BIO Thema Serverplatform - Inleiding

Uit NORA Online
< BIO Thema ServerplatformBIO Thema Serverplatform/Inleiding
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Inleiding

Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op controls uit de BIO (Baseline Informatiebeveiliging Overheid) die gebaseerd is op ISO-27002. Er wordt ook gebruik gemaakt van andere Best Practices als: SoGP en NIST. Dit kader dient evenals andere BIO-thema’s, als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur.

Opzet van het thema

Het thema Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van een lagenstructuur.

Dit thema volgt de standaard opzet voor BIO-thema’s:

  1. scope en begrenzing (§1.2);
  2. context en globale structuur van het thema (§1.3);
  3. beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen (§2.1);
  4. presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten (§2.1);
  5. globale relaties van de geïdentificeerd beveiligingsobjecten (§2.2).

Scope en begrenzing

In dit thema is de scope van het begrip serverplatform beperkt tot de basis functionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: serverhardware, virtualisatietechnologie en besturingssysteem (OS). Organisaties zullen op basis van deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden. Het beschrijft niet de kenmerken van specifieke type servers, zoals: bestandsserver, applicatieserver, webserver, mailserver of databaseserver.

De objecten ten aanzien van serverplatform komen soms direct of indirect uit ISO 27002. De vertaling van objecten uit ISO 27002/BIO wordt geïllustreerd in tabel 'Voorbeeld vertaling BIO objecten naar Thema ‘Serverplatform’ objecten'.


  ISO/BIO object     Vertaling naar Thema:  Serverplatform  
  Beleid voor beveiligd ontwikkelen  (14.2.1)     Beleid voor (beveiligd) onderhouden  van serverplatforms  
  Principes voor engineering van  beveiligde systemen     Principes serverplatform beveiliging.  
Serverplatform, Voorbeeld vertaling BIO-objecten naar Serverplatform-objecten

Context van serverplatform

Servers zijn computers, die via werkstations (clients), één of meerdere diensten en aan eindgebruikers of aan computersystemen beschikbaar stellen. Een server kan ook gerelateerd zijn aan zijn software die diensten mogelijk maakt, verzoeken accepteert en deze verwerkt. Voorbeelden van servers zijn: file-servers, database-servers, mail-servers, web-servers en FTP-servers Aan een server hangt één of meerdere clients. Figuur 1 geeft een globale context van enkele type servers en hoe ze in relatie staan met beleids- en beheersingsaspecten.

”Context thema Serverplatform”
Context thema Serverplatform

Een externe gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem logt bijvoorbeeld aan op een webserver vanuit internet. Dit type server geeft de relevante gebruikersgegevens door aan een portaltoegang-server, die op zijn beurt applicatieve diensten vanuit backofficeservers beschikbaar stelt. De onderste gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem in de figuur is een medewerker van een vertrouwde partij en zoekt via een semivertrouwd kanaalCommunicatiekanaal dat bij de dienstverlening wordt gebruikt. Elk kanaal kent verschillende vormen waarin informatie kan worden gedeeld. informatie op een webserver van de partnerorganisatie. De interne gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er tevens sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het operating systeem.