ISOR:Patchmanagement: verschil tussen versies
k (titel aangepast vanwege pagina met zelfde titel) |
k (titel uniek gemaakt omdat de titel ook in andere BIO Thema-uitwerkingen voorkomt) |
||
(7 tussenliggende versies door 2 gebruikers niet weergegeven) | |||
Regel 1: | Regel 1: | ||
{{#element: | {{#element: | ||
|Elementtype=Beveiligingsprincipe | |Elementtype=Beveiligingsprincipe | ||
|ID= | |ID=SVP_U.05 | ||
|Titel=Patchmanagement serverplatform | |Titel=Patchmanagement serverplatform | ||
|Versieaanduiding=1 | |Versieaanduiding=2.1 | ||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Redactionele wijzigingsdatum=2021/ | |Redactionele wijzigingsdatum=2021/11/25 | ||
|Publicatiedatum= | |Publicatiedatum=2021/10/25 | ||
|Beschrijving=Patchmanagement is het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem. Een solide updatemechanisme is essentieel om voldoende beschermd te zijn tegen bekende beveiligingsproblemen in software. | |Beschrijving===Objectdefinitie== | ||
De noodzaak van het patchen staat vaak niet ter discussie | Betreft een besturingsproces voor het verwerven, testen en installeren van patches op een computersysteem. | ||
|Criterium=Patchmanagement is ''procesmatig'' en ''procedureel'' opgezet wordt ondersteund door ''richtlijnen'' zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd. | |||
==Objecttoelichting== | |||
Patchmanagement is het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem. Een solide updatemechanisme is essentieel om voldoende beschermd te zijn tegen bekende beveiligingsproblemen in software. | |||
De noodzaak van het patchen staat vaak niet ter discussie. Vaak ontstaat echter wel discussie over de urgentie waarmee patches moeten worden uitgevoerd. De ernst van de kwetsbaarheid bepaalt de noodzaak om de tijdsduur tussen het uitkomen van een patch en het implementeren van een patch zo kort mogelijk te houden. Daarom is het van belang vast te stellen welke doelstelling en prioriteit met patchmanagement worden nagestreefd. Het kan voorkomen dat systemen die niet meer ondersteund worden, (tijdelijk) operationeel gehouden moeten worden. In dat geval is het van belang om te weten welke systemen dat zijn en welke aanvullende maatregelen getroffen zijn om deze systemen voor het uitbuiten van kwetsbaarheden te behoeden, zodat inzicht bestaat over het al of niet uitvoeren van de patch op deze systemen. | |||
|Criterium=Patchmanagement is ''procesmatig'' en ''procedureel'' opgezet en wordt ondersteund door ''richtlijnen'' zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd. | |||
|Doelstelling=Het zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd. | |||
|Risico=De stabiliteit en betrouwbaarheid van servers komt in gevaar. | |||
|Beveiligingsaspect=Uitvoering | |Beveiligingsaspect=Uitvoering | ||
|Invalshoek=Functie | |Invalshoek=Functie | ||
|Grondslag=* | |Grondslag=* ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.09 | ||
|Conformiteitsindicator=Procesmatig, Procedureel, Richtlijnen | |||
|Conformiteitsindicator= | |||
|Heeft bron=BIO Thema Serverplatform | |Heeft bron=BIO Thema Serverplatform | ||
|importdatum=2019-05-10 | |importdatum=2019-05-10 | ||
|Heeft ouder=ISOR:BIO Thema Serverplatform Uitvoering | |Heeft ouder=ISOR:BIO Thema Serverplatform Uitvoering | ||
}} | }} |
Huidige versie van 25 nov 2021 om 17:55
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft een besturingsproces voor het verwerven, testen en installeren van patches op een computersysteem.
Objecttoelichting
Patchmanagement is het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem. Een solide updatemechanisme is essentieel om voldoende beschermd te zijn tegen bekende beveiligingsproblemen in software.
De noodzaak van het patchen staat vaak niet ter discussie. Vaak ontstaat echter wel discussie over de urgentie waarmee patches moeten worden uitgevoerd. De ernst van de kwetsbaarheid bepaalt de noodzaak om de tijdsduur tussen het uitkomen van een patch en het implementeren van een patch zo kort mogelijk te houden. Daarom is het van belang vast te stellen welke doelstelling en prioriteit met patchmanagement worden nagestreefd. Het kan voorkomen dat systemen die niet meer ondersteund worden, (tijdelijk) operationeel gehouden moeten worden. In dat geval is het van belang om te weten welke systemen dat zijn en welke aanvullende maatregelen getroffen zijn om deze systemen voor het uitbuiten van kwetsbaarheden te behoeden, zodat inzicht bestaat over het al of niet uitvoeren van de patch op deze systemen.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen C.09
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SVP_U.05.01 | Procesmatig |
Het patchmanagementproces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. |
SVP_U.05.02 | Procesmatig |
Een technisch mechanisme zorgt voor (semi-)automatische updates. |
SVP_U.05.03 | Procesmatig |
Configuratiebeheer geeft het inzicht waarmee servers worden gepatcht. |
SVP_U.05.04 | Procesmatig |
Het patchbeheerproces bevat methoden om:
|
SVP_U.05.05 | Procedureel |
De patchmanagementprocedure is actueel en beschikbaar. |
SVP_U.05.06 | Procedureel |
De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. |
SVP_U.05.07 | Procedureel |
De volgende aspecten van een patch worden geregistreerd:
|
SVP_U.05.08 | Richtlijnen |
Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. |
SVP_U.05.09 | Richtlijnen |
Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. |
SVP_U.05.10 | Richtlijnen |
De risico’s die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico’s die worden gevormd door de kwetsbaarheid worden vergeleken met het risico van het installeren van de patch). |
SVP_U.05.11 | Richtlijnen |
Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
|