Beheer van technische kwetsbaarheden

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	CLD_U.18
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Onbekend

Objectdefinitie

Technische kwetsbaarheden betreft de zwakke plekken en lekken in de technische beveiliging van informatiesystemen die aanvallers kunnen misbruiken om toegang te krijgen tot deze systemen. Het beheer van technische kwetsbaarheden is een continu proces van actief opsporen van kwetsbaarheden, en het repareren daarvan

Objecttoelichting

Het beheer van technische kwetsbaarheden is effectief, wanneer de kwetsbaarheden eerder zijn opgepakt en mitigerende maatregelen zijn genomen dan dat er misbruik van is gemaakt. Dit vraagt om een proactieve houding van de CSP. Om verstoring van de clouddienst en daarmee van de bedrijfsvoering van de CSC te voorkomen, is afstemming over de risico’s en de aanpak tussen de CSP en de CSC van belang.

Criterium

Er behoort informatie te worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren passende maatregelen te worden getroffen.

Doelstelling

Misbruik van technische kwetsbaarheden voorkomen.

Risico

Als technische kwetsbaarheden in de clouddienst niet tijdig worden geïdentificeerd, beoordeeld en verholpen, bestaat het risico dat deze kwetsbaarheden door aanvallers worden misbruikt, waardoor beveiligingsincidenten ontstaan met impact op de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en dienstverlening.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Onbekend.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002:2022 8.8

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CLD_U.18.01	verkregen	De CSC dient informatie op te vragen bij de CSP over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde clouddiensten.
CLD_U.18.02	verkregen	De CSP moet aan CSC van de clouddienst informatie beschikbaar stellen over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde clouddiensten.
CLD_U.18.03	verkregen	De CSP informeert de CSC periodiek over de status van incidenten die de CSC raken, of betrekt CSC waar passend en noodzakelijk bij de oplossing. Zodra een incident vanuit het perspectief van de CSP is opgelost, wordt de CSC geïnformeerd over de ondernomen acties.
CLD_U.18.04	geëvalueerd	De CSC identificeert technische kwetsbaarheden waar hij verantwoordelijk voor is. De CSC voorkomt nadelige gevolgen en heeft daartoe een proces gedefinieerd en ingericht.
CLD_U.18.05	geëvalueerd	Als de kans op misbruik en de verwachte schade beide hoog zijn (bijvoorbeeld met de NCSC-Inschalingsmatrix beveiligingsadviezen of leveranciersbeveiligingsadviezen), worden passende mitigerende maatregelen zo snel mogelijk, maar uiterlijk binnen een week getroffen.