ISOR:Beheer van serverkwetsbaarheden: verschil tussen versies

Uit NORA Online
ISOR:Beheer van serverkwetsbaarheden
Naar navigatie springen Naar zoeken springen
(tekst aangepast n.a.v. review)
(update naar versie 2.0)
Regel 1: Regel 1:
 
{{#element:
{{#Element:
|Elementtype=Beveiligingsprincipe
|Elementtype=Beveiligingsprincipe
|ID=SERV_U.04
|ID=SVB_U.04
|Titel=Beheer van serverkwetsbaarheden
|Titel=Beheer van serverkwetsbaarheden
|Is subnorm=Nee
|Versieaanduiding=2.0
|Versieaanduiding=1.0
|Status actualiteit=Actueel
|Status actualiteit=Actueel
|Redactionele wijzigingsdatum=2019/02/01
|Px=300
|Publicatiedatum=2019/02/01
|Redactionele wijzigingsdatum=2021/06/23
|Beschrijving=Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt.
|Publicatiedatum=2021/03/05
|Beschrijving===Definitie==
Proactieve beveiliging van servers door het verwerven van inzicht in de kwetsbaarheden en zwakheden in de software die op de server zijn geïnstalleerd.
 
==Toelichting==
Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt.


Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen:
Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen:
* Hoe is de serveromgeving opgebouwd en geconfigureerd?
* Hoe is de serveromgeving opgebouwd en geconfigureerd?
* Wat zijn bekende kwetsbaarheden en zwakheden?
* Wat zijn bekende kwetsbaarheden en zwakheden?


Gerelateerd aan ‘Kwetsbaarhedenbeheer’ is het proces ‘Patch-management’. Het ISO-onderwerp ‘Beheer van technische kwetsbaarheden (12.6.1)behandelt wat betreft de maatregelen twee onderwerpen: kwetsbaarheden beheer (vulnerability management) (zie: U.04) en  patchmanagement (zie: U.05). In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.
Gerelateerd aan kwetsbaarhedenbeheer is het patchmanagementproces. Het ISO 27002-onderwerp ‘Beheer van technische kwetsbaarheden’ (in paragraaf 12.6.1) behandelt wat betreft de maatregelen twee onderwerpen:
# Kwetsbaarhedenbeheer (vulnerability-management);
# Patchmanagement (zie paragraaf 4.3.5 U.05 Patchmanagement).


In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.
In dit thema worden deze twee onderwerpen apart beschreven.
|Criterium=Informatie over ''technische serverkwetsbaarheden'' (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden ''geëvalueerd'' en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.
|Criterium=Informatie over ''technische serverkwetsbaarheden'' behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.
|Doelstelling=De reden waarom de norm gehanteerd wordt.
|Doelstelling=Het voorkomen van misbruik van technische kwetsbaarheden en bij blootstelling ervan tijdig passende maatregelen treffen.
|Risico=Kwetsbaarheden in servers worden niet opgemerkt, waardoor er misbruik van gemaakt kan worden.
|Beveiligingsaspect=Uitvoering
|Beveiligingsaspect=Uitvoering
|Invalshoek=Functie
|Invalshoek=Functie
|Grondslag=* NEN-ISO/IEC 27002: 12.6.1
|Grondslag=* BIO 2019: 12.6.1
|Px=300
|Conformiteitsindicator=technische serverkwetsbaarheden,geëvalueerd
|Conformiteitsindicator=technische serverkwetsbaarheden,geëvalueerd
|Heeft bron=BIO Thema Serverplatform
|Heeft bron=BIO Thema Serverplatform
|Is subnorm=Nee
|Heeft ouder=ISOR:BIO Thema Serverplatform Uitvoering
|Heeft ouder=ISOR:BIO Thema Serverplatform Uitvoering
}}
}}

Versie van 23 jun 2021 10:07

Versie 2.0 van 5 maart 2021 van de BIO Thema-uitwerking Serverplatform is vervangen door versie 2.1 van 25 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)
ID: SVB_U.04
Beveiligingsprincipe
Versie: 2.0
Status: Actueel
Publicatiedatum: 25-10-2021
Redactionele wijzigingsdatum: 25-11-2021
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
Blauw vierkant kader met daarin in wit de F van Functie

Functie

Verwante principes

BIO Thema-uitwerking Serverplatform
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Definitie

Proactieve beveiliging van servers door het verwerven van inzicht in de kwetsbaarheden en zwakheden in de software die op de server zijn geïnstalleerd.

Toelichting

Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt.

Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen:

  • Hoe is de serveromgeving opgebouwd en geconfigureerd?
  • Wat zijn bekende kwetsbaarheden en zwakheden?

Gerelateerd aan kwetsbaarhedenbeheer is het patchmanagementproces. Het ISO 27002-onderwerp ‘Beheer van technische kwetsbaarheden’ (in paragraaf 12.6.1) behandelt wat betreft de maatregelen twee onderwerpen:

  1. Kwetsbaarhedenbeheer (vulnerability-management);
  2. Patchmanagement (zie paragraaf 4.3.5 U.05 Patchmanagement).

In dit thema worden deze twee onderwerpen apart beschreven.


Criterium

Informatie over technische serverkwetsbaarheden behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.

Doelstelling

Het voorkomen van misbruik van technische kwetsbaarheden en bij blootstelling ervan tijdig passende maatregelen treffen.

Risico

Kwetsbaarheden in servers worden niet opgemerkt, waardoor er misbruik van gemaakt kan worden.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 12.6.1

Onderliggende normen

IDConformiteitsindicatorStelling
SVP_U.04.01 Technische serverkwetsbaarheden

Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.

SVP_U.04.02 Technische serverkwetsbaarheden

Voor een doeltreffende kwetsbaarhedenanalyse van serverplatforms en servers is informatie aanwezig over beschikbaarheid van:

  • (onderlinge) afhankelijkheden;
  • software ten aanzien van versienummers en toepassingsstatus;
  • verantwoordelijken voor de software.
SVP_U.04.03 Technische serverkwetsbaarheden

Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:

  • de rollen en verantwoordelijkheden in samenhang met beheer van technische kwetsbaarheden vastgesteld;
  • de middelen om technische kwetsbaarheden te bepalen, vastgesteld.
SVP_U.04.04 Technische serverkwetsbaarheden

Voor de technische kwetsbaarheden zijn voor een doeltreffend beheerproces de activiteiten afgestemd op het incidentbeheerproces.

SVP_U.04.05 Technische serverkwetsbaarheden

Het kwetsbaarhedenbeheerproces wordt uitgevoerd voor:

  • de identificatie van bekende technische kwetsbaarheden;
  • een hoog-over-inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie;
  • de relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen;
  • het prioriteit geven aan herstel van onderkende kwetsbaarheden.
SVP_U.04.06 Technische serverkwetsbaarheden

Technische kwetsbaarheden worden via de patchmanagementprocessen en/of het wijzigingsbeheer hersteld.

SVP_U.04.07 Geëvalueerd

Het kwetsbaarhedenbeheerproces wordt regelmatig gemonitord en geëvalueerd.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Betekenisvolle gegevens.

Betekenisvolle gegevens.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Beheer_van_serverkwetsbaarheden&oldid=51313"