ISOR:Patchmanagement van externe programmacode: verschil tussen versies
k (titel aangepast) |
k (grondslag toegevoegd) |
||
Regel 9: | Regel 9: | ||
|Beschrijving===Objectdefinitie== | |Beschrijving===Objectdefinitie== | ||
Een proces dat zorgt voor het tijdig verwerven, testen en installeren van een of meer patches (in de externe programmacode) op een computersysteem. | Een proces dat zorgt voor het tijdig verwerven, testen en installeren van een of meer patches (in de externe programmacode) op een computersysteem. | ||
==Objecttoelichting== | ==Objecttoelichting== | ||
Binnen een projectprogramma wordt bij het ontwikkelen van informatiesystemen programmacode gecreëerd. Soms hebben ontwikkelaars de mogelijkheid om voor bepaalde functionaliteiten code uit een externe bibliotheek te gebruiken. Deze externe code kan fouten in zich dragen. Uit beveiligingsoogpunt is het raadzaam om code uit externe bibliotheken te testen en na te gaan of deze code beveiligd moet worden met door de codeleverancier beschikbaar gestelde patches. | Binnen een projectprogramma wordt bij het ontwikkelen van informatiesystemen programmacode gecreëerd. Soms hebben ontwikkelaars de mogelijkheid om voor bepaalde functionaliteiten code uit een externe bibliotheek te gebruiken. Deze externe code kan fouten in zich dragen. Uit beveiligingsoogpunt is het raadzaam om code uit externe bibliotheken te testen en na te gaan of deze code beveiligd moet worden met door de codeleverancier beschikbaar gestelde patches. | ||
Regel 16: | Regel 17: | ||
|Beveiligingsaspect=Control | |Beveiligingsaspect=Control | ||
|Invalshoek=Functie | |Invalshoek=Functie | ||
|Grondslag=ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.09 | |||
|Conformiteitsindicator=Procesmatig en procedureel, technische kwetsbaarheden, tijdig | |Conformiteitsindicator=Procesmatig en procedureel, technische kwetsbaarheden, tijdig | ||
|Heeft bron=BIO Thema Applicatieontwikkeling | |Heeft bron=BIO Thema Applicatieontwikkeling |
Versie van 1 nov 2021 18:00
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Een proces dat zorgt voor het tijdig verwerven, testen en installeren van een of meer patches (in de externe programmacode) op een computersysteem.
Objecttoelichting
Binnen een projectprogramma wordt bij het ontwikkelen van informatiesystemen programmacode gecreëerd. Soms hebben ontwikkelaars de mogelijkheid om voor bepaalde functionaliteiten code uit een externe bibliotheek te gebruiken. Deze externe code kan fouten in zich dragen. Uit beveiligingsoogpunt is het raadzaam om code uit externe bibliotheken te testen en na te gaan of deze code beveiligd moet worden met door de codeleverancier beschikbaar gestelde patches.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Control;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen C.09
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
APO_C.03.01 | Procesmatig en procedureel |
Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. |
APO_C.03.02 | Procesmatig en procedureel |
De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement. |
APO_C.03.03 | Procesmatig en procedureel |
Het al dan niet uitvoeren van patches voor programmacode is geregistreerd. |
APO_C.03.04 | Technische kwetsbaarheden |
Het beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. |
APO_C.03.05 | Technische kwetsbaarheden |
Bij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. |
APO_C.03.06 | Tijdig |
Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd. |