lagenstructuur.


Deze thema-uitwerking volgt de standaard opzet voor BIO Thema-uitwerkingen:

Scope en begrenzing serverplatform

In deze BIO Thema-uitwerking is de scope van het begrip serverplatform beperkt tot de basisfunctionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: server-hardware, virtualisatietechnologie en besturingssysteem. Organisaties zullen met deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden.


De thema-uitwerking beschrijft niet de kenmerken van specifieke typen servers, zoals: bestandserver, applicatieserver, webserver, mailserver of databaseserver.


De objecten voor serverplatform komen direct of indirect uit de BIO of andere best practices. Bijvoorbeeld de vertaling van de BIO-titel Beleid voor beveiligd ontwikkelen (zie Beleid voor beveiligde inrichting en onderhoud) naar het object voor serverplatforms wordt Beleid voor beveiligde inrichting en onderhoud. De BIO-titel Principes voor engineering van beveiligde systemen wordt het object Inrichtingsprincipes voor serverplatform (zie Inrichtingsprincipes voor serverplatform).


De begrenzing van dit document is in onderstaande afbeelding weergegeven.

”Relatie BIO Thema-uitwerking met aanpalende documenten”
Relatie BIO Thema-uitwerking met aanpalende documenten

Context serverplatform

Servers zijn computers, die via werkstations (clients), een of meerdere diensten aan eindgebruikers of aan andere computersystemen beschikbaar stellen. Voorbeelden van servers zijn: fileserver, database-server, mailserver, webserver en File Transfer Protocol (FTP)-server. Het kan ook gerelateerd zijn aan software die deze dienst mogelijk maakt: accepteert verzoeken van gebruikers en verwerkt deze. Aan een server hangt een of meerdere clients. Onderstaande afbeelding geeft een globale context van enkele typen servers en hoe ze in relatie staan met beleids- en beheersingsaspecten.


”Context thema Serverplatform”
Context van het thema Serverplatform


Een externe gebruiker logt bijvoorbeeld aan op een webserver vanuit het internet. Dit type server geeft de relevante gebruikersgegevens door aan een portal-toegangsserver, die op zijn beurt applicatieve diensten vanuit backoffice-servers beschikbaar stelt. De onderste gebruiker in de afbeelding is een medewerker van een vertrouwde partij en zoekt via een semi-vertrouwd kanaal informatie op een webserver van de partnerorganisatie. De interne gebruiker logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er ook sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het besturingssysteem.		29 november 2021 14:04:40BIO Thema Serverplatform - Inleiding
SVP_INL BSHoofdstuk normenkader2.1Actueel26 oktober 202125 oktober 2021Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in drie domein: beleid, uitvoering en control.


De vragen die hierbij een rol spelen, zijn:

  1. Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  2. Welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  3. Welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?


Onderstaande afbeelding geeft de positionering weer van servers binnen de lagenstructuur binnen het uitvoeringsdomein. Die functieblokken bevatten op hun beurt beveiligingsmaatregelen, die vanuit de normatiek geduid worden als beveiligingsobjecten.


”Gelaagdheid serverplatform met enkele beveiligingsobjecten”
Gelaagdheid serverplatform met enkele beveiligingsobjecten

Vaststellen beveiligingsobjecten voor serverplatform

De afbeeldingen uit het Beleidsdomein, Uitvoeringsdomein en Control-domein geven een overzicht van alle relevante beveiligingsobjecten voor het thema Serverplatform, afkomstig uit de Baseline Informatiebeveiliging Overheid (BIO) die gebaseerd is op de ISO 27002. De BIO volgt dezelfde hoofdstukindeling en controlteksten.


Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: SoGP, NIST en ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen van het Nationaal Cyber Security Centrum (NCSC).

Globale relaties tussen geïdentificeerde beveiligingsobjecten

Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties voor het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: beleid, uitvoering en control. Deze objecten worden in Beleidsdomein, Uitvoeringsdomein en Control-domein verder toegelicht en uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders.

Beleiddomein

Dit domein geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moet voldoen.

Uitvoeringsdomein

De keuze van objecten uit de ISO 27002 voor het thema Serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan serverplatform:

  • Initiële installatie, De initiële installatie wordt uitgevoerd met richtlijnen en procedures, bijvoorbeeld: bedieningsprocedure (ISO 27002-terminologie).
  • Beveiligings- en beheerfuncties, De beveiligingsfunctie is gerelateerd aan protectiemechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfunctie is gerelateerd aan enkele processen, zoals: server-onderhoud en beheer van kwetsbaarheden.
  • Feature-configuratie, Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om het beveiligingsniveau te kunnen garanderen.
  • Structuur en ontwerp, De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerpdocument worden vastgelegd.

Control-domein

Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.		26 oktober 2021 13:35:33BIO Thema Serverplatform - Beveiligingsobjecten serverplatform
SVP_TOEL DOBHoofdstuk normenkader1.0Actueel8 april 20211 februari 2019.
ID Relevante beveiligingsobjecten Omschrijving
B.01 Beleid voor(beveiligd) onderhouden van serverplatforms Het resultaat van de besluitvorming ten aanzien van het onderhoud van serverplatforms die het verantwoordelijk management van een organisatie heeft vastgelegd.
B.02 Principes serverplatform beveiliging Principiële uitgangspunten voor het inrichten van serverplatforms, zoals: “Security by design” en “Defense in depth".
B.03 Serverplatform Architectuur Raamwerk en/of blauwdrukken waarmee wordt aangegeven op welke wijze serverplatforms zijn ingericht, samenhangen, beveiligd en beheerst.
U.01 Bedieningsprocedure Een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms.
U.02 Standaarden voor configuratie servers Documenten waarin afspraken zijn vastgelegd ten aanzien van configuraties en parametrisering serverinstellingen.
U.03 Malwareprotectie Beschermingsmechanismen om servers te beschermen tegen schadelijke code en om schadelijke code te detecteren en te neutraliseren.
U.04 Beheer van server kwetsbaarheden Proactieve beveiliging van servers door het verwerven van inzicht in de kwetsbaarheden en zwakheden in de software die op de server zijn geïnstalleerd.
U.05 Patch-management Het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem.
U.06 Beheer op afstand Het beheer van server door beheerders vanuit een niet-vertrouwde omgeving.
U.07 Onderhoud apparatuur Het actualiseren van configuraties van een serverplatform binnen een tijdsinterval.
U.08 Veilig verwijderen of hergebruiken van apparatuur Het opschonen van apparatuur en het veilig stellen van data op de apparatuur.
U.09 Hardenen van servers Het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd.
U.10 Serverconfiguratie Het conform de vereisten instellen van de verschillende features van serverplatforms.
U.11 Virtueel serverplatform Het beschikbaar stellen van één of meer gescheiden ‘logische’ omgevingen op één fysieke server.
U.12 Beperking software installatie Het stellen van regels voor het installeren op servers of serverplatforms.
U.13 Kloksynchronisatie Het gelijkrichten van klokken op verschillende servers.
U.14 Ontwerpdocumentatie Een document waarin de relatie tussen servers en de instellingen van configuraties zijn vastgelegd.
C.01 Evaluatierichtlijnen serverplatforms Richtlijnen die evaluatie activiteiten van servers ondersteunen.
C.02 Beoordeling technische serveromgeving Het proces van beoordelen op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.
C.03 Logbestandenbeheerders Het vastleggen van activiteiten van beheerders.
C.04 Registratiegebeurtenissen Het proces van registreren van gebeurtenissen op een server vanuit beveiligingsoptiek.
C.05 Monitorenservers en besturingssystemen Het proces van bewaken, reviewen, analyseren van vastgelegde gebeurtenissen en het rapporteren hierover.
C.06 Beheerorganisatieservers en besturingssystemen De adequaat gepositioneerde organisatorische eenheid die verantwoordelijk is voor de beheersing van de serverplatforms.
Serverplatform, Definiëring/omschrijving van beveiligingsobjecten
8 april 2021 10:32:17BIO Thema Serverplatform - Definiëring en omschrijving van beveiligingsobjecten
SVP_U.07.01Norm2.1Actueel25 oktober 202125 oktober 2021OnderhoudenUitvoeringFunctie
  • ISO 27002 2017: 11.2.4a t/m d en f
Het onderhoud van servers wordt uitgevoerd met richtlijnen die invulling geven aan de volgende eisen:
  • Onderhoud wordt uitgevoerd volgens de door de leverancier aanbevolen intervallen voor servicebeurten.
  • Alleen bevoegd onderhoudspersoneel voert reparaties en onderhoudsbeurten uit.
  • Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt een registratie bijgehouden.
  • Voor onderhoud vanuit interne of externe locaties worden passende maatregelen getroffen.
  • Voordat servers na onderhoud weer in bedrijf worden gesteld, vindt een inspectie plaats om te waarborgen dat niet is geknoeid met de server en dat deze nog steeds of weer goed functioneert.
Server-onderhoud25 oktober 2021 17:07:15Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen
SVP_C.01.03Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenControlIntentie
  • CIP-netwerk
    		• De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Richtlijn evaluatie ontwikkelactiviteiten25 oktober 2021 10:04:14Richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie
    SVP_U.09.03Norm2.1Actueel25 oktober 202125 oktober 2021ToegangUitvoeringGedrag
    • The Standard of Good Practice for Information Security 2018: SY1.2.8
    		Servers worden beschermd tegen ongeoorloofde toegang doordat:
    • onnodige of onveilige gebruikersaccounts zijn verwijderd;
    • belangrijke beveiliging gerelateerde parameters zijn gewijzigd;
    • time-out faciliteiten worden gebruikt, die:
      • automatisch na een vooraf bepaalde periode van inactiviteit sessies sluiten en een blanco scherm tonen op de beheerschermen;
      • vereisen dat opnieuw wordt ingelogd voordat een beheerscherm zich herstelt.
    		Hardenen server25 oktober 2021 17:12:16Servers worden beschermd tegen ongeoorloofde toegang
    SVP_U.04.02Norm2.1Actueel25 oktober 202125 oktober 2021Technische serverkwetsbaarhedenUitvoeringFunctie
  • ISO 27002 2017: 12.6.1
    		• Voor een doeltreffende kwetsbaarhedenanalyse van serverplatforms en servers is informatie aanwezig over beschikbaarheid van:
    • (onderlinge) afhankelijkheden;
    • software ten aanzien van versienummers en toepassingsstatus;
    • verantwoordelijken voor de software.
    		Technische kwetsbaarhedenbeheer serverplatform25 oktober 2021 16:43:45Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse
    SVP_U.03.06Norm2.1Actueel25 oktober 202125 oktober 2021DetectieUitvoeringIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1.4
    		• Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server moeten worden opgeslagen.Malwareprotectie serverplatform25 oktober 2021 16:37:57Servers en hiervoor gebruikte media worden routinematig gescand op malware
    SVP_C.05.02Norm2.1Actueel25 oktober 202125 oktober 2021Reviewt/analyseertControlGedrag
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.07.05
    		De verzamelde log-informatie wordt in samenhang geanalyseerd.Monitoring25 oktober 2021 10:28:27De verzamelde loginformatie wordt in samenhang geanalyseerd
    SVP_C.05.03Norm2.1Actueel25 oktober 202125 oktober 2021Reviewt/analyseertControlGedrag
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.07.08
    		Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd.Monitoring25 oktober 2021 10:28:53Eisen aan de periodieke rapportage over de analyse van de logbestanden
    SVP_U.03.01Norm2.1Actueel25 oktober 202125 oktober 2021PreventieUitvoeringFunctie
    • ISO 27002 2017: 12.2.1a
    		Een formeel beleid wordt toegepast waarin het ongeautoriseerde gebruik van software is verboden.Malwareprotectie serverplatform25 oktober 2021 16:34:59In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software
    SVP_U.12.03Norm2.1Actueel25 oktober 202126 oktober 2021RegelsUitvoeringGedrag
    • ISO 27002 2017: 12.6.2
    		Het principe van least-privilege wordt toegepast.Beperking software-installatie serverplatform26 oktober 2021 07:04:28Het principe van least-privilege wordt toegepast
    SVP_U.13.02Norm2.1Actueel26 oktober 202125 oktober 2021GesynchroniseerdUitvoeringGedrag
    • ISO 27002 2017: 12.4.4
    		De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd met externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd.Kloksynchronisatie26 oktober 2021 07:01:29De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd.
    SVP_U.06.02Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenUitvoeringFunctie
    • The Standard of Good Practice for Information Security 2018: NC1.6.4
    		Het op afstand onderhouden van servers wordt strikt beheerd door:
    • het verifiëren van de bron van de verbinding op afstand;
    • het bepalen van de toestemming voordat toegang wordt verleend voor de connectiviteit;
    • het beperken van het aantal gelijktijdige externe verbindingen;
    • het bewaken van activiteiten gedurende de gehele duur van de verbinding;
    • het uitschakelen van de verbinding zodra de geautoriseerde activiteit voltooid is.
    		Beheer op afstand25 oktober 2021 17:03:38Het op afstand onderhouden van servers wordt strikt beheerd
    SVP_U.09.01Norm2.1Actueel26 oktober 202125 oktober 2021FunctiesUitvoeringGedrag
  • The Standard of Good Practice for Information Security 2018: SY1.2.5
    		• Een servers is zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
    • niet-essentiële en overbodige (redundant) services;
    • het kunnen uitvoeren van gevoelige transacties en scripts;
    • krachtige beheer-hulpmiddelen;
    • het ‘run’-commando en ‘command’-processors;
    • de ‘auto-run’-functie.
    		Hardenen server26 oktober 2021 13:53:39Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld
    SVP_B.03.01Norm2.1Actueel25 oktober 202125 oktober 2021ArchitectuurdocumentBeleidStructuur
  • The Standard of Good Practice for Information Security 2018: TS1.1.9a, c en d
    		• Van het in te richten serverplatform is een actueel architectuurdocument opgesteld. Dit document:
    • heeft een eigenaar;
    • is voorzien van een datum en versienummer;
    • bevat een documenthistorie (wat is wanneer en door wie aangepast);
    • is actueel, juist en volledig;
    • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd;
    • wordt actief onderhouden.
    		Serverplatform-architectuur25 oktober 2021 08:42:04Eisen aan het architectuurdocument van het in te richten van het serverplatform
    SVP_U.04.04Norm2.1Actueel25 oktober 202125 oktober 2021Technische serverkwetsbaarhedenUitvoeringFunctie
  • ISO 27002 2017: 12.6.1k
    		• Voor de technische kwetsbaarheden zijn voor een doeltreffend beheerproces de activiteiten afgestemd op het incidentbeheerproces.Technische kwetsbaarhedenbeheer serverplatform25 oktober 2021 16:45:14De activiteiten zijn afgestemd op het incident
    SVP_U.04.01Norm2.1Actueel25 oktober 202125 oktober 2021Technische serverkwetsbaarhedenUitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 12.6.1.1
    		Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Technische kwetsbaarhedenbeheer serverplatform25 oktober 2021 16:42:56Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen
    SVP_C.03.01Norm2.1Actueel25 juli 202125 oktober 2021LogbestandenControlGedrag
    • ISO 27002 2017: 12.4.3
    		De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd.Logbestanden beheerders25 oktober 2021 10:21:54Eisen aan het beschermen van de logbestanden
    SVP_C.01.01Norm2.1Actueel25 oktober 202131 oktober 2021RichtlijnenControlIntentie
    • CIP-netwerk
    		De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen.Richtlijn evaluatie ontwikkelactiviteiten25 oktober 2021 10:02:26Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen
    SVP_U.03.05Norm2.1Actueel25 oktober 202125 oktober 2021PreventieUitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1.1
    		Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en het principe ‘need-of-use’.Malwareprotectie serverplatform25 oktober 2021 16:38:56Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd
    SVP_U.03.07Norm2.1Actueel20 juli 202125 oktober 2021DetectieUitvoeringIntentie
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1.5
    		De malware-scan wordt op alle omgevingen uitgevoerd.Malwareprotectie serverplatform25 oktober 2021 16:39:41De malware scan wordt op alle omgevingen uitgevoerd
    SVP_C.01.02Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenControlIntentie
    • CIP-netwerk
    		De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle-activiteiten.Richtlijn evaluatie ontwikkelactiviteiten25 oktober 2021 10:03:27De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
    SVP_U.06.03Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenUitvoeringFunctie
    • The Standard of Good Practice for Information Security 2018: SY1.1.2c
    		Het serverplatform is zodanig ingericht, dat dit op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden.Beheer op afstand25 oktober 2021 17:04:24Het serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd
    SVP_B.01.02Norm2.1Actueel25 oktober 202125 oktober 2021RegelsBeleidIntentie
    • The Standard of Good Practice for Information Security 2018: SY1.2.1
    		In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
    • het toepassen van richtlijnen/standaarden voor de configuratie van servers en besturingssystemen;
    • het gebruik van hardeningsrichtlijnen;
    • het toepassen van standaard images;
    • het beperken van toegang tot krachtige faciliteiten en instellingen voor hostparameter;
    • het beschermen tegen ongeautoriseerde toegang.
    		Beleid voor beveiligde inrichting en onderhoud25 oktober 2021 08:27:36Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
    SVP_U.06.05Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenUitvoeringFunctie
  • CIP-netwerk
    		• Alle externe toegang tot servers vindt versleuteld plaats.Beheer op afstand25 oktober 2021 17:05:56Alle externe toegang tot servers vindt versleuteld plaats
    SVP_U.06.01Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenUitvoeringFunctie
    • The Standard of Good Practice for Information Security 2018: NC1.6.1
    		Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door:
    • het definiëren en overeenkomen van de doelstellingen en reikwijdte van de geplande werkzaamheden;
    • het autoriseren van individuele sessies;
    • het beperken van toegangsrechten (binnen doelstellingen en reikwijdte);
    • het loggen van alle ondernomen activiteiten;
    • het gebruiken van unieke authenticatiereferenties voor elke implementatie;
    • het toewijzen van toegangsreferenties aan individuen in plaats van gedeeld;
    • het intrekken van toegangsrechten en het wijzigen van wachtwoorden onmiddellijk nadat het overeengekomen onderhoud is voltooid;
    • het uitvoeren van een onafhankelijke beoordeling van onderhoudsactiviteiten op afstand.
    		Beheer op afstand25 oktober 2021 17:02:54Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd
    SVP_U.12.01Norm2.1Actueel26 oktober 202125 oktober 2021RegelsUitvoeringGedrag
  • BIO (Baseline Informatiebeveiliging Overheid): 12.6.2.1
    		• Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (whitelist).Beperking software-installatie serverplatform26 oktober 2021 07:02:37Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan
    SVP_U.04.03Norm2.1Actueel25 oktober 202125 oktober 2021Technische serverkwetsbaarhedenUitvoeringFunctie
    • ISO 27002 2017: 12.6.1a
    		Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
    • de rollen en verantwoordelijkheden in samenhang met beheer van technische kwetsbaarheden vastgesteld;
    • de middelen om technische kwetsbaarheden te bepalen, vastgesteld.
    		Technische kwetsbaarhedenbeheer serverplatform25 oktober 2021 16:44:34Verantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren
    SVP_C.05.05Norm2.1Actueel25 oktober 202125 oktober 2021RapporterenControlGedrag
  • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.07.09
    		• De analyserapportage bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met verantwoordelijk management.Monitoring25 oktober 2021 10:29:42Eisen aan de inhoud en verspreiding van de loganalyse
    SVP_U.06.04Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenUitvoeringFunctie
    • CIP-netwerk
    		Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd.Beheer op afstand25 oktober 2021 17:05:12Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd
    SVP_C.04.01Norm2.1Actueel25 oktober 202125 oktober 2021LogbestandenControlGedrag
    • ISO 27002 2017: 12.4.1a t/m e, g, h, l, m en n
    		Logbestanden van gebeurtenissen bevatten, voor zover relevant:
    • gebruikersidentificaties;
    • systeemactiviteiten;
    • data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie;
    • identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
    • systeemconfiguratieveranderingen;
    • gebruik van speciale bevoegdheden;
    • alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
    • activering en de-activering van beschermingssystemen, zoals antivirussystemen en inbraakdetectiesystemen;
    • verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.
    		Logging25 oktober 2021 10:24:25Eisen aan de inhoud van de logbestanden van gebeurtenissen
    SVP_C.05.04Norm2.1Actueel25 oktober 202125 oktober 2021Reviewt/analyseertControlGedrag
  • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.07.09
    		• De rapportages uit de beheerdisciplines compliancy-management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico’s geanalyseerd en geëvalueerd.Monitoring25 oktober 2021 10:29:22Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s
    SVP_B.03.02Norm2.1Actueel25 oktober 202125 oktober 2021ArchitectuurdocumentBeleidStructuur
    • The Standard of Good Practice for Information Security 2018: TS1.1.5
    		In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van serverplatforms.Serverplatform-architectuur25 oktober 2021 08:43:28In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen
    SVP_U.03.02Norm2.1Actueel25 oktober 202125 oktober 2021PreventieUitvoeringFunctie
    • ISO 27002 2017: 12.2.1h
    		Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware.Malwareprotectie serverplatform25 oktober 2021 16:35:55Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links
    SVP_U.05.05Norm2.1Actueel25 oktober 202125 oktober 2021ProcedureelUitvoeringFunctie
    • CIP-netwerk
    		De patchmanagementprocedure is actueel en beschikbaar.Patchmanagement serverplatform25 oktober 2021 16:53:03De Patchmanagement procedure is actueel en beschikbaar
    SVP_U.04.05Norm2.1Actueel25 oktober 202125 oktober 2021Technische serverkwetsbaarhedenUitvoeringFunctie
    • The Standard of Good Practice for Information Security 2018: TM1.1.6
    		Het kwetsbaarhedenbeheerproces wordt uitgevoerd voor:
    • de identificatie van bekende technische kwetsbaarheden;
    • een hoog-over-inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie;
    • de relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen;
    • het prioriteit geven aan herstel van onderkende kwetsbaarheden.
    		Technische kwetsbaarhedenbeheer serverplatform25 oktober 2021 16:45:57Het kwetsbaarheden beheerproces
    SVP_U.11.01Norm2.1Actueel26 oktober 202125 oktober 2021Fysieke serversUitvoeringGedrag
  • The Standard of Good Practice for Information Security 2018: SY1.3.4
    		• Fysieke servers die worden gebruikt om virtuele servers te hosten, worden beschermd tegen:
    • onbeheerde en ad hoc-inzet van virtuele servers (zonder juiste procedures aanvraag, creëren en schonen);
    • overbelasting van resources ((CPU), geheugen en harde schijf) door het stellen van een limiet voor het aanmaken van het aantal virtuele servers op een fysieke host server.
    		Virtualisatie serverplatform26 oktober 2021 07:06:08Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd
    SVP_U.05.04Norm2.1Actueel25 oktober 202125 oktober 2021ProcesmatigUitvoeringFunctie
  • ISO 27002 2017: 12.6.1g
  • The Standard of Good Practice for Information Security 2018: TM1.1.10
    		• Het patchbeheerproces bevat methoden om:
    • patches te testen en te evalueren voordat ze worden geïnstalleerd;
    • patches te implementeren op servers die niet toegankelijk zijn via het bedrijfsnetwerk;
    • om te gaan met mislukte of niet uitgevoerde patches;
    • te rapporteren over de status van het implementeren van patches;
    • acties te bepalen als een technische kwetsbaarheid niet met een patch kan worden hersteld of een beschikbare patch niet kan worden aangebracht.
    		Patchmanagement serverplatform25 oktober 2021 16:48:44Eisen aan het Patchmanagement
    SVP_B.02.02Norm2.1Actueel25 oktober 202125 oktober 2021PrincipesBeleidIntentie
  • The Standard of Good Practice for Information Security 2018: SY1.1.3
    		• Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
    • defence in depth (beveiliging op verschillende lagen);
    • secure by default;
    • least privilege (minimaal toegangsniveau);
    • fail secure, waarbij informatie door een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd;
    • eenduidige naamgevingsconventie;
    • minimalisatie van single points of failure.
    		Inrichtingsprincipes voor serverplatform25 oktober 2021 08:37:19Beveiligingsprincipes voor het beveiligd inrichten van servers
    SVP_U.01.02Norm2.1Actueel25 oktober 202125 oktober 2021BedieningsproceduresUitvoeringIntentie
  • ISO 27002 2017: 12.1.1
    		• Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door het hoger management goedgekeurd.Bedieningsprocedure25 oktober 2021 11:48:52Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten
    SVP_U.04.07Norm2.1Actueel25 oktober 202125 oktober 2021GeëvalueerdUitvoeringFunctie
    • ISO 27002 2017: 12.6.1i
    		Het kwetsbaarhedenbeheerproces wordt regelmatig gemonitord en geëvalueerd.Technische kwetsbaarhedenbeheer serverplatform25 oktober 2021 16:47:15Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd
    SVP_U.10.02Norm2.1Actueel25 oktober 202125 oktober 2021GeconfigureerdUitvoeringGedrag
    • The Standard of Good Practice for Information Security 2018: SY1.2.3
    		De servers zijn geconfigureerd volgens een gestandaardiseerde en vooraf bepaald serverimage.Serverconfiguratie25 oktober 2021 17:14:40De servers zijn geconfigureerd conform een gestandaardiseerde serverimage
    SVP_U.13.01Norm2.1Actueel26 oktober 202125 oktober 2021GedocumenteerdUitvoeringGedrag
    • ISO 27002 2017: 12.4.4
    • The Standard of Good Practice for Information Security 2018: TM1.2.3
    		De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken.Kloksynchronisatie26 oktober 2021 06:59:45De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd
    SVP_B.01.01Norm2.1Actueel25 oktober 202125 oktober 2021RegelsBeleidIntentie
    • BIO (Baseline Informatiebeveiliging Overheid): 14.2.1.1
    		De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het onderhouden van servers.Beleid voor beveiligde inrichting en onderhoud25 oktober 2021 08:26:49Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
    SVP_U.11.04Norm2.1Actueel26 oktober 202125 oktober 2021Virtuele serversUitvoeringGedrag
    • The Standard of Good Practice for Information Security 2018: SY1.3.6 en SY1.3.7
    		Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
    • het toepassen van standaard beveiligingsrichtlijnen voor fysieke en logische toegang;
    • het hardenen van de fysieke en virtuele servers;
    • het wijzigingsbeheer en de malwareprotectie;
    • het toepassen van monitoring en van netwerk gebaseerde beveiliging.
    		Virtualisatie serverplatform26 oktober 2021 07:09:29Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors
    SVP_U.05.02Norm2.1Actueel25 oktober 202125 oktober 2021ProcesmatigUitvoeringFunctie
  • CIP-netwerk
    		• Een technisch mechanisme zorgt voor (semi-)automatische updates.Patchmanagement serverplatform25 oktober 2021 16:49:50Een technisch mechanisme zorgt voor (semi-)automatische updates
    SVP_U.05.09Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenUitvoeringFunctie
    • CIP-netwerk
    		Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.Patchmanagement serverplatform25 oktober 2021 16:59:36Alleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd
    SVP_U.09.02Norm2.1Actueel26 oktober 202125 oktober 2021FunctiesUitvoeringGedrag
    • The Standard of Good Practice for Information Security 2018: SY1.2.5
    		Een servers is zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
    • communicatiediensten die inherent vatbaar zijn voor misbruik;
    • communicatieprotocollen die gevoelig zijn voor misbruik.
    		Hardenen server26 oktober 2021 13:54:29Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt
    SVP_U.08.02Norm2.1Actueel25 oktober 202125 oktober 2021GeverifieerdUitvoeringFunctie
  • ISO 27002 2017: 11.2.7
    		• Voorafgaand aan verwijdering of hergebruik van servers wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd.Verwijderen of hergebruiken serverapparatuur25 oktober 2021 17:09:32Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat
    SVP_U.05.10Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenUitvoeringFunctie
    • ISO 27002 2017: 12.6.1d
    		De risico’s die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico’s die worden gevormd door de kwetsbaarheid worden vergeleken met het risico van het installeren van de patch).Patchmanagement serverplatform25 oktober 2021 17:00:14De risico’s verbonden aan het installeren van de patch worden beoordeeld
    SVP_U.10.01Norm2.1Actueel25 oktober 202125 oktober 2021GeconfigureerdUitvoeringGedrag
    • The Standard of Good Practice for Information Security 2018: SY1.2.1
    		De servers zijn geconfigureerd volgens gedocumenteerde standaarden/procedures die betrekking hebben op:
    • het inrichten van standaard firmware-configuraties;
    • het gebruik van gestandaardiseerde vooraf bepaalde serverimages voor het bouwen/configureren van servers;
    • het wijzigen van de standaardwaarden en andere beveiligingsparameters van de leverancier(s);
    • het verwijderen, uitschakelen en/of beperken van onnodige functies en services;
    • het beperken van de toegang tot krachtige beheerhulpmiddelen en host-parameterinstellingen;
    • het beschermen tegen ongeoorloofde toegang;
    • het uitvoeren van standaard beveiligingsbeheerpraktijken.
    		Serverconfiguratie25 oktober 2021 17:14:16De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures
    SVP_C.05.01Norm2.1Actueel25 oktober 202125 oktober 2021Reviewt/analyseertControlGedrag
  • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.07.03
    		• De verantwoordelijke functionaris analyseert periodiek:
    • de gelogde gebruikers- en activiteitengegevens van servers en serverplatforms;
    • het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen;
    • eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.
    		Monitoring25 oktober 2021 10:28:00Eisen aan de periodieke beoordeling van de logbestanden
    SVP_U.14.01Norm2.1Actueel26 oktober 202125 oktober 2021OntwerpUitvoeringStructuur
  • The Standard of Good Practice for Information Security 2018: SY1.1.1
    		• Het ontwerp van elk serverplatform en elke server is gedocumenteerd, waarbij onder andere beschreven is:
    • dat in het ontwerp rekening is gehouden met de principes van de beveiligingsarchitectuur en beveiligingsvereisten;
    • dat in het ontwerp rekening is gehouden met de risico’s van voorzienbare ontwikkelingen in het gebruik van IT door de organisatie.
    		Ontwerpdocument9 februari 2022 16:27:44Het ontwerp van elk serverplatform en elke server is gedocumenteerd
    SVP_U.01.03Norm2.1Actueel25 oktober 202125 oktober 2021BedieningsproceduresUitvoeringIntentie
  • ISO 27002 2017: 12.1.1a t/m f, i en j
    		• In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
    • de installatie en configuratie van systemen;
    • de verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
    • de back-up;
    • de eisen voor de planning, met inbegrip van onderlinge verbondenheid met andere systemen;
    • de voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen van het gebruik van systeemhulpmiddelen;
    • de ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten door onverwachte bedienings- of technische moeilijkheden;
    • het beheer van audit- en systeemlogbestandinformatie;
    • de procedures voor het monitoren van activiteiten.
    		Bedieningsprocedure25 oktober 2021 11:49:40In de bedieningsprocedures opgenomen bedieningsvoorschriften
    SVP_C.06.01Norm2.1Actueel25 oktober 202125 oktober 2021BeveiligingsfunctionarisControlStructuur
  • CIP-netwerk
    		• De beveiligingsfunctionaris zorgt onder andere voor:
    • de actualisatie van beveiligingsbeleid voor servers en besturingssystemen;
    • de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met onder andere de ketenpartijen;
    • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    • de bespreking van beveiligingsissues met ketenpartijen;
    • het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.
    		Beheersorganisatie servers en serverplatforms25 oktober 2021 10:36:16Activiteiten van de beveiligingsfunctionaris
    SVP_C.01.04Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenControlIntentie
  • CIP-netwerk
    		• De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controle-functionarissen vastgelegd.Richtlijn evaluatie ontwikkelactiviteiten25 oktober 2021 10:05:35De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd
    SVP_U.05.07Norm2.1Actueel25 oktober 202125 oktober 2021ProcedureelUitvoeringFunctie
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.09.04
    		De volgende aspecten van een patch worden geregistreerd:
    • de beschikbare patches;
    • hun relevantie voor de systemen/bestanden;
    • het besluit tot wel/niet uitvoeren;
    • de testdatum en het resultaat van de patchtest;
    • de datum van implementatie;
    • het patchresultaat.
    		Patchmanagement serverplatform25 oktober 2021 16:53:42Registratie van de aspecten van een patch
    SVP_U.05.08Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenUitvoeringFunctie
  • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.09.05
    		• Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd.Patchmanagement serverplatform25 oktober 2021 16:58:57Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd.
    SVP_U.05.06Norm2.1Actueel25 oktober 202125 oktober 2021ProcedureelUitvoeringFunctie
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.09.03
    		De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld.Patchmanagement serverplatform25 oktober 2021 16:53:23De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld
    SVP_U.12.04Norm2.1Actueel26 oktober 202125 oktober 2021RegelsUitvoeringGedrag
    • ISO 27002 2017: 12.6.2
    		De rechten van beheerders worden verleend op basis van rollen.Beperking software-installatie serverplatform26 oktober 2021 07:05:09De rechten van beheerders worden verleend op basis van rollen
    SVP_U.10.03Norm2.1Actueel25 oktober 202125 oktober 2021OngeautoriseerdUitvoeringGedrag
    • The Standard of Good Practice for Information Security 2018: SY1.2.7
    		Toegang tot serverparameterinstellingen en krachtige beheerinstrumenten zijn:
    • beperkt tot een gelimiteerd aantal geautoriseerde personen;
    • beperkt tot specifiek omschreven situaties;
    • gekoppeld aan specifieke en gespecificeerde autorisatie.
    		Serverconfiguratie25 oktober 2021 17:15:00Toegang tot serverparameter en krachtige beheerinstrumenten is beperkt
    SVP_C.05.06Norm2.1Actueel25 oktober 202125 oktober 2021RapporterenControlGedrag
  • CIP-netwerk
    		• De eindrapportage bevat, op basis van analyses, verbetervoorstellen.Monitoring25 oktober 2021 10:30:30De eindrapportage bevat verbeteringsvoorstellen op basis van analyses
    SVP_C.02.01Norm2.1Actueel25 oktober 202125 oktober 2021NalevingControlFunctie
    • ISO 27002 2017: 18.2.3
    		Technische naleving wordt bij voorkeur beoordeeld met geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist.Beoordeling technische serveromgeving25 oktober 2021 10:07:04Eisen aan het vervaardigen en interpreteren van technische naleving
    SVP_U.03.04Norm2.1Actueel25 oktober 202125 oktober 2021PreventieUitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1.2
    		Gebruikers zijn voorgelicht over de risico’s ten aanzien van surfgedrag en het klikken op onbekende links.Malwareprotectie serverplatform25 oktober 2021 16:37:10Servers zijn voorzien van up-to-date anti-malware
    SVP_U.05.01Norm2.1Actueel25 oktober 202125 oktober 2021ProcesmatigUitvoeringFunctie
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.09.01
    		Het patchmanagementproces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris.Patchmanagement serverplatform25 oktober 2021 16:49:33Patchmanagement is beschreven, goedgekeurd en toegekend
    SVP_C.02.03Norm2.1Actueel25 oktober 202125 oktober 2021NalevingControlFunctie
    • ISO 27002 2017: 18.2.3
    		De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar.Beoordeling technische serveromgeving25 oktober 2021 10:08:43Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar
    SVP_U.04.06Norm2.1Actueel25 oktober 202125 oktober 2021Technische serverkwetsbaarhedenUitvoeringFunctie
    • The Standard of Good Practice for Information Security 2018: TM1.1.9
    		Technische kwetsbaarheden worden via de patchmanagementprocessen en/of het wijzigingsbeheer hersteld.Technische kwetsbaarhedenbeheer serverplatform25 oktober 2021 16:46:39Procesmatig herstel van technische kwetsbaarheden
    SVP_U.11.03Norm2.1Actueel26 oktober 202125 oktober 2021Virtuele serversUitvoeringGedragThe Standard of Good Practice for Information Security 2018: SY1.3.1 en SY1.3.2Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
    • fysieke servers die worden gebruikt voor het hosten van virtuele servers;
    • hypervisors die zijn geassocieerd met virtuele servers;
    • virtuele servers die op een fysieke server worden uitgevoerd.
    		Virtualisatie serverplatform26 oktober 2021 07:08:23Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures
    SVP_C.02.04Norm2.1Actueel25 oktober 202125 oktober 2021NalevingControlFunctie
  • ISO 27002 2017: 18.2.3
    		• Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente en bevoegde personen of onder toezicht van het management.Beoordeling technische serveromgeving25 oktober 2021 10:09:52Eisen aan het beoordelen van technische naleving
    SVP_U.03.03Norm2.1Actueel25 oktober 202125 oktober 2021PreventieUitvoeringFunctie
    • ISO 27002 2017: 12.2.1g
    		Severs zijn voorzien van (actuele) software die malware opspoort en daartegen beschermt.Malwareprotectie serverplatform25 oktober 2021 16:36:38Het downloaden van bestanden is beheerst en beperkt
    SVP_U.05.11Norm2.1Actueel25 oktober 202125 oktober 2021RichtlijnenUitvoeringFunctie
    • ISO 27002 2017: 12.6.1g
    		Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
    • het uitschakelen van functionaliteit of diensten;
    • het aanpassen of toevoegen van toegangsbeveiligingsmaatregelen, bijvoorbeeld firewalls, rond de grenzen van netwerken;
    • het vaker monitoren om de werkelijke aanvallen op te sporen;
    • het kweken van bewustzijn over de kwetsbaarheid.
    		Patchmanagement serverplatform25 oktober 2021 17:00:58Wanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogen
    SVP_U.05.03Norm2.1Actueel25 oktober 202125 oktober 2021ProcesmatigUitvoeringFunctie
  • CIP-netwerk
    		• Configuratiebeheer geeft het inzicht waarmee servers worden gepatcht.Patchmanagement serverplatform25 oktober 2021 16:50:11Op basis van inzicht vanuit configuratiebeheer worden de servers gepatcht
    SVP_U.01.01Norm2.1Actueel25 oktober 202125 oktober 2021BedieningsproceduresUitvoeringIntentie
    • ISO 27002 2017: 12.1.1
    		Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld.Bedieningsprocedure25 oktober 2021 11:48:09Gedocumenteerde procedures voor bedieningsactiviteiten
    SVP_C.03.02Norm2.1Actueel25 oktober 202125 oktober 2021LogbestandenControlGedrag
    • ISO 27002 2017: 12.4.3
    		Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheeractiviteiten.Logbestanden beheerders25 oktober 2021 10:12:15Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten
    SVP_B.02.01Norm2.1Actueel25 oktober 202125 oktober 2021PrincipesBeleidIntentie
    • BIO (Baseline Informatiebeveiliging Overheid): 14.2.1.1
    		De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het inrichten van servers.Inrichtingsprincipes voor serverplatform25 oktober 2021 08:36:30Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
    SVP_U.08.01Norm2.1Actueel25 oktober 202125 oktober 2021OpslagmediaUitvoeringFunctie
    • ISO 27002 2017: 11.2.7
    		Van de server(s):
    • wordt informatie die niet meer nodig is, vernietigd door verwijderen of overschrijven, gebruikmakend van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen;
    • worden opslagmedia die niet meer nodig zijn en die vertrouwelijke of door auteursrecht beschermde informatie bevatten fysiek vernietigd.
    		Verwijderen of hergebruiken serverapparatuur25 oktober 2021 17:08:52Niet meer benodigde opslagmedia en informatie van servers worden vernietigd
    SVP_C.02.02Norm2.1Actueel25 oktober 202125 oktober 2021NalevingControlFunctie
  • ISO 27002 2017: 18.2.3
    		• Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidsbeoordelingen uitgevoerd.Beoordeling technische serveromgeving25 oktober 2021 10:07:54Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen
    SVP_U.03.08Norm2.1Actueel25 oktober 202125 oktober 2021HerstelUitvoeringIntentie
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1.3
    		De gebruikte anti-malwaresoftware en bijbehorende herstelsoftware zijn actueel en worden ondersteund door periodieke updates.Malwareprotectie serverplatform25 oktober 2021 16:40:19De anti-malware software wordt regelmatig geüpdate
    SVP_U.12.02Norm2.1Actueel25 oktober 202125 oktober 2021RegelsUitvoeringGedrag
    • ISO 27002 2017: 12.6.2
    		De organisatie past een strikt beleid toe voor het installeren en gebruiken van software.Beperking software-installatie serverplatform26 oktober 2021 07:03:30De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.
    SVP_C.06.02Norm2.1Actueel25 juli 202125 oktober 2021BeveiligingsbeleidControlStructuur
    • CIP-netwerk
    		Het beveiligingsbeleid geeft onder andere inzicht in:
    • inrichtings-, onderhouds- en beheervoorschriften (procedureel en technisch);
    • specifieke beveiligings- en architectuurvoorschriften;
    • afhankelijkheden tussen servers binnen de infrastructuur.
    		Beheersorganisatie servers en serverplatforms25 oktober 2021 10:37:20Inhoud van het beveiligingsbeleid
    SVP_U.11.02Norm2.1Actueel26 oktober 202125 oktober 2021HypervisorsUitvoeringGedrag
  • The Standard of Good Practice for Information Security 2018: SY1.3.5
    		• Hypervisors worden geconfigureerd om:
    • virtuele servers onderling (logisch) te scheiden met vertrouwelijkheidseisen en om te voorkomen dat informatie wordt uitgewisseld tussen discrete omgevingen;
    • de communicatie tussen virtuele servers te coderen;
    • de toegang te beperken tot een beperkt aantal geautoriseerde personen;
    • de rollen van hypervisoradministrators te scheiden.
    		Virtualisatie serverplatform26 oktober 2021 07:06:55Hypervisors worden geconfigureerd
    SVP_U.02.01Norm2.1Actueel25 oktober 202125 oktober 2021StandaardenUitvoeringIntentie
  • The Standard of Good Practice for Information Security 2018: SY1.2.1
    		• De documentatie conform de standaarden omvat:
    • het bieden van gestandaardiseerde firmwareconfiguraties;
    • het gebruik van gestandaardiseerde en vooraf bepaalde server-images voor het bouwen/configureren van servers;
    • het wijzigen van de standaardwaarden van leveranciers- en andere beveiligingsparameters;
    • het uitschakelen of beperken van onnodige functies en services;
    • het beperken van de toegang tot krachtige beheerhulpmiddelen en hostparameter-instellingen (bijvoorbeeld Windows 'Register-editor');
    • het beschermen tegen ongeoorloofde toegang;
    • het uitvoeren van standaard beveiligingsbeheerpraktijken.
    		Standaarden voor serverconfiguratie25 oktober 2021 11:51:20Eisen aan de "gedocumenteerde standaarden"
    SVPNormenkader2.1Actueel8 juli 202225 oktober 2021De BIO Thema-uitwerking Serverplatform, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie (Uitvoeringsinstituut Werknemersverzekeringen (UWV)) en Jaap van der Veen (Centrum Informatiebeveiliging en Privacybescherming (CIP)). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.

    Considerans

    CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op cip-overheid.nl/contact.

    Leeswijzer

    Voorafgaand aan het beleidsdomein, uitvoeringsdomein en control-domein, de kern van dit thema, heeft elke BIO Thema-uitwerking een inleiding met een standaard hoofdstukindeling.


    De volgende leeswijzer geldt voor dit normenkader:

    • Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
    • De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
    • Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
    • Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
    1. Inleiding (algemene inleiding)
    2. Beveiligingsobjecten serverplatform (specifieke inleiding)
    		8 juli 2022 09:15:22BIO Thema-uitwerking Serverplatform
    SVP_BNormenkader-aspect2.1Actueel25 oktober 202125 oktober 2021==Objecten, controls en maatregelen==

    De onderwerpen die specifiek voor serverplatforms een rol spelen, zijn in onderstaande afbeelding vermeld. Binnen de kolom functies behoren objecten te worden opgenomen die voor serverplatforms gerelateerd zijn aan beveiligingsfuncties en beheerprocessen. Deze objecten hebben, in dit geval, echter meer een operationeel karakter. Daarom zijn functie-gerelateerde objecten in het uitvoeringsdomein opgenomen. De noodzakelijke beveiligingseisen voor functies op dit niveau zijn vermeld in B.01 Beleid voor beveiligde inrichting en onderhoud.


    Binnen de gedragskolom zou een beleid voor configuratie, parametrisering en toegangsbeleid tot serverplatform opgenomen kunnen worden. Echter, dit soort beleidselementen komen, in dit geval, ook voor in B.01 Beleid voor beveiligde inrichting en onderhoud. Vandaar dat ook in deze kolom geen objecten zijn vermeld.


    ”Onderwerpen die binnen het Beleid domein een rol spelen”
    Overzicht objecten voor serverplatform in het beleidsdomein
    		De doelstelling van het beleidsdomein is de conditionele elementen te identificeren die randvoorwaardelijk zijn voor het inrichten, beveiligen en beheersen van de serverplatforms. De hiervoor van belang zijnde beveiligingsobjecten en de daaraan gerelateerde maatregel zijn opgenomen.Als de juiste beleidsaspecten voor de inrichting en het onderhoud van het serverplatform ontbreken, bestaat de kans dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van deze systemen. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een kans dat er datalekken optreden.Beleid30025 oktober 2021 08:16:30Serverplatform Beleid
    SVP_CNormenkader-aspect2.1Actueel2 november 202125 oktober 2021==Objecten, controls en maatregelen==

    De objecten die specifiek voor het serverplatform een rol spelen zijn in onderstaande afbeelding vermeld.


    Thema Serverplatform - Onderwerpen die binnen het Controldomein een rol spelen
    Overzicht objecten voor serverplatform in het control-domein
    		De doelstelling van het control-domein is om vast te stellen of:
    • de beoogde controls voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van het serverplatform;
    • de infrastructurele diensten functioneel en technisch op het juiste niveau worden gehouden.


    Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.    		Door het ontbreken van noodzakelijke maatregelen binnen de organisatie van de IT-leverancier is het niet zeker of de ontwikkel- en onderhoudsadministratie aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Tevens kan dan niet vastgesteld worden dat de gewenste maatregelen worden nageleefd.Control3002 november 2021 10:21:36Serverplatform Control
    SVP_UNormenkader-aspect2.1Actueel26 november 202125 oktober 2021==Objecten, controls en maatregelen==

    De onderwerpen die specifiek voor het serverplatform een rol spelen, zijn in afbeelding 'Overzicht serverplatform-objecten in het uitvoeringsdomein' vermeld.


    ”Thema Serverplatform - Onderwerpen die binnen het Uitvoeringsdomein een rol spelen”
    Overzicht objecten voor serverplatform in het uitvoeringsdomein
    		De doelstelling van het uitvoeringsdomein voor de inrichting en exploitatie van het serverplatform is het waarborgen dat de werkzaamheden plaatsvinden volgens specifieke beleidsuitgangspunten en dat de werking voldoet aan de eisen die door de klant (doelorganisatie) zijn gesteld.Wanneer adequate protectiefuncties voor het serverplatform ontbreken, ontstaan er risico’s op het gebied van virus- en malwarebesmetting, dataverlies of datalekken.

    Wanneer meer functionaliteit is ingeschakeld dan nodig is voor de bedrijfsvoering nemen risico’s van diefstal of inbreuk toe.

    Wanneer er onvoldoende zoneringsfuncties zijn geactiveerd, kunnen invloeden van buitenaf de dienstverlening via computers of netwerken onmogelijk maken.

    Hiaten in de systeemketens zoals Single Points of Failure (SPoF), veroorzaken continuïteitsproblemen en maken 7x24 uur beschikbaarheidsgaranties praktisch onmogelijk.    		Uitvoering26 november 2021 08:50:38Serverplatform Uitvoering

    Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

    Betekenisvolle gegevens.

    Betekenisvolle gegevens.

    De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

    De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

    Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

    Communicatiekanaal dat bij de dienstverlening wordt gebruikt. Elk kanaal kent verschillende vormen waarin informatie kan worden gedeeld.

    Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

    Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

    Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR/totaaltabel&oldid=50412"