ISOR:Beheer van serverkwetsbaarheden: verschil tussen versies
k (1 versie: ISOR normenkader Serverplatform) |
k (titel uniek gemaakt omdat de titel ook in andere BIO Thema-uitwerkingen voorkomt) |
||
(15 tussenliggende versies door 4 gebruikers niet weergegeven) | |||
Regel 1: | Regel 1: | ||
{{# | {{#element: | ||
|Elementtype=Beveiligingsprincipe | |Elementtype=Beveiligingsprincipe | ||
|Versieaanduiding=1 | |ID=SVP_U.04 | ||
|Titel=Technische kwetsbaarhedenbeheer serverplatform | |||
|Versieaanduiding=2.1 | |||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Redactionele wijzigingsdatum= | |Px=300 | ||
|Publicatiedatum= | |Redactionele wijzigingsdatum=2021/11/25 | ||
|Beschrijving=Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt. | |Publicatiedatum=2021/10/25 | ||
|Beschrijving===Objectdefinitie== | |||
Betreft een instandhoudingsproces voor het onderzoek naar en het oplossen van technische kwetsbaarheden. | |||
==Objecttoelichting== | |||
Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt. | |||
Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen: | Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen: | ||
Regel 13: | Regel 19: | ||
* Wat zijn bekende kwetsbaarheden en zwakheden? | * Wat zijn bekende kwetsbaarheden en zwakheden? | ||
Gerelateerd aan kwetsbaarhedenbeheer is het patchmanagementproces. Het [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]-onderwerp ‘Beheer van technische kwetsbaarheden’ (in paragraaf 12.6.1) behandelt wat betreft de maatregelen twee onderwerpen: | |||
| | # Kwetsbaarhedenbeheer (vulnerability-management); | ||
# Patchmanagement (zie [[ISOR:Patchmanagement|U.05 Patchmanagement)]]. | |||
|Criterium=Informatie over ''technische serverkwetsbaarheden'' | |||
In deze BIO Thema-uitwerking worden deze twee onderwerpen apart beschreven. | |||
|Criterium=Informatie over ''technische serverkwetsbaarheden''{{Ref|HRpentesten|Zie handreiking: 4.42 Pentratietesten}} behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken. | |||
|Doelstelling=Het voorkomen van misbruik van technische kwetsbaarheden en bij blootstelling ervan tijdig passende maatregelen treffen. | |||
|Risico=Kwetsbaarheden in servers worden niet opgemerkt, waardoor er misbruik van gemaakt kan worden. | |||
|Beveiligingsaspect=Uitvoering | |Beveiligingsaspect=Uitvoering | ||
|Invalshoek=Functie | |Invalshoek=Functie | ||
|Grondslag=* | |Grondslag=* BIO (Baseline Informatiebeveiliging Overheid): 12.6.1 | ||
|Conformiteitsindicator= | |Conformiteitsindicator=Technische serverkwetsbaarheden, Geëvalueerd | ||
|Heeft bron=BIO Thema Serverplatform | |||
|Is subnorm=Nee | |||
|Heeft ouder=ISOR:BIO Thema Serverplatform Uitvoering | |Heeft ouder=ISOR:BIO Thema Serverplatform Uitvoering | ||
}} | }} |
Huidige versie van 25 nov 2021 om 17:51
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft een instandhoudingsproces voor het onderzoek naar en het oplossen van technische kwetsbaarheden.
Objecttoelichting
Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt.
Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen:
- Hoe is de serveromgeving opgebouwd en geconfigureerd?
- Wat zijn bekende kwetsbaarheden en zwakheden?
Gerelateerd aan kwetsbaarhedenbeheer is het patchmanagementproces. Het ISO 27002-onderwerp ‘Beheer van technische kwetsbaarheden’ (in paragraaf 12.6.1) behandelt wat betreft de maatregelen twee onderwerpen:
- Kwetsbaarhedenbeheer (vulnerability-management);
- Patchmanagement (zie U.05 Patchmanagement).
In deze BIO Thema-uitwerking worden deze twee onderwerpen apart beschreven.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 12.6.1
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SVP_U.04.01 | Technische serverkwetsbaarheden |
Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. |
SVP_U.04.02 | Technische serverkwetsbaarheden |
Voor een doeltreffende kwetsbaarhedenanalyse van serverplatforms en servers is informatie aanwezig over beschikbaarheid van:
|
SVP_U.04.03 | Technische serverkwetsbaarheden |
Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
|
SVP_U.04.04 | Technische serverkwetsbaarheden |
Voor de technische kwetsbaarheden zijn voor een doeltreffend beheerproces de activiteiten afgestemd op het incidentbeheerproces. |
SVP_U.04.05 | Technische serverkwetsbaarheden |
Het kwetsbaarhedenbeheerproces wordt uitgevoerd voor:
|
SVP_U.04.06 | Technische serverkwetsbaarheden |
Technische kwetsbaarheden worden via de patchmanagementprocessen en/of het wijzigingsbeheer hersteld. |
SVP_U.04.07 | Geëvalueerd |
Het kwetsbaarhedenbeheerproces wordt regelmatig gemonitord en geëvalueerd. |
- ↑ Zie handreiking: 4.42 Pentratietesten