Technische kwetsbaarhedenbeheer
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Verwante principes | ||||||||||||||||||
Kwetsbaarhedenbeheer (ook wel Vulnerability Management) is het proces, waarbij met behulp van technische hulpmiddelen wordt nagegaan in hoeverre ten aanzien van de clouddiensten kwetsbaarheden voorkomen en waarvan ongeautoriseerden gebruik kunnen maken. De CSC wenst op een transparante wijze op de hoogte gesteld te worden van de kwetsbaarheden en issues gerelateerd aan de beveiliging van de clouddiensten.
Door technische assessments uit te voeren op de ICT-componenten, worden aanwezige kwetsbaarheden zichtbaar en kunnen deze worden weergegeven in een rapportage.
Op basis van deze rapportage kan de CSP een afweging maken, welke kwetsbaarheden relevant zijn en verholpen moeten worden en welke risico’s ten aanzien van deze kwetsbaarheden geaccepteerd kunnen worden.
De frequentie voor het uitvoeren van technische assessments moet zijn vastgesteld op basis van het voor de clouddienst actuele risicoprofiel en actie moet worden ondernomen als geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of als tekortkomingen worden geconstateerd.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Control;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 12.6.1
Onderliggende normen
| ID | Conformiteitsindicator | Stelling |
|---|---|---|
| CLD_C.04.01 | Technische kwetsbaarheden |
De Cloud Service Provider (CSP) stelt de Cloud Service Consumer (CSC) informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden. |
| CLD_C.04.02 | Technische kwetsbaarheden |
De Cloud Service Provider (CSP) heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld. |
| CLD_C.04.03 | Technische kwetsbaarheden |
Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC (Nationaal Cyber Security Centrum) classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. |
| CLD_C.04.04 | Technische kwetsbaarheden |
Het tijdspad waarbinnen gereageerd moet worden op aankondigingen van potentieel relevante kwetsbaarheden is gedefinieerd. |
| CLD_C.04.05 | Technische kwetsbaarheden |
Periodiek worden penetratietests op ICT-componenten uitgevoerd om zwakheden te identificeren. |
| CLD_C.04.06 | Technische kwetsbaarheden |
Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
|
| CLD_C.04.07 | Geëvalueerd |
Evaluaties van technische kwetsbaarheden worden geregistreerd en gerapporteerd. |
| CLD_C.04.08 | Geëvalueerd |
De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn. |