ISOR/totaaltabel

Uit NORA Online
Ga naar: navigatie, zoeken
Tabel met alle elementen in het normenkader BIO_Thema_Serverplatform.
Een element kan zijn: Beveiligingsprincipe, Hoofdstuk normenkader, Norm, Normenkader, Normenkader-aspect, Privacyprincipe
Tip: klik op het pijltje naast 'ID' voor een logische volgorde.
TitelIDElementtypeVersieaanduidingStatus actualiteitRedactionele wijzigingsdatumPublicatiedatumBeschrijvingToelichtingConformiteitsindicatorCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekGrondslagStellingGrondslag opmerkingenRealiseertAfbeeldingOnderschriftPxAlt-tekstWijzigingsdatum
"Wijzigingsdatum (Modification date)" is a predefined property that corresponds to the date of the last modification of a subject and is provided by Semantic MediaWiki.
 
BedieningsproceduresSERV_U.01Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Bedieningsprocedures zijn een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms. De activiteiten kunnen gerelateerd zijn aan het starten en afsluiten van de computer, back-up en onderhoud van servers.BedieningsproceduresBedieningsprocedures behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben.UitvoeringIntentie
  • NEN-ISO/IEC 27002: 12.1.1
10 mei 2019 20:48:07ISOR:Bedieningsprocedures
Beheerorganisatie serverplatformsSERV_C.06Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Voor het adequaat beheersen en beheren van het servers en serverplatforms zou een beheersorganisatiestructuur moeten zijn vastgesteld waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.beveiligingsfunctionaris, beveiligingsbeleidBinnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.ControlStructuur9 september 2019 08:11:08ISOR:Beheerorganisatie servers en serverplatforms
Onderhoud van serversSERV_U.07Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019In dit thema wordt apparatuur vanuit de ISO opgevat als het infrastructuurcomponent ‘server’ dat periodiek onderhouden moet worden. Het onderhoud moet plaatsvinden binnen een tijdsinterval. Servers worden correct onderhouden door bevoegd personeel, om te zorgen dat de beschikbaarheid van de dienstverlening en de integriteit hiervan gegarandeerd is.onderhoudenServers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen.De reden waarom de norm gehanteerd wordt.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 11.2.4
30011 juli 2019 14:00:45ISOR:Onderhoud van servers
Veilig verwijderen of hergebruiken van serverapparatuurSERV_U.08Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Opslagmedia van apparatuur bevat vaak vertrouwelijke informatie. Wanneer servers buiten gebruik worden gesteld of opnieuw worden ingezet, moet deze informatie veilig verwijderd zijn of worden.opslagmedia, geverifieerdAlle onderdelen van servers met opslagmedia behoren te worden geverifieerd, om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 11.2.7
10 mei 2019 20:50:03ISOR:Veilig verwijderen of hergebruiken van serverapparatuur
Beleid voor beveiligde inrichting en onderhoudSERV_B.01Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019De ISO-baseline (ISO pg. 74) formuleert ‘beveiligd ontwikkelen’ als een eis voor het opbouwen van beveiligde dienstverlening, software, systemen en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.. B ij het object ‘beleid voor (beveiligde) inrichting en onderhoud’. In het beleid worden onder andere standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van servers.regelsVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.De reden waarom de norm gehanteerd wordt.BeleidIntentie
  • NEN-ISO/IEC 27002: 14.2.1
30011 juli 2019 06:52:11ISOR:Beleid voor beveiligde inrichting en onderhoud
MalwareprotectieSERV_U.03Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019De organisatie maakt gebruik van malwareprotectie bij ingangs- en uitgangspunten van kritieke informatiesystemen (zoals Firewalls, e-mailservers, webservers, proxyservers, servers met externe toegang) en op werkstations, servers of mobiele computerapparatuur op het netwerk. De organisatie gebruikt deze beschermingsmechanismen om haar servers te beschermen tegen schadelijke code en om schadelijke code te detecteren en te neutraliserenpreventie,

detectie,

herstel
Ter bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 12.2.1
14 mei 2019 08:04:27ISOR:Malwareprotectie
Beheerderactiviteiten vastgelegd in logbestandenSERV_C.03Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Logging is het proces voor het registreren van technische activiteiten en gebeurtenissen. Hiermee kunnen achteraf fouten of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd. Het loggen van activiteiten spitst zich toe tot de bewaking van rechtmatigheid van toegekende rechten en het gebruik hiervan.logbestandenActiviteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.ControlGedrag
  • NEN-ISO/IEC 27002: 12.4.3
10 mei 2019 20:48:12ISOR:Beheerderactiviteiten vastgelegd in logbestanden
Beoordeling technische serveromgevingSERV_C.02Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Het is noodzakelijk om de technische omgeving regelmatig te beoordelen om de beveiliging doeltreffend te kunnen beheersen. Hiertoe dienen periodiek zowel de organisatorische als technische aspecten beoordeeld te worden, zoals: de toepassing van het geformuleerd inrichtingsbeleid voor servers, serverplatform architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., taken en verantwoordelijkheden, gebruik van technische middelen, frequentie, controle aanpak en inschakelen van externe specialisten. Als resultaat dient een rapportage van bevindingen aan het management te worden uitgebracht.nalevingTechnische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.De reden waarom de norm gehanteerd wordt.ControlFunctie
  • NEN-ISO/IEC 27002: 18.2.3
30011 juli 2019 14:34:55ISOR:Beoordeling technische serveromgeving
ServerconfiguratieSERV_U.10Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Serverplatforms hebben verschillende features en bieden een veelheid van functies om services te kunnen leveren. Om veilig te functioneren, behoort elk serverplatform conform bepaalde standaarden en procedures te zijn geconfigureerd.geconfigureerd,ongeautoriseerdServerplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.De reden waarom de norm gehanteerd wordt.UitvoeringGedrag
  • SoGP (Standard of Good Practice): SY 1.2
30011 juli 2019 14:04:23ISOR:Serverconfiguratie
Beheer op afstandSERV_U.06Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Toegang tot de servers is beperkt tot geautoriseerde personen en informatiesystemen. Onder bepaalde voorwaarden is het beheerders toegestaan door de organisatie beheerde servers "van buiten" te benaderen.richtlijnenRichtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.De reden waarom de norm gehanteerd wordt.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 6.2.2
30011 juli 2019 13:58:20ISOR:Beheer op afstand
Beheer van serverkwetsbaarhedenSERV_U.04Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt.

Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen:

  • Hoe is de serveromgeving opgebouwd en geconfigureerd?
  • Wat zijn bekende kwetsbaarheden en zwakheden?

Gerelateerd aan ‘Kwetsbaarhedenbeheer’ is het proces ‘Patch-management’. Het ISO-onderwerp ‘Beheer van technische kwetsbaarheden (12.6.1)’ behandelt wat betreft de maatregelen twee onderwerpen: kwetsbaarheden beheer (vulnerability management) (zie: U.04) en patchmanagement (zie: U.05). In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.

In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.
technische serverkwetsbaarheden,geëvalueerdInformatieBetekenisvolle gegevens. over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.De reden waarom de norm gehanteerd wordt.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 12.6.1
30011 juli 2019 13:51:15ISOR:Beheer van serverkwetsbaarheden
Standaarden voor configuratie van serversSERV_U.02Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Standaarden voor configuratie van servers representeren documenten waarin afspraken zijn vastgelegd ten aanzien van configuraties en parametrisering van serverinstellingen.standaardenHet serverplatform is geconfigureerd in overeenstemming met gedocumenteerde standaarden.UitvoeringIntentie
  • SoGP (Standard of Good Practice): SY 1.2
10 mei 2019 20:49:57ISOR:Standaarden voor configuratie van servers
Hardenen van serversSERV_U.09Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019De standaardconfiguratie van de meeste besturingssystemen is niet ontworpen met beveiliging als de primaire focus, in plaats daarvan zijn standaardinstellingen meer gericht op bruikbaarheid, communicatie en functionaliteit.

Hardening is het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd.

Ook servers behoren te worden gehardend; alle overbodige en niet gebruikte functies, services en accounts behoren van de server(s) te worden verwijderd of te worden uitgeschakeld.
functies, toegangVoor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld.UitvoeringGedrag
  • SoGP (Standard of Good Practice)
10 mei 2019 20:49:05ISOR:Hardenen van servers
KloksynchronisatieSERV_U.13Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Om gebeurtenissen uit verschillende componenten te correleren, worden de klokken van de verschillende systemen gelijkgericht, zodat de timestamps van gebeurtenissen zijn gesynchroniseerd. Dit synchroniseren is het effect van de juiste instelling van tijd op betreffende componenten. Met behulp van het Network Time Protocol (NTP) wordt bereikt dat de tijd op alle servers en andere componenten overeenkomt (zie paragraaf 10.10.6 ‘Synchronisatie van systeemklokken’ in NEN/ISO-IEC 27002 ‘Code voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.’).gedocumenteerd,gesynchroniseerdDe klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn gedocumenteerd en gesynchroniseerd op één referentietijdbron.De reden waarom de norm gehanteerd wordt.UitvoeringGedrag
  • NEN-ISO/IEC 27002: 12.4.4
30011 juli 2019 14:26:55ISOR:Kloksynchronisatie
Serverplatform architectuurSERV_B.03Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019De architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van een serverplatform geeft overzicht en inzicht in de wijze waarop de gebieden en objecten behoren te worden beveiligd. Architectuur geeft ook inzicht in de samenhang en samenwerking van beveiligingsmaatregelen. In de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. zijn gemaakte ontwerp en inrichtingskeuzen gedocumenteerd, verantwoord en zijn de gemaakte keuzen onderbouwd. Documentatie speelt ook een belangrijke rol bij het bepalen van de impact van wijzigingen en het voorkomen van ontwerpfouten. Documentatie moet dan ook na elke wijziging worden bijgewerkt en oude documentatie moet worden gearchiveerd.architectuurdocumentDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.BeleidStructuur
  • SoGP (Standard of Good Practice): SD 2.2
14 mei 2019 07:55:43ISOR:Serverplatform architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.
OntwerpdocumentatieSERV_U.14Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019De relatie tussen servers en de instellingen van configuraties moeten zijn vastgelegd in een ontwerpdocument.ontwerpHet ontwerp van een serverplatform behoort te zijn gedocumenteerd.UitvoeringStructuur
  • SoGP (Standard of Good Practice): SY 1.1.1
10 mei 2019 20:49:31ISOR:Ontwerpdocumentatie
Principes voor inrichten van beveiligde serversSERV_B.02Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Bij het inrichten van een beveiligde server behoren beveiligingsprincipes in acht te worden genomen. In ISO zijn twee principes expliciet genoemd: “Security by design” en “Defense in depth”. In andere baselines (zoals SoGP) zijn nog verschillende andere van belang zijnde inrichtingsprincipes te vinden.principesDe principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.BeleidIntentie
  • NEN-ISO/IEC 27002: 14.2.5
10 mei 2019 20:49:40ISOR:Principes voor inrichten van beveiligde servers
Evaluatie richtlijnen servers en besturingssystemenSERV_C.01Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Binnen de infrastructuur bevinden zich serverplatforms met verschillende servers en besturingssystemen en die het fundament vormen voor applicaties. Deze servers en hun besturingssystemen moeten daarom continu worden onderhouden, gehardend en op een veilige wijze geconfigureerd. Het is van groot belang dat deze servers en besturingssystemen, in het kader van risicomanagement, periodiek geëvalueerd worden. De evaluatie activiteiten dienen ondersteund te worden met evaluatie richtlijnen, procedures en instructies. Anders bestaat het risico dat de resultaten van de controle activiteiten niet voldoen aan de verwachte eisen. De beheerorganisatiestructuur geeft de samenhang van de ingerichte processen weer.richtlijnenEr behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.De reden waarom de norm gehanteerd wordt.ControlIntentie
  • NEN-ISO/IEC 27002:10.10.2
30011 juli 2019 14:33:37ISOR:Evaluatie richtlijnen servers en besturingssystemen
Registratie gebeurtenissenSERV_C.04Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Op de serverplatforms vinden automatische en handmatige activiteiten plaats. Vanuit beveiligingsoptiek is het van belang om deze activiteiten te registreren in logboeken en te controleren.logbestandenLogbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.De reden waarom de norm gehanteerd wordt.ControlGedrag
  • NEN-ISO/IEC 27002: 12.4.1
30011 juli 2019 14:35:56ISOR:Registratie gebeurtenissen
Beperking van software-installatieSERV_U.12Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Voor het gebruik van software (door een beheerder) op een server zijn regels opgesteld.regelsVoor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.UitvoeringGedrag
  • NEN-ISO/IEC 27002: 12.6.2
10 mei 2019 20:48:18ISOR:Beperking van software-installatie
Monitoren van serverplatformsSERV_C.05Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Onder monitoren wordt verstaan: reviewen, analyseren en rapporteren. Het monitoren van gebruikers- en beheerderactiviteiten heeft tot doel ongeautoriseerde toegangspogingen tot servers en serverplatforms tijdig te signaleren en op basis van de ernst van de signalering acties te ondernemen. De monitoringsfunctie moet voorbehouden zijn aan een daartoe verantwoordelijke functionaris. Monitoring vindt mede plaats op basis van geregistreerde gegevens (logging). De geregistreerde gegevens dienen te worden geanalyseerd en te worden gerapporteerd (alerting). Alerting kan ook geautomatiseerd plaats vinden op basis van vastgestelde overschrijding van drempelwaarden.reviewt/analyseert, rapporterenDe organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.ControlGedrag
  • NIST SP800-53 AU (Audit and Accountability Control Family): AU 6
9 september 2019 08:09:42ISOR:Monitoren van servers en serverplatforms
Beveiliging Virtueel serverplatformSERV_U.11Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Server virtualisatie stelt een organisatie in staat om één of meer gescheiden ‘logische’ omgevingen te creëren op één fysieke server. Bij virtualisatie zijn drie soorten componenten betrokken: een fysieke server, een hypervisor en één of meerdere virtuele servers. De hypervisor alloceert resources van de fysieke server naar elke onderliggende virtuele server, inclusief CPU, geheugen, harddisk of netwerk; hiermee zijn de virtuele servers in staat simultaan of geïsoleerd van elkaar te opereren. Deze drie componenten moeten voldoen aan specifieke eisen.virtuele servers,

fysieke servers,

hypervisors
Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisor en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.UitvoeringGedrag
  • SoGP (Standard of Good Practice): SY 1.3
10 mei 2019 20:48:19ISOR:Beveiliging Virtueel serverplatform
PatchmanagementSERV_U.05Beveiligingsprincipe1.0Actueel1 februari 20191 februari 2019Patchmanagement is het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem. Een solide updatemechanisme is essentieel om voldoende beschermd te zijn tegen bekende beveiligingsproblemen in software. De noodzaak van het patchen staat vaak niet ter discussie, vaak ontstaat echter wel discussie over de urgentie waarmee patches moeten worden uitgevoerd. De ernst van de kwetsbaarheid bepaald de noodzaak om de tijdsduur tussen het uitkomen van een patch en het implementeren van een patch zo kort mogelijk te houden. Daarom is het van belang vast te stellen welke doelstelling en prioriteit met patchmanagement worden nagestreefd. Het kan voorkomen dat systemen die niet meer ondersteund worden, (tijdelijk) operationeel gehouden moeten worden. In dat geval is het van belang om te weten welke systemen dat zijn en welke aanvullende maatregelen getroffen zijn om deze systemen voor het uitbuiten van kwetsbaarheden te behoeden, zodat inzicht bestaat over het al of niet uitvoeren van de patch op deze systemen.procesmatig,

procedureel,

richtlijnen
Patchmanagement is procesmatig en procedureel opgezet wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.UitvoeringFunctie
  • NEN-ISO/IEC 27002: 12.6.1
  • NCSC ICT-Webrichtlijnen voor webapplicaties
10 mei 2019 20:49:36ISOR:Patchmanagement
BIO Thema Serverplatform - InleidingSERV_INLHoofdstuk normenkader1.0Actueel1 februari 20191 februari 2019==Inleiding==

Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op controls uit de BIO (Baseline Informatiebeveiliging Overheid) die gebaseerd is op ISO-27002. Er wordt ook gebruik gemaakt van andere Best Practices als: SoGP en NIST. Dit kader dient evenals andere BIO-thema’s, als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur.

Opzet van het thema

Het thema Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van een lagenstructuur.

Dit thema volgt de standaard opzet voor BIO-thema’s:

  1. scope en begrenzing (§1.2);
  2. context en globale structuur van het thema (§1.3);
  3. beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen (§2.1);
  4. presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten (§2.1);
  5. globale relaties van de geïdentificeerd beveiligingsobjecten (§2.2).

Scope en begrenzing

In dit thema is de scope van het begrip serverplatform beperkt tot de basis functionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: serverhardware, virtualisatietechnologie en besturingssysteem (OS). Organisaties zullen op basis van deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden. Het beschrijft niet de kenmerken van specifieke type servers, zoals: bestandsserver, applicatieserver, webserver, mailserver of databaseserver.

De objecten ten aanzien van serverplatform komen soms direct of indirect uit ISO 27002. De vertaling van objecten uit ISO 27002/BIO wordt geïllustreerd in tabel 'Voorbeeld vertaling BIO objecten naar Thema ‘Serverplatform’ objecten'.


  ISO/BIO object     Vertaling naar Thema:  Serverplatform  
  Beleid voor beveiligd ontwikkelen  (14.2.1)     Beleid voor (beveiligd) onderhouden  van serverplatforms  
  Principes voor engineering van  beveiligde systemen     Principes serverplatform beveiliging.  
Serverplatform, Voorbeeld vertaling BIO-objecten naar Serverplatform-objecten

Context van serverplatform

Servers zijn computers, die via werkstations (clients), één of meerdere diensten en aan eindgebruikers of aan computersystemen beschikbaar stellen. Een server kan ook gerelateerd zijn aan zijn software die diensten mogelijk maakt, verzoeken accepteert en deze verwerkt. Voorbeelden van servers zijn: file-servers, database-servers, mail-servers, web-servers en FTP-servers Aan een server hangt één of meerdere clients. Figuur 1 geeft een globale context van enkele type servers en hoe ze in relatie staan met beleids- en beheersingsaspecten.

”Context thema Serverplatform”
Context thema Serverplatform
Een externe gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem logt bijvoorbeeld aan op een webserver vanuit internet. Dit type server geeft de relevante gebruikersgegevens door aan een portaltoegang-server, die op zijn beurt applicatieve diensten vanuit backofficeservers beschikbaar stelt. De onderste gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem in de figuur is een medewerker van een vertrouwde partij en zoekt via een semivertrouwd kanaalCommunicatiekanaal dat bij de dienstverlening wordt gebruikt. Elk kanaal kent verschillende vormen waarin informatie kan worden gedeeld. informatie op een webserver van de partnerorganisatie. De interne gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er tevens sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het operating systeem.
11 november 2019 11:21:46BIO Thema Serverplatform/Inleiding
BIO Thema Serverplatform - Beveiligingsobjecten van het serverplatformSERV_OBJHoofdstuk normenkader1.0Actueel1 februari 20191 februari 2019==Beveiligingsobjecten serverplatform==

Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC)), die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld spelen zijn:

  • welke rand voorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  • welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
  • welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?

De belangrijkste functieblokken van een server kunnen binnen de SIVA-lagenstructuur worden beschreven, die functieblokken bevatten elk beveiligingsmaatregelen, die we vanuit de normatiek duiden als beveiligingsobjecten.

Vaststellen van beveiligingsobjecten voor serverplatform

Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor het serverplatform, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten. Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging web richtlijnen.


 Nr.   Relevante beveiligingsobjecten   Referentie naar standaarden   IFGS 
 B.01   Beleid voor beveiligde inrichting en onderhoud   BIO/14.2.1   I 
 B.02   Principes voor inrichten van beveiligde servers   BIO/14.2.5   I 
 B.03   Serverplatform architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.   SoGP/SD2.2 (afgeleid uit)   S 
 U.01   Bedieningsprocedure   BIO/12.1.1   I 
 U.02   Standaarden voor configuratie van servers   SoGP/SY1.2   I 
 U.03   Malwareprotectie   BIO/12.2.1   F 
 U.04   Beheer van serverkwetsbaarheden   BIO/12.6.1   F 
 U.05   Patch-management   BIO/12.6.1, NCSC/WA   F 
 U.06   Beheer op afstand   BIO/6.2.2 (Afgeleid)   F 
 U.07   Onderhoud van serverapparatuur   BIO/11.2.4   F 
 U.08   Veilig verwijderen of hergebruiken van serverapparatuur   BIO/11.2.7   F 
 U.09   Hardenen van servers   SoGP/SYS1.25 en SYS12.8   G 
 U.10   Serverconfiguratie   SoGP/SY1.2   G 
 U.11   Virtueel serverplatform   SoGP/SY1.3   G 
 U.12   Beperking van software- installatie   BIO/12.6.2   G 
 U.13   Kloksynchronisatie   BIO/12.4.4   G 
 U.14   Ontwerpdocumentatie   SoGP/12.4.4   S 
 C.01   Evaluatie van richtlijnen voor servers en serverplatforms   BIO/10.10 2 (versie 2007)   I 
 C.02   Beoordeling technische serveromgeving   BIO/18.2.3   F 
 C.03   Logbestanden beheerders   BIO/12.4.3   G 
 C.04   Registratie van gebeurtenissen   BIO/12.4.1   G 
 C.05   Monitoren van servers en serverplatforms   NIST/AU-6   G 
 C.06   Beheerorganisatie servers en serverplatforms   CIP Domeingroep BIO   S 
Serverplatform, Overzicht van de relevante beveiligingsobjecten voor het serverplatform

Globale relaties tussen de geïdentificeerde beveiligingsobjecten

Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties ten behoeve van het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: Beleid, Uitvoering en Control. Deze objecten worden in Bijlage 1 verder toegelicht. De objecten per domein worden in hoofdstukken 3, 4 en 5 verder uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders.

”Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)”
Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)

Beleiddomein Geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moeten voldoen.

Uitvoeringsdomein De keuze van objecten uit ISO voor het thema serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan het serverplatform:

  • initiële installatie

de initiële installatie wordt uitgevoerd op basis van richtlijnen en procedures, bijvoorbeeld: Bedieningsprocedure (ISO terminologie),

  • beveiligings- en beheerfuncties

de beveiligingsfunctie is gerelateerd aan protectie mechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfuncties is gerelateerd aan enkele processen, zoals: Onderhoud van servers en Beheer van kwetsbaarheden,

  • feature configuratie

Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om beveiligingsniveau te kunnen garanderen.

  • structuur en ontwerp

De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerp document zijn vastgelegd.

Controldomein

Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.
21 oktober 2019 08:05:51BIO Thema Serverplatform/Objecten serverplatform
BIO Thema Serverplatform - Definiëring en omschrijving van beveiligingsobjectenSERV_Bijlage 1Hoofdstuk normenkader1.0Actueel1 februari 20191 februari 2019.
Nr. Relevante beveiligingsobjecten Omschrijving
B.01 Beleid voor(beveiligd) onderhouden van serverplatforms Het resultaat van de besluitvorming ten aanzien van het onderhoud van serverplatforms die het verantwoordelijk management van een organisatie heeft vastgelegd.
B.02 Principes serverplatform beveiliging Principiële uitgangspunten voor het inrichten van serverplatforms, zoals: “Security by design” en “Defense in depth".
B.03 Serverplatform Architectuur Raamwerk en/of blauwdrukken waarmee wordt aangegeven op welke wijze serverplatforms zijn ingericht, samenhangen, beveiligd en beheerst.
U.01 Bedieningsprocedure Een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms.
U.02 Standaarden voor configuratie servers Documenten waarin afspraken zijn vastgelegd ten aanzien van configuraties en parametrisering serverinstellingen.
U.03 Malwareprotectie Beschermingsmechanismen om servers te beschermen tegen schadelijke code en om schadelijke code te detecteren en te neutraliseren.
U.04 Beheer van server kwetsbaarheden Proactieve beveiliging van servers door het verwerven van inzicht in de kwetsbaarheden en zwakheden in de software die op de server zijn geïnstalleerd.
U.05 Patch-management Het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem.
U.06 Beheer op afstand Het beheer van server door beheerders vanuit een niet-vertrouwde omgeving.
U.07 Onderhoud apparatuur Het actualiseren van configuraties van een serverplatform binnen een tijdsinterval.
U.08 Veilig verwijderen of hergebruiken van apparatuur Het opschonen van apparatuur en het veilig stellen van data op de apparatuur.
U.09 Hardenen van servers Het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd.
U.10 Serverconfiguratie Het conform de vereisten instellen van de verschillende features van serverplatforms.
U.11 Virtueel serverplatform Het beschikbaar stellen van één of meer gescheiden ‘logische’ omgevingen op één fysieke server.
U.12 Beperking software installatie Het stellen van regels voor het installeren op servers of serverplatforms.
U.13 Kloksynchronisatie Het gelijkrichten van klokken op verschillende servers.
U.14 Ontwerpdocumentatie Een document waarin de relatie tussen servers en de instellingen van configuraties zijn vastgelegd.
C.01 Evaluatierichtlijnen serverplatforms Richtlijnen die evaluatie activiteiten van servers ondersteunen.
C.02 Beoordeling technische serveromgeving Het proces van beoordelen op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.
C.03 Logbestandenbeheerders Het vastleggen van activiteiten van beheerders.
C.04 Registratiegebeurtenissen Het proces van registreren van gebeurtenissen op een server vanuit beveiligingsoptiek.
C.05 Monitorenservers en besturingssystemen Het proces van bewaken, reviewen, analyseren van vastgelegde gebeurtenissen en het rapporteren hierover.
C.06 Beheerorganisatieservers en besturingssystemen De adequaat gepositioneerde organisatorische eenheid die verantwoordelijk is voor de beheersing van de serverplatforms.
Serverplatform, Definiëring/omschrijving van beveiligingsobjecten
14 mei 2019 09:09:32BIO Thema Serverplatform/Definiëring en omschrijving van beveiligingsobjecten
BIO Thema Serverplatform - VerbindingsdocumentSERV_VerbHoofdstuk normenkader1.0Actueel1 februari 20191 februari 2019Tekst wordt later toegevoegd16 mei 2019 12:29:26BIO Thema Serverplatform/Verbindingsdocument
Inhoud van het beveiligingsbeleidSERV_C.06.02Norm1.0Actueel1 februari 20191 februari 2019beveiligingsbeleidControlHet beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
  1. specifieke beveiligings- en architectuurvoorschriften;
  2. afhankelijkheden tussen servercomponenten;
  3. de inrichting, het onderhoud en het beheer van de servers.
Beheerorganisatie serverplatforms11 juli 2019 14:56:27ISOR:Inhoud van het beveiligingsbeleid
Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoudSERV_B.01.02Norm1.0Actueel1 februari 20191 februari 2019regelsBeleid
  • SoGP (Standard of Good Practice): SY 1.2.1
In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
  1. het toepassen van richtlijnen/standaarden voor configuratie van servers en operating systemen;
  2. het gebruik van hardeningsrichtlijnen;
  3. het toepassen van standaard images;
  4. het beperken van toegang tot krachtige faciliteiten en host parameter settings;
  5. het beschermen tegen ongeautoriseerde toegang.
Beleid voor beveiligde inrichting en onderhoud10 mei 2019 20:49:35ISOR:Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
De eindrapportage bevat verbeteringsvoorstellen op basis van analysesSERV_C.05.06Norm1.0Actueel1 februari 20191 februari 2019rapporterenControl
  • NEN-ISO/IEC 27002: 10.10.1
De eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan.Monitoren van serverplatforms10 mei 2019 20:48:26ISOR:De eindrapportage bevat verbeteringsvoorstellen op basis van analyses
De verzamelde loginformatie wordt in samenhang geanalyseerdSERV_C.05.02Norm1.0Actueel1 februari 20191 februari 2019reviewt/analyseertControl
  • NEN-ISO/IEC 27002: 10.10.1
De verzamelde loginformatie wordt in samenhang geanalyseerd.Monitoren van serverplatforms10 mei 2019 20:48:39ISOR:De verzamelde loginformatie wordt in samenhang geanalyseerd
Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteitenSERV_C.03.02Norm1.0Actueel1 februari 20191 februari 2019logbestandenControl
  • NEN-ISO/IEC 27002: 12.4.3
Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten.Beheerderactiviteiten vastgelegd in logbestanden10 mei 2019 20:49:56ISOR:Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten
Verantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beherenSERV_U.04.03Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
  • NEN-ISO/IEC 27002: 12.6.1
Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
  • de rollen en verantwoordelijkheden in samenhang met beheer van technische kwetsbaarheden vastgesteld;
  • de middelen om technische kwetsbaarheden te bepalen vastgesteld.
Beheer van serverkwetsbaarheden10 mei 2019 20:50:05ISOR:Verantwoordelijkheden - rollen en middelen om technische kwetsbaarheden te beheren
Alle externe toegang tot servers vindt versleuteld plaatsSERV_U.06.05Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
  • SoGP (Standard of Good Practice): NC 1.1.2
  • Alle externe toegang tot servers vindt versleuteld plaats.Beheer op afstand10 mei 2019 20:47:57ISOR:Alle externe toegang tot servers vindt versleuteld plaats
    De anti-malware software wordt regelmatig geüpdateSERV_U.03.08Norm1.0Actueel1 februari 20191 februari 2019herstelUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1
    Software die malware opspoort en bijbehorende herstelsoftware zijn geïnstalleerd en worden regelmatig geüpdate.Malwareprotectie10 mei 2019 20:48:25ISOR:De anti-malware software wordt regelmatig geüpdate
    De servers zijn geconfigureerd conform een gestandaardiseerde serverimageSERV_U.10.02Norm1.0Actueel1 februari 20191 februari 2019geconfigureerdUitvoering
    • SoGP (Standard of Good Practice): SY 1.2.3
    De servers zijn geconfigureerd in overeenstemming met een gestandaardiseerde en vooraf bepaald serverimage.Serverconfiguratie10 mei 2019 20:48:35ISOR:De servers zijn geconfigureerd conform een gestandaardiseerde serverimage
    In het architectuurdocument voor servers platforms vastgelegde inrichtings eisenSERV_B.03.02Norm1.0Actueel1 februari 20191 februari 2019architectuurdocumentBeleid
    • SoGP (Standard of Good Practice): SD 2.2
    In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen.Serverplatform architectuur10 mei 2019 20:49:19ISOR:In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen
    Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemenSERV_C.01.01Norm1.0Actueel1 februari 20191 februari 2019richtlijnenControl
    • NEN-ISO/IEC 27002:10.10.2
    De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen.Evaluatie richtlijnen servers en besturingssystemen10 mei 2019 20:49:45ISOR:Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen
    Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyseSERV_U.04.02Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
    • NEN-ISO/IEC 27002: 12.6.1
    Voor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheid van:
    • (onderlinge)afhankelijkheden;
    • software t.a.v. versienummers, toepassingsstatus;
    • verantwoordelijken voor de software.
    Beheer van serverkwetsbaarheden10 mei 2019 20:49:20ISOR:InformatieBetekenisvolle gegevens.-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse
    Servers en hiervoor gebruikte media worden routinematig gescand op malwareSERV_U.03.06Norm1.0Actueel1 februari 20191 februari 2019detectieUitvoeringServers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server zijn opgeslagen.Malwareprotectie11 juli 2019 13:49:14ISOR:Servers en hiervoor gebruikte media worden routinematig gescand op malware
    Eisen aan de periodieke beoordeling van de logbestandenSERV_C.05.01Norm1.0Actueel1 februari 20191 februari 2019reviewt/analyseertControl
  • NEN-ISO/IEC 27002: 10.10.1
  • De verantwoordelijke functionaris analyseert periodiek:

    De verantwoordelijke functionaris analyseert periodiek:

    • de gelogde gebruikers-, activiteiten gegevens ten aanzien van servers en serverplatforms;
    • het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen;
    • eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.
    NB: Verdachte gebeurtenissen zijn afwijkend en opmerkelijk gedrag ten aanzien gangbare patronen en geldende (beleids)regels.
    Monitoren van serverplatforms10 mei 2019 20:48:45ISOR:Eisen aan de periodieke beoordeling van de logbestanden
    Eisen aan het architectuurdocument van het in te richten van het serverplatformSERV_B.03.01Norm1.0Actueel1 februari 20191 februari 2019architectuurdocumentBeleid
    • SoGP (Standard of Good Practice): SD 2.2
    Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
    • heeft een eigenaar;
    • is voorzien van een datum en versienummer;
    • bevat een documenthistorie (wat is wanneer en door wie aangepast);
    • is actueel, juist en volledig;
    • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd;
    • wordt actief onderhouden.
    Serverplatform architectuur10 mei 2019 20:48:49ISOR:Eisen aan het architectuurdocument van het in te richten van het serverplatform
    Eisen aan het PatchmanagementSERV_U.05.04Norm1.0Actueel1 februari 20191 februari 2019procesmatigUitvoering
  • NEN-ISO/IEC 27002: 12.6.1
  • SoGP (Standard of Good Practice): TM 1.1.10
  • Het Patchmanagement proces bevat methoden om:
    1. patches te testen en te evalueren voordat ze worden geïnstalleerd;
    2. patches te implementeren op servers die niet toegankelijk zijn via het bedrijfsnetwerk;
    3. om te gaan met de mislukte of niet uitgevoerde patches;
    4. te rapporteren over de status van het implementeren van patches;
    5. acties te bepalen, ingeval een technische kwetsbaarheid niet met een patch kan worden hersteld, of een beschikbare patch niet kan worden aangebracht.
    Patchmanagement10 mei 2019 20:48:48ISOR:Eisen aan het Patchmanagement proces
    Eisen aan de inhoud en verspreiding van de loganalyseSERV_C.05.05Norm1.0Actueel1 februari 20191 februari 2019rapporterenControlDe analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management.Monitoren van serverplatforms11 juli 2019 14:53:39ISOR:Eisen aan de inhoud en verspreiding van de loganalyse rapportage
    Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingenSERV_C.02.02Norm1.0Actueel1 februari 20191 februari 2019nalevingControl
    • NEN-ISO/IEC 27002: 18.2.3
    Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd.Beoordeling technische serveromgeving10 mei 2019 20:49:39ISOR:Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen
    De malware scan wordt op alle omgevingen uitgevoerdSERV_U.03.07Norm1.0Actueel1 februari 20191 februari 2019detectieUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1
    De malware scan wordt op alle omgevingen uitgevoerd.Malwareprotectie10 mei 2019 20:48:28ISOR:De malware scan wordt op alle omgevingen uitgevoerd
    Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van serverSERV_B.01.01Norm1.0Actueel1 februari 20191 februari 2019regelsBeleid
    • BIO (Baseline Informatiebeveiliging Overheid): 14.2.1.1
    De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers.Beleid voor beveiligde inrichting en onderhoud10 mei 2019 20:49:00ISOR:Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
    De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegdSERV_C.01.04Norm1.0Actueel1 februari 20191 februari 2019richtlijnenControl
    • NEN-ISO/IEC 27002:10.10.2
    De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd.Evaluatie richtlijnen servers en besturingssystemen10 mei 2019 20:48:37ISOR:De taken verantwoordelijkheden en bevoegdheden van controle functionarissen zijn vastgelegd
    Het op afstand onderhouden van servers wordt strikt beheerdSERV_U.06.02Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • SoGP (Standard of Good Practice): NC 1.6.4
    Het op afstand onderhouden van servers wordt strikt beheerd door middel van:
    1. het verifiëren van de bron van de verbinding op afstand;
    2. het bepalen van de toestemming voordat toegang wordt verleend voor de connectiviteit;
    3. het beperken van het aantal gelijktijdige externe verbindingen;
    4. het bewaken van activiteiten gedurende de gehele duur van de verbinding;
    5. het uitschakelen van de verbinding zodra de geautoriseerde activiteit voltooid is.
    Beheer op afstand10 mei 2019 20:49:12ISOR:Het op afstand onderhouden van servers wordt strikt beheerd
    Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd.SERV_U.05.08Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • NCSC ICT-Webrichtlijnen voor webapplicaties
    Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd.Patchmanagement10 mei 2019 20:48:40ISOR:Een patchrichtlijn is opgesteld - vastgesteld en geaccordeerd
    Eisen aan het installeren van patches en tussentijdse mitigerende maatregelenSERV_U.04.01Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.6.1
    Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Beheer van serverkwetsbaarheden10 mei 2019 20:48:53ISOR:Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen
    Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperktSERV_U.09.02Norm1.0Actueel1 februari 20191 februari 2019functiesUitvoering
    • SoGP (Standard of Good Practice)
    Servers zijn zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
    1. communicatiediensten die inherent vatbaar zijn voor misbruik;
    2. communicatieprotocollen die gevoelig zijn voor misbruik.
    Hardenen van servers10 mei 2019 20:49:53ISOR:Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt
    Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende linksSERV_U.03.02Norm1.0Actueel1 februari 20191 februari 2019preventieUitvoering
    • NEN-ISO/IEC 27002: 12.2.1
    Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware.Malwareprotectie10 mei 2019 20:49:01ISOR:Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links
    De Patchmanagement procedure is actueel en beschikbaarSERV_U.05.05Norm1.0Actueel1 februari 20191 februari 2019procedureelUitvoering
    • NCSC ICT-Webrichtlijnen voor webapplicaties
    De patchmanagement procedure is actueel en beschikbaar.Patchmanagement10 mei 2019 20:48:21ISOR:De Patchmanagement procedure is actueel en beschikbaar
    Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemdSERV_U.03.05Norm1.0Actueel1 februari 20191 februari 2019preventieUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1
    Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en van het principe "need-of-use".Malwareprotectie10 mei 2019 20:45:46ISOR:Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd
    Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en proceduresSERV_U.11.03Norm1.0Actueel1 februari 20191 februari 2019virtuele serversUitvoering
    • SoGP (Standard of Good Practice): SY 1.3.1 & SY 1.3.2
    Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
    • fysieke servers, die worden gebruikt voor het hosten van virtuele servers;
    • hypervisors, die zijn geassocieerd met virtuele servers;
    • virtuele servers die op een fysieke server worden uitgevoerd.
    Beveiliging Virtueel serverplatform11 juli 2019 14:49:22ISOR:Virtuele servers worden ingezet - geconfigureerd en onderhouden conform standaarden en procedures
    Eisen aan het beoordelen van technische nalevingSERV_C.02.04Norm1.0Actueel1 februari 20191 februari 2019nalevingControl
  • NEN-ISO/IEC 27002: 18.2.3
  • Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management.Beoordeling technische serveromgeving10 mei 2019 20:48:50ISOR:Eisen aan het beoordelen van technische naleving
    Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaanSERV_U.12.01Norm1.0Actueel1 februari 20191 februari 2019regelsUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.6.2
    Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (white-list).Beperking van software-installatie10 mei 2019 20:49:33ISOR:Op de werkomgeving kan niets zelf worden geïnstalleerd anders dan wordt aangeboden of toegestaan
    In de bedieningsprocedures opgenomen bedieningsvoorschriftenSERV_U.01.03Norm1.0Actueel1 februari 20191 februari 2019bedieningsproceduresUitvoering
    • NEN-ISO/IEC 27002: 12.1.1
    In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
    1. de installatie en configuratie van systemen;
    2. de verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
    3. de back-up;
    4. de eisen ten aanzien van de planning, met inbegrip van onderlinge verbondenheid met andere systemen;
    5. de voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen ten aanzien van het gebruik van systeemhulpmiddelen;
    6. de ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van onverwachte bedienings- of technische moeilijkheden;
    7. het beheer van audit- en systeemlog bestandinformatie;
    8. de procedures voor het monitoren van activiteiten.
    Bedieningsprocedures10 mei 2019 20:49:18ISOR:In de bedieningsprocedures opgenomen bedieningsvoorschriften
    Toegang tot serverparameter en krachtige beheerinstrumenten is beperktSERV_U.10.03Norm1.0Actueel1 februari 20191 februari 2019ongeautoriseerdUitvoering
    • SoGP (Standard of Good Practice): SY 1.2.7
    Toegang tot server parameterinstellingen en krachtige beheerinstrumenten is:
    • beperkt tot een gelimiteerd aantal geautoriseerde personen;
    • beperkt tot specifiek omschreven situaties;
    • gekoppeld aan specifieke en gespecificeerde autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen.
    Serverconfiguratie10 mei 2019 20:50:00ISOR:Toegang tot serverparameter instellingen en krachtige beheerinstrumenten is beperkt
    De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd.SERV_U.13.02Norm1.0Actueel1 februari 20191 februari 2019gesynchroniseerdUitvoering
  • NEN-ISO/IEC 27002: 12.4.4
  • De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd op basis van externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd.Kloksynchronisatie10 mei 2019 20:48:27ISOR:De eisen voor synchronisatie, nauwkeurigheid en weergave van tijd zijn gedocumenteerd.
    De risico’s verbonden aan het installeren van de patch worden beoordeeldSERV_U.05.10Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoeringDe risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch.Patchmanagement11 juli 2019 13:53:51ISOR:De risico’s verbonden aan het installeren van de patch worden beoordeeld
    De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteitenSERV_C.01.02Norm1.0Actueel1 februari 20191 februari 2019richtlijnenControl
    • NEN-ISO/IEC 27002:10.10.2
    De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.Evaluatie richtlijnen servers en besturingssystemen10 mei 2019 20:48:29ISOR:De organisatie ondersteunt de ontrole activiteiten effectief met geautomatiseerde middelen
    De rechten van beheerders worden verleend op basis van rollenSERV_U.12.04Norm1.0Actueel1 februari 20191 februari 2019regelsUitvoering
    • NEN-ISO/IEC 27002: 12.6.2
    De rechten van beheerders worden verleend op basis van rollen.Beperking van software-installatie10 mei 2019 20:48:32ISOR:De rechten van beheerders worden verleend op basis van rollen
    De activiteiten zijn afgestemd op het incidentSERV_U.04.04Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
    • NEN-ISO/IEC 27002: 12.6.1
    Met betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident.Beheer van serverkwetsbaarheden10 mei 2019 20:48:24ISOR:De activiteiten zijn afgestemd op het incident beheerproces
    Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerdSERV_U.06.01Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • SoGP (Standard of Good Practice): NC 1.6.1
    Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door middel van:
    1. het definiëren en overeenkomen van de doelstellingen en reikwijdte van de geplande werkzaamheden;
    2. het autoriseren van individuele sessies;
    3. het beperken van toegangsrechten (binnen doelstellingen en reikwijdte);
    4. het loggen van alle ondernomen activiteiten;
    5. het gebruiken van unieke authenticatie referenties voor elke implementatie;
    6. het toewijzen van toegangsreferenties aan individuen in plaats van gedeeld;
    7. het intrekken van toegangsrechten en het wijzigen van wachtwoorden onmiddellijk nadat het overeengekomen onderhoud is voltooid;
    8. het uitvoeren van een onafhankelijke beoordeling van onderhoudsactiviteiten op afstand.
    Beheer op afstand10 mei 2019 20:49:59ISOR:Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd
    Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van serversSERV_B.02.01Norm1.0Actueel1 februari 20191 februari 2019principesBeleid
    • BIO (Baseline Informatiebeveiliging Overheid): 14.2.1.1
    De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers.Principes voor inrichten van beveiligde servers10 mei 2019 20:48:59ISOR:Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
    Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’sSERV_C.05.04Norm1.0Actueel1 februari 20191 februari 2019reviewt/analyseertControl
    • NEN-ISO/IEC 27002: 10.10.1
    De rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd.Monitoren van serverplatforms10 mei 2019 20:48:00ISOR:Analyse en evaluatie van beheer- log- en penetratietest rapportages op structurele risico’s
    Servers zijn voorzien van up-to-date anti-malwareSERV_U.03.04Norm1.0Actueel1 februari 20191 februari 2019preventieUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.2.1
    Gebruikers zijn voorgelicht over de risico's ten aanzien van surfgedrag en het klikken op onbekende links.Malwareprotectie20 mei 2019 16:43:45ISOR:Servers zijn voorzien van up-to-date anti-malware software
    Het kwetsbaarheden beheerprocesSERV_U.04.05Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
    • SoGP (Standard of Good Practice): TM 1.1.6
    Het proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
    • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van bekende technische kwetsbaarheden;
    • high-level inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie;
    • relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen;
    • prioriteit geven aan herstel van onderkende kwetsbaarheden.
    Beheer van serverkwetsbaarheden10 mei 2019 20:49:08ISOR:Het kwetsbaarheden beheerproces
    De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.SERV_U.12.02Norm1.0Actueel1 februari 20191 februari 2019regelsUitvoering
  • NEN-ISO/IEC 27002: 12.6.2
  • De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.Beperking van software-installatie10 mei 2019 20:48:31ISOR:De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software
    Servers worden beschermd tegen ongeoorloofde toegangSERV_U.09.03Norm1.0Actueel1 februari 20191 februari 2019toegangUitvoeringServers worden beschermd tegen ongeoorloofde toegang doordat:
    1. onnodige of onveilige gebruikersaccounts zijn verwijderd;
    2. belangrijke beveiliging gerelateerde parameters juist zijn ingesteld;
    3. time-out faciliteiten worden gebruikt, die:
      1. automatisch na een vooraf bepaalde periode van inactiviteit sessies sluiten en een blanco scherm tonen op de beheerschermen;
      2. vereisen dat opnieuw wordt ingelogd voordat een beheerscherm zich herstelt.
    Hardenen van servers11 juli 2019 14:02:46ISOR:Servers worden beschermd tegen ongeoorloofde toegang
    De systemen zijn met een standaard referentietijd voor gebruik geconfigureerdSERV_U.13.01Norm1.0Actueel1 februari 20191 februari 2019gedocumenteerdUitvoering
    • NEN-ISO/IEC 27002: 12.4.4
    • SoGP (Standard of Good Practice): TM 1.2.3
    De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken.Kloksynchronisatie10 mei 2019 20:48:36ISOR:De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd
    Het downloaden van bestanden is beheerst en beperktSERV_U.03.03Norm1.0Actueel1 februari 20191 februari 2019preventieUitvoering
    • NEN-ISO/IEC 27002: 12.2.1
    Severs zijn voorzien van (up-to-date) software die malware opspoort en daartegen beschermt.Malwareprotectie10 mei 2019 20:49:07ISOR:Het downloaden van bestanden is beheerst en beperkt
    Het principe van least-privilege wordt toegepastSERV_U.12.03Norm1.0Actueel1 februari 20191 februari 2019regelsUitvoering
    • NEN-ISO/IEC 27002: 12.6.2
    Het principe van least-privilege wordt toegepast.Beperking van software-installatie10 mei 2019 20:49:13ISOR:Het principe van least-privilege wordt toegepast
    Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteitenSERV_U.01.02Norm1.0Actueel1 februari 20191 februari 2019bedieningsproceduresUitvoering
    • NEN-ISO/IEC 27002: 12.1.1
    Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door hoger management goedgekeurd.Bedieningsprocedures10 mei 2019 20:48:56ISOR:Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten
    Procesmatig herstel van technische kwetsbaarhedenSERV_U.04.06Norm1.0Actueel1 februari 20191 februari 2019technische serverkwetsbaarhedenUitvoering
    • SoGP (Standard of Good Practice): TM 1.1.9
    Technische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld.Beheer van serverkwetsbaarheden10 mei 2019 20:49:41ISOR:Procesmatig herstel van technische kwetsbaarheden
    Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermdSERV_U.11.01Norm1.0Actueel1 februari 20191 februari 2019fysieke serversUitvoering
    • SoGP (Standard of Good Practice): SY 1.3.4
    Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd tegen:
    • onbeheerde en ad hoc inzet van virtuele servers (zonder juiste procedure aanvraag, creëren en schonen);
    • overbelasting van resources (CPU, geheugen en harde schijf) door het stellen van een limiet voor het aanmaken van het aantal virtuele servers op een fysieke host server.
    Beveiliging Virtueel serverplatform9 september 2019 07:58:51ISOR:Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd
    Eisen aan het beschermen van de logbestandenSERV_C.03.01Norm1.0Actueel1 februari 20191 februari 2019logbestandenControl
  • NEN-ISO/IEC 27002: 12.4.3
  • De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd.Beheerderactiviteiten vastgelegd in logbestanden10 mei 2019 20:48:51ISOR:Eisen aan het beschermen van de logbestanden
    Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerdSERV_U.06.04Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • SoGP (Standard of Good Practice): NC 1.1.2
    Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd.Beheer op afstand10 mei 2019 20:49:04ISOR:Handmatige interventie wordt niet toegepast tenzij geautoriseerd en gedocumenteerd
    Gedocumenteerde procedures voor bedieningsactiviteitenSERV_U.01.01Norm1.0Actueel1 februari 20191 februari 2019bedieningsproceduresUitvoering
    • BIO (Baseline Informatiebeveiliging Overheid): 12.1.1
    Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld.Bedieningsprocedures10 mei 2019 20:49:03ISOR:Gedocumenteerde procedures voor bedieningsactiviteiten
    Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerdSERV_U.04.07Norm1.0Actueel1 februari 20191 februari 2019geëvalueerdUitvoering
    • NEN-ISO/IEC 27002: 12.6.1
    Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd.Beheer van serverkwetsbaarheden10 mei 2019 20:49:09ISOR:Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd
    Eisen aan de periodieke rapportage over de analyse van de logbestandenSERV_C.05.03Norm1.0Actueel1 februari 20191 februari 2019reviewt/analyseertControl
    • NEN-ISO/IEC 27002: 10.10.1
    Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd.Monitoren van serverplatforms10 mei 2019 20:48:47ISOR:Eisen aan de periodieke rapportage over de analyse van de logbestanden
    Hypervisors worden geconfigureerdSERV_U.11.02Norm1.0Actueel1 februari 20191 februari 2019hypervisorsUitvoering
    • SoGP (Standard of Good Practice): SY 1.3.5
    Hypervisors worden geconfigureerd om:
    • virtuele servers onderling (logisch) te scheiden op basis van vertrouwelijkheidseisen en om te voorkomen dat informatie wordt uitgewisseld tussen discrete omgevingen;
    • de communicatie tussen virtuele servers te coderen;
    • de toegang te beperken tot een beperkt aantal geautoriseerde personen;
    • de rollen van hypervisor administrators te scheiden.
    Beveiliging Virtueel serverplatform9 september 2019 08:03:01ISOR:Hypervisors worden geconfigureerd
    Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevatSERV_U.08.02Norm1.0Actueel1 februari 20191 februari 2019geverifieerdUitvoering
  • NEN-ISO/IEC 27002: 11.2.7
  • Voorafgaand aan verwijdering of hergebruik wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd.Veilig verwijderen of hergebruiken van serverapparatuur10 mei 2019 20:49:02ISOR:Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat
    Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaarSERV_C.02.03Norm1.0Actueel1 februari 20191 februari 2019nalevingControl
    • NEN-ISO/IEC 27002: 18.2.3
    De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar.Beoordeling technische serveromgeving10 mei 2019 20:50:01ISOR:Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar
    Een technisch mechanisme zorgt voor (semi-)automatische updatesSERV_U.05.02Norm1.0Actueel1 februari 20191 februari 2019procesmatigUitvoering
    • NCSC ICT-Webrichtlijnen voor webapplicaties
    Een technisch mechanisme zorgt voor (semi-) automatische updates.Patchmanagement10 mei 2019 20:48:41ISOR:Een technisch mechanisme zorgt voor (semi-)automatische updates
    Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeldSERV_U.09.01Norm1.0Actueel1 februari 20191 februari 2019functiesUitvoering
    • SoGP (Standard of Good Practice)
    Servers zijn zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
    1. niet-essentiële en overbodige (redundant) services;
    2. het kunnen uitvoeren van gevoelige transacties en scripts;
    3. krachtige beheerhulpmiddelen;
    4. het “run” commando” en “commandprocessors”;
    5. de “auto-run”-functie.
    Hardenen van servers10 mei 2019 20:49:52ISOR:Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld
    Richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatieSERV_C.01.03Norm1.0Actueel1 februari 20191 februari 2019richtlijnenControl
    • NEN-ISO/IEC 27002:10.10.2
    De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Evaluatie richtlijnen servers en besturingssystemen10 mei 2019 20:49:46ISOR:Richtlijnen voor het uitvoeren van registratie - statusmeting - analyse - rapportage en evaluatie
    De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteldSERV_U.05.06Norm1.0Actueel1 februari 20191 februari 2019procedureelUitvoering
    • NCSC ICT-Webrichtlijnen voor webapplicaties
    De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld.Patchmanagement10 mei 2019 20:48:34ISOR:De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld
    Beveiligingsprincipes voor het beveiligd inrichten van serversSERV_B.02.02Norm1.0Actueel1 februari 20191 februari 2019principesBeleid
    • SoGP (Standard of Good Practice)
    Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
    • defense in depth (beveiliging op verschillende lagen);
    • secure by default;
    • least privilege (minimale toegangsniveau);
    • fail secure, waarbij informatie in geval van een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd;
    • eenduidige naamgevingconventie;
    • minimalisatie van Single points of failure.
    Principes voor inrichten van beveiligde servers10 mei 2019 20:48:20ISOR:Beveiligingsprincipes voor het beveiligd inrichten van servers
    Activiteiten van de beveiligingsfunctionarisSERV_C.06.01Norm1.0Actueel1 februari 20191 februari 2019beveiligingsfunctionarisControlDe beveiligingsfunctionaris zorgt o.a. voor:
    1. de actualisatie van beveiligingsbeleid ten aanzien servers en besturingssystemen;
    2. de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met o.a. de ketenpartijen;
    3. de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    4. de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    5. de bespreking van beveiligingsissues met ketenpartijen;
    6. het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.
    Beheerorganisatie serverplatforms10 mei 2019 20:47:56ISOR:Activiteiten van de beveiligingsfunctionaris
    Het onderhoud van servers wordt uitgevoerd op basis van richtlijnenSERV_U.07.01Norm1.0Actueel1 februari 20191 februari 2019onderhoudenUitvoering
    • NEN-ISO/IEC 27002: 11.2.4
    Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen die invulling geven aan de volgende eisen:
    1. onderhoud wordt uitgevoerd in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten;
    2. alleen bevoegd onderhoudspersoneel voert reparaties en onderhoudsbeurten uit;
    3. van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt registratie bijgehouden;
    4. voor onderhoud vanuit interne of externe locaties worden passende maatregelen getroffen;
    5. voordat servers na onderhoud weer in bedrijf worden gesteld, vindt een inspectie plaats om te waarborgen dat niet is geknoeid met de server en dat deze nog steeds of weer goed functioneert.
    Onderhoud van servers10 mei 2019 20:49:10ISOR:Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen
    De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/proceduresSERV_U.10.01Norm1.0Actueel1 februari 20191 februari 2019geconfigureerdUitvoering
    • SoGP (Standard of Good Practice): SY 1.2.1
    De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures en welke betrekking hebben op:
    1. het inrichten van standaard firmware-configuraties;
    2. het gebruik van gestandaardiseerde vooraf bepaalde server-images voor het bouwen/configureren van servers;
    3. het wijzigen van de standaardwaarden en andere beveiligingsparameters van de leverancier(s);
    4. het verwijderen, uitschakelen en/of beperken van onnodige functies en services;
    5. het beperken van de toegang tot krachtige beheerhulpmiddelen en hostparameter instellingen;
    6. het beschermen tegen ongeoorloofde toegang;
    7. het uitvoeren van standaard beveiligingsbeheer.
    Serverconfiguratie10 mei 2019 20:48:22ISOR:De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures
    Alleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerdSERV_U.05.09Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
    • NEN-ISO/IEC 27002: 12.6.1
    Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.Patchmanagement10 mei 2019 20:47:59ISOR:Alleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd
    In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van softwareSERV_U.03.01Norm1.0Actueel1 februari 20191 februari 2019preventieUitvoering
    • NEN-ISO/IEC 27002: 12.2.1
    Een formeel beleid wordt toegepast waarin het gebruik van ongeautoriseerde gebruik van software is verboden.Malwareprotectie10 mei 2019 20:49:17ISOR:In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software
    Patchmanagement is beschreven, goedgekeurd en toegekendSERV_U.05.01Norm1.0Actueel1 februari 20191 februari 2019procesmatigUitvoeringHet patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris.Patchmanagement11 juli 2019 13:52:34ISOR:Patchmanagement is beschreven goedgekeurd en toegekend
    Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisorsSERV_U.11.04Norm1.0Actueel1 februari 20191 februari 2019virtuele serversUitvoering
    • SoGP (Standard of Good Practice): SY 1.3.6 & SY 1.3.7
    Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
    • het toepassen van standaard beveiligingsrichtlijnen ten aanzien van fysieke en logische toegang;
    • het hardenen van de fysieke en virtuele servers;
    • wijzigingsbeheer, malwareprotectie;
    • het toepassen van monitoring en van netwerk gebaseerde beveiliging.
    Beveiliging Virtueel serverplatform11 juli 2019 14:49:51ISOR:Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors
    Registratie van de aspecten van een patchSERV_U.05.07Norm1.0Actueel1 februari 20191 februari 2019procedureelUitvoering
  • NCSC ICT-Webrichtlijnen voor webapplicaties
  • De volgende aspecten van een patch worden geregistreerd:
    de beschikbare patches;
    
    • hun relevantie voor de systemen / bestanden;
    • het besluit tot wel/niet uitvoeren;
    • de testdatum en het resultaat van de patchtest;
    • de datum van implementatie; en
    • het patchresultaat.
    Patchmanagement10 mei 2019 20:49:44ISOR:Registratie van de aspecten van een patch
    Het serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerdSERV_U.06.03Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoering
  • SoGP (Standard of Good Practice): NC 1.1.2
  • Het serverplatform is zodanig ingericht, dat deze op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden.Beheer op afstand10 mei 2019 20:49:14ISOR:Het serverplatform is zodanig ingericht dat deze op afstand wordt geconfigureerd en beheerd
    Eisen aan de "gedocumenteerde standaarden"SERV_U.02.01Norm1.0Actueel1 februari 20191 februari 2019standaardenUitvoering
    • SoGP (Standard of Good Practice): SY 1.2.1
    De documentatie conform de standaarden omvat:
    1. het bieden van gestandaardiseerde firmware-configuraties;
    2. het gebruik van gestandaardiseerde en vooraf bepaalde server-images voor het bouwen/configureren van servers;
    3. het wijzigen van de standaardwaarden van leverancier- en andere beveiligingsparameters;
    4. het uitschakelen of beperken van onnodige functies en services;
    5. het beperken van de toegang tot krachtige beheerhulpmiddelen en host-parameter instellingen (bijvoorbeeld Windows 'Register-editor');
    6. het beschermen tegen ongeoorloofde toegang;
    7. het uitvoeren van standaard beveiligingsbeheer praktijken.
    Standaarden voor configuratie van servers10 mei 2019 20:48:42ISOR:Eisen aan de "gedocumenteerde standaarden"
    Eisen aan het vervaardigen en interpreteren van technische nalevingSERV_C.02.01Norm1.0Actueel1 februari 20191 februari 2019nalevingControl
    • NEN-ISO/IEC 27002: 18.2.3
    Technische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist.Beoordeling technische serveromgeving10 mei 2019 20:48:54ISOR:Eisen aan het vervaardigen en interpreteren van technische naleving
    Niet meer benodigde opslagmedia en informatie van servers worden vernietigdSERV_U.08.01Norm1.0Actueel1 februari 20191 februari 2019opslagmediaUitvoering
    • NEN-ISO/IEC 27002: 11.2.7
    de server(s):
    1. wordt informatie welke niet meer benodigd is, vernietigd door middel van het verwijderen of overschrijven gebruikmakend van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen;
    2. worden opslagmedia die niet meer benodigd zijn en die vertrouwelijke of door auteursrecht beschermde informatie bevatten fysiek vernietigd.
    Veilig verwijderen of hergebruiken van serverapparatuur10 mei 2019 20:49:28ISOR:Niet meer benodigde opslagmedia en informatie van servers worden vernietigd
    Wanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogenSERV_U.05.11Norm1.0Actueel1 februari 20191 februari 2019richtlijnenUitvoeringWanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
    • het uitschakelen van functionaliteiten en/of diensten;
    • het aanpassen of toevoegen van toegangsbeveiligingsmaatregelen, bijv. firewalls, rond de grenzen van netwerken;
    • het vaker monitoren om de werkelijke aanvallen op te sporen;
    • het kweken van bewustzijn omtrent de kwetsbaarheid.
    Patchmanagement11 juli 2019 13:55:48ISOR:Wanneer een niet patch beschikbaar is worden andere beheersmaatregelen overwogen
    Op basis van inzicht vanuit configuratiebeheer worden de servers gepatchtSERV_U.05.03Norm1.0Actueel1 februari 20191 februari 2019procesmatigUitvoering
  • NCSC ICT-Webrichtlijnen voor webapplicaties
  • Configuratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht.Patchmanagement10 mei 2019 20:49:32ISOR:Op basis van inzicht vanuit configuratiebeheer worden de servers gepatcht
    Eisen aan de inhoud van de logbestanden van gebeurtenissenSERV_C.04.01Norm1.0Actueel1 februari 20191 februari 2019logbestandenControl
    • NEN-ISO/IEC 27002: 12.4.1
    Logbestanden van gebeurtenissen bevatten, voor zover relevant:
    1. gebruikersidentificaties;
    2. systeemactiviteiten;
    3. data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie;
    4. identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
    5. systeemconfiguratie veranderingen;
    6. gebruik van speciale bevoegdheden;
    7. alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
    8. activering en deactivering van beschermingssystemen, zoals antivirus systemen en inbraakdetectie systemen;
    9. verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.
    Registratie gebeurtenissen10 mei 2019 20:48:44ISOR:Eisen aan de inhoud van de logbestanden van gebeurtenissen
    BIO Thema ServerplatformSERVNormenkader1.0Actueel1 februari 20191 februari 201910 mei 2019 20:47:50BIO Thema Serverplatform
    Serverplatform BeleidSERV_BNormenkader-aspect1.0Actueel1 februari 2019Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Serverplatform beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

    Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Serverplatform De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

    Binnen de kolom functies behoren objecten te worden opgenomen die ten aanzien van het Serverplatform gerelateerd zijn aan beveiligingsfuncties en beheerprocessen. Deze objecten hebben in dit geval echter meer een operationele karakter, daarom zijn functiegerelateerde objecten in het Uitvoeringsdomein opgenomen. De noodzakelijke beveiligingseisen t.a.v. functies op dit niveau zijn vermeld in het beleid voor ‘Serverplatform’ (B.01). Binnen de gedrag kolom zouden we een beleid ten aanzien van configuratie, parametrisering en toegangsbeleid tot serverplatform kunnen opnemen; dit soort beleidselementen komen echter in dit geval ook voor in het beleid voor ‘Serverplatform’ (B.01) en vandaar dat ook in deze kolom geen objecten zijn vermeld.

    ”Onderwerpen die binnen het Beleid domein een rol spelen”
    Onderwerpen die binnen het Beleid domein een rol spelen


     Nr.   Relevante beveiligingsobjecten   Referentie naar standaarden   IFGS 
     B.01   Beleid voor beveiligde inrichting en onderhoud   BIO: 14.2.1   I 
     B.02   Principes voor inrichten van beveiligde servers   BIO: 14.2.5   I 
     B.03   Serverplatform architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.   SoGP/SD2.2 (afgeleid uit)   S 
    Serverplatform, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten
    De doelstelling van het beleidsdomein is de conditionele elementen te identificeren die randvoorwaardelijk zijn voor het inrichten, beveiligen en beheersen van de serverplatforms. De hiervoor van belang zijnde beveiligingsobjecten en de daaraan gerelateerde maatregel zijn opgenomen.Als de juiste beleidsaspecten voor de inrichting en het onderhoud van het serverplatform ontbreken, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan een veilige inrichting en exploitatie van de systemen die op dit serverplatform draaien. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een grote kans op datalekken.Beleid30014 oktober 2019 10:33:51ISOR:BIO Thema Serverplatform Beleid
    Serverplatform UitvoeringSERV_UNormenkader-aspect1.0Actueel1 februari 2019De onderwerpen die specifiek voor het serverplatform een rol spelen, zijn in Tabel 'Uitvoeringsobjecten uitgewerkt in het uitvoeringsdomein' en Figuur 'Thema Serverplatform - Onderwerpen die binnen het Uitvoeringsdomein een rol spelen' vermeld.
    ”Thema Serverplatform - Onderwerpen die binnen het Uitvoeringsdomein een rol spelen”
    Onderwerpen die binnen het Uitvoeringsdomein een rol spelen


     Nr.   Relevante beveiligingsobjecten   Referentie naar standaarden   IFGS 
     U.01   Bedieningsprocedure   BIO/12.1.1   I 
     U.02   Standaarden voor configuratie van servers   SoGP/SY1.2   I 
     U.03   Malwareprotectie   BIO/12.2.1   F 
     U.04   Beheer van serverkwetsbaarheden   BIO/12.6.1   F 
     U.05   Patch-management   BIO/12.6.1, NCSC/WA   F 
     U.06   Beheer op afstand   BIO/6.2.2 (Afgeleid)   F 
     U.07   Onderhoud van serverapparatuur   BIO/11.2.4   F 
     U.08   Veilig verwijderen of hergebruiken van serverapparatuur   BIO/11.2.7   F 
     U.09   Hardenen van servers   SoGP/SYS1.25 en SYS12.8   G 
     U.10   Serverconfiguratie   SoGP/SY1.2   G 
     U.11   Beveiliging van virtuele servers   SoGP/SY1.3   G 
     U.12   Beperking van software- installatie   BIO/12.6.2   G 
     U.13   Kloksynchronisatie   BIO/12.4.4   G 
     U.14   Ontwerpdocumentatie serverplatform   SoGP/12.4.4   S 
    Serverplatform, Voor het Uitvoeringsdomein uitgewerkte Beveiligingsobjecten
    De doelstelling van het uitvoeringsdomein voor inrichting en exploitatie van het serverplatform is het waarborgen dat de werkzaamheden plaatsvinden overeenkomstig specifieke beleidsuitgangspunten en dat de werking voldoet aan de eisen die door de klant (doelorganisatie) zijn gesteld.Wanneer adequate protectiefuncties voor het serverplatform ontbreken, ontstaan er risico’s op het gebied van virus- en malwarebesmetting, dataverlies of datalekkage.

    Wanneer meer functionaliteit is ingeschakeld dan nodig is voor de bedrijfsvoering, dan nemen risico’s van diefstal of inbreuk toe. Wanneer er onvoldoende zoneringfuncties zijn geactiveerd, kunnen invloeden van buitenaf de dienstverlening via computers of netwerken onmogelijk maken.

    Hiaten in de systeemketens zoals Single points of Failure (SpoF), veroorzaken continuïteitsproblemen en maken 7x24 uur beschikbaarheidgaranties praktisch onmogelijk.
    Uitvoering14 oktober 2019 10:35:15ISOR:BIO Thema Serverplatform Uitvoering
    Serverplatform ControlSERV_CNormenkader-aspect1.0Actueel1 februari 2019De onderwerpen die specifiek voor het serverplatform een rol spelen, zijn in Tabel 'Controlobjecten uitgewerkt in het Controldomein' en in Figuur 'Thema Serverplatform - Onderwerpen die binnen het Controldomein een rol spelen' vermeld.
    Thema Serverplatform - Onderwerpen die binnen het Controldomein een rol spelen
    Onderwerpen die binnen het Control domein een rol spelen


    Nr. Relevante beveiligingsobjecten Referentie naar standaarden IFGS
    C.01 Evaluatie van richtlijnen serverplatforms BIO versie 2007: 10.10.2 I
    C.02 Beoordeling technische serveromgeving BIO: 18.2.3 F
    C.03 Logbestanden beheerders BIO: 12.4.3 G
    C.04 Registratie van gebeurtenissen BIO: 12.4.1 G
    C.05 Monitoren van serverplatforms NIST: AU-6 G
    C.06 Beheerorganisatie serverplatforms CIP Domeingroep BIO S
    Serverplatform, Voor het Control domein uitgewerkte Beveiligingsobjecten
    Doelstelling van het Controldomein is om vast te stellen of:
    • de beoogde controls voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheid, integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van het serverplatform;
    • de infrastructurele diensten functioneel en technisch op het juiste niveau worden gehouden.
    Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.
    Door het ontbreken van noodzakelijke maatregelen binnen de organisatie van de IT-Leverancier is het niet zeker of de ontwikkel- en onderhoud- administratie aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Ook kan dan niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.Control30014 oktober 2019 10:32:50ISOR:BIO Thema Serverplatform Control