BIO Thema-uitwerking Serverplatform
Uit NORA Online
BIO Thema Serverplatform
 |
NB Dit normenkader is in onderhoud zolang er bij de status Concept staat.
De BIO Thema-uitwerking Serverplatform, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie (UWV/CIP) en Jaap van der Veen (CIP). Het CIP-kernteam heeft dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.
De volgende leeswijzer geldt voor dit normenkader:
- Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
- De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
- Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
- Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
Binnen dit normenkader
Relatie tussen principes en onderliggende normen
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
Indelingen binnen BIO Thema-uitwerking Serverplatform
Alle onderdelen van BIO Thema-uitwerking Serverplatform zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline en de SSD-stukken geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'.
De principes en onderliggende normen van BIO Thema-uitwerking Serverplatform zijn op basis hiervan in een aantal overzichten gezet:
Principes uit BIO Thema-uitwerking Serverplatform
In deze tabel staan alle principes uit BIO Thema-uitwerking Serverplatform, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (export alle beveiligingsaspecten / beleid / uitvoering / Control)
en in uitgebreide versie met alle bestaande eigenschappen.
Beleid (principes)
export principes Beleid als csv
| ID | Principe | Criterium |
|---|---|---|
| SERV_B.01 | Beleid voor beveiligde inrichting en onderhoud | Voor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast. |
| SERV_B.02 | Principes voor inrichten van beveiligde servers | De principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers. |
| SERV_B.03 | Serverplatform architectuur | De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd. |
Uitvoering (principes)
export principes Uitvoering als csv
| ID | Principe | Criterium |
|---|---|---|
| SERV_U.01 | Bedieningsprocedures | Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben. |
| SERV_U.02 | Standaarden voor configuratie van servers | Het serverplatform is geconfigureerd in overeenstemming met gedocumenteerde standaarden. |
| SERV_U.03 | Malwareprotectie serverplatform | Ter bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers. |
| SERV_U.04 | Beheer van serverkwetsbaarheden | InformatieBetekenisvolle gegevens. over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken. |
| SERV_U.05 | Patchmanagement serverplatform | Patchmanagement is procesmatig en procedureel opgezet wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd. |
| SERV_U.06 | Beheer op afstand | Richtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers. |
| SERV_U.07 | Onderhoud van servers | Servers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen. |
| SERV_U.08 | Veilig verwijderen of hergebruiken van serverapparatuur | Alle onderdelen van servers met opslagmedia behoren te worden geverifieerd, om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. |
| SERV_U.09 | Hardenen van servers | Voor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld. |
| SERV_U.10 | Serverconfiguratie | Serverplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates. |
| SERV_U.11 | Beveiliging Virtueel serverplatform | Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisor en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd. |
| SERV_U.12 | Beperking van software-installatie | Voor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. |
| SERV_U.13 | Kloksynchronisatie | De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn gedocumenteerd en gesynchroniseerd op één referentietijdbron. |
| SERV_U.14 | Ontwerpdocumentatie | Het ontwerp van een serverplatform behoort te zijn gedocumenteerd. |
Control (principes)
export principes Control als csv
| ID | Principe | Criterium |
|---|---|---|
| SERV_C.01 | Evaluatie richtlijnen servers en besturingssystemen | Er behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd. |
| SERV_C.02 | Beoordeling technische serveromgeving | Technische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor serverplatforms. |
| SERV_C.03 | Beheerderactiviteiten vastgelegd in logbestanden | Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld. |
| SERV_C.04 | Registratie gebeurtenissen | Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. |
| SERV_C.05 | Monitoren van serverplatforms | De organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren. |
| SERV_C.06 | Beheerorganisatie serverplatforms | Binnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform. |
Onderliggende normen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO Thema-uitwerking Serverplatform. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-export normen
en in uitgebreide tabel.
Beleid (normen)
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| SERV_B.01.01 | regels | De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers. | Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server |
| SERV_B.01.02 | regels | In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
| Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud |
| SERV_B.02.01 | principes | De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers. | Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers |
| SERV_B.02.02 | principes | Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
| Beveiligingsprincipes voor het beveiligd inrichten van servers |
| SERV_B.03.01 | architectuurdocument | Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
| Eisen aan het architectuurdocument van het in te richten van het serverplatform |
| SERV_B.03.02 | architectuurdocument | In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen. | In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen |
Uitvoering (normen)
export normen Uitvoering als csv
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| SERV_U.01.01 | bedieningsprocedures | Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld. | Gedocumenteerde procedures voor bedieningsactiviteiten |
| SERV_U.01.02 | bedieningsprocedures | Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door hoger management goedgekeurd. | Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten |
| SERV_U.01.03 | bedieningsprocedures | In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
| In de bedieningsprocedures opgenomen bedieningsvoorschriften |
| SERV_U.02.01 | standaarden | De documentatie conform de standaarden omvat:
| Eisen aan de "gedocumenteerde standaarden" |
| SERV_U.03.01 | preventie | Een formeel beleid wordt toegepast waarin het gebruik van ongeautoriseerde gebruik van software is verboden. | In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software |
| SERV_U.03.02 | preventie | Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware. | Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links |
| SERV_U.03.03 | preventie | Severs zijn voorzien van (up-to-date) software die malware opspoort en daartegen beschermt. | Het downloaden van bestanden is beheerst en beperkt |
| SERV_U.03.04 | preventie | Gebruikers zijn voorgelicht over de risico's ten aanzien van surfgedrag en het klikken op onbekende links. | Servers zijn voorzien van up-to-date anti-malware |
| SERV_U.03.05 | preventie | Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en van het principe "need-of-use". | Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd |
| SERV_U.03.06 | detectie | Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server zijn opgeslagen. | Servers en hiervoor gebruikte media worden routinematig gescand op malware |
| SERV_U.03.07 | detectie | De malware scan wordt op alle omgevingen uitgevoerd. | De malware scan wordt op alle omgevingen uitgevoerd |
| SERV_U.03.08 | herstel | Software die malware opspoort en bijbehorende herstelsoftware zijn geïnstalleerd en worden regelmatig geüpdate. | De anti-malware software wordt regelmatig geüpdate |
| SERV_U.04.01 | technische serverkwetsbaarheden | Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen |
| SERV_U.04.02 | technische serverkwetsbaarheden | Voor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheid van:
| Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse |
| SERV_U.04.03 | technische serverkwetsbaarheden | Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
| Verantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren |
| SERV_U.04.04 | technische serverkwetsbaarheden | Met betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident. | De activiteiten zijn afgestemd op het incident |
| SERV_U.04.05 | technische serverkwetsbaarheden | Het proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
| Het kwetsbaarheden beheerproces |
| SERV_U.04.06 | technische serverkwetsbaarheden | Technische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld. | Procesmatig herstel van technische kwetsbaarheden |
| SERV_U.04.07 | geëvalueerd | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd. | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd |
| SERV_U.05.01 | procesmatig | Het patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. | Patchmanagement is beschreven, goedgekeurd en toegekend |
| SERV_U.05.02 | procesmatig | Een technisch mechanisme zorgt voor (semi-) automatische updates. | Een technisch mechanisme zorgt voor (semi-)automatische updates |
| SERV_U.05.03 | procesmatig | Configuratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht. | Op basis van inzicht vanuit configuratiebeheer worden de servers gepatcht |
| SERV_U.05.04 | procesmatig | Het Patchmanagement proces bevat methoden om:
| Eisen aan het Patchmanagement |
| SERV_U.05.05 | procedureel | De patchmanagement procedure is actueel en beschikbaar. | De Patchmanagement procedure is actueel en beschikbaar |
| SERV_U.05.06 | procedureel | De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. | De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld |
| SERV_U.05.07 | procedureel | De volgende aspecten van een patch worden geregistreerd:
de beschikbare patches;
| Registratie van de aspecten van een patch |
| SERV_U.05.08 | richtlijnen | Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. | Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd. |
| SERV_U.05.09 | richtlijnen | Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. | Alleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd |
| SERV_U.05.10 | richtlijnen | De risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch. | De risico’s verbonden aan het installeren van de patch worden beoordeeld |
| SERV_U.05.11 | richtlijnen | Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
| Wanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogen |
| SERV_U.06.01 | richtlijnen | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door middel van:
| Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd |
| SERV_U.06.02 | richtlijnen | Het op afstand onderhouden van servers wordt strikt beheerd door middel van:
| Het op afstand onderhouden van servers wordt strikt beheerd |
| SERV_U.06.03 | richtlijnen | Het serverplatform is zodanig ingericht, dat deze op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden. | Het serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd |
| SERV_U.06.04 | richtlijnen | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd. | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd |
| SERV_U.06.05 | richtlijnen | Alle externe toegang tot servers vindt versleuteld plaats. | Alle externe toegang tot servers vindt versleuteld plaats |
| SERV_U.07.01 | onderhouden | Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen die invulling geven aan de volgende eisen:
| Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen |
| SERV_U.08.01 | opslagmedia | de server(s):
| Niet meer benodigde opslagmedia en informatie van servers worden vernietigd |
| SERV_U.08.02 | geverifieerd | Voorafgaand aan verwijdering of hergebruik wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd. | Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat |
| SERV_U.09.01 | functies | Servers zijn zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
| Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld |
| SERV_U.09.02 | functies | Servers zijn zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
| Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt |
| SERV_U.09.03 | toegang | Servers worden beschermd tegen ongeoorloofde toegang doordat:
| Servers worden beschermd tegen ongeoorloofde toegang |
| SERV_U.10.01 | geconfigureerd | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures en welke betrekking hebben op:
| De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures |
| SERV_U.10.02 | geconfigureerd | De servers zijn geconfigureerd in overeenstemming met een gestandaardiseerde en vooraf bepaald serverimage. | De servers zijn geconfigureerd conform een gestandaardiseerde serverimage |
| SERV_U.10.03 | ongeautoriseerd | Toegang tot server parameterinstellingen en krachtige beheerinstrumenten is: | Toegang tot serverparameter en krachtige beheerinstrumenten is beperkt |
| SERV_U.11.01 | fysieke servers | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd tegen:
| Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd |
| SERV_U.11.02 | hypervisors | Hypervisors worden geconfigureerd om:
| Hypervisors worden geconfigureerd |
| SERV_U.11.03 | virtuele servers | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
| Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures |
| SERV_U.11.04 | virtuele servers | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
| Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors |
| SERV_U.12.01 | regels | Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (white-list). | Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan |
| SERV_U.12.02 | regels | De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software. | De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software. |
| SERV_U.12.03 | regels | Het principe van least-privilege wordt toegepast. | Het principe van least-privilege wordt toegepast |
| SERV_U.12.04 | regels | De rechten van beheerders worden verleend op basis van rollen. | De rechten van beheerders worden verleend op basis van rollen |
| SERV_U.13.01 | gedocumenteerd | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken. | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd |
| SERV_U.13.02 | gesynchroniseerd | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd op basis van externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd. | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd. |
Control (normen)
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| SERV_C.01.01 | richtlijnen | De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen. | Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen |
| SERV_C.01.02 | richtlijnen | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
| SERV_C.01.03 | richtlijnen | De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. | Richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie |
| SERV_C.01.04 | richtlijnen | De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd. | De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd |
| SERV_C.02.01 | naleving | Technische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. | Eisen aan het vervaardigen en interpreteren van technische naleving |
| SERV_C.02.02 | naleving | Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd. | Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen |
| SERV_C.02.03 | naleving | De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. | Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar |
| SERV_C.02.04 | naleving | Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management. | Eisen aan het beoordelen van technische naleving |
| SERV_C.03.01 | logbestanden | De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd. | Eisen aan het beschermen van de logbestanden |
| SERV_C.03.02 | logbestanden | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten. | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten |
| SERV_C.04.01 | logbestanden | Logbestanden van gebeurtenissen bevatten, voor zover relevant:
| Eisen aan de inhoud van de logbestanden van gebeurtenissen |
| SERV_C.05.01 | reviewt/analyseert | De verantwoordelijke functionaris analyseert periodiek:
De verantwoordelijke functionaris analyseert periodiek:
| Eisen aan de periodieke beoordeling van de logbestanden |
| SERV_C.05.02 | reviewt/analyseert | De verzamelde loginformatie wordt in samenhang geanalyseerd. | De verzamelde loginformatie wordt in samenhang geanalyseerd |
| SERV_C.05.03 | reviewt/analyseert | Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd. | Eisen aan de periodieke rapportage over de analyse van de logbestanden |
| SERV_C.05.04 | reviewt/analyseert | De rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd. | Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s |
| SERV_C.05.05 | rapporteren | De analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management. | Eisen aan de inhoud en verspreiding van de loganalyse |
| SERV_C.05.06 | rapporteren | De eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan. | De eindrapportage bevat verbeteringsvoorstellen op basis van analyses |
| SERV_C.06.01 | beveiligingsfunctionaris | De beveiligingsfunctionaris zorgt o.a. voor:
| Activiteiten van de beveiligingsfunctionaris |
| SERV_C.06.02 | beveiligingsbeleid | Het beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
| Inhoud van het beveiligingsbeleid |
