Beoordeling middlewarefunctionaliteit

BIO Thema Middleware is een nieuwe BIO Thema-uitwerking. Versie 1.0 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd. De ontsluiting in de Information Security Object Respository (ISOR) zal eind 2023 plaatsvinden.

Beveiligingsprincipe
ID:	MDW_C.03
Versie:	1.3
Status:	Actueel
Indeling
Beveiligingsaspect:	Control
Invalshoek:	Onbekend

Objectdefinitie

Periodieke beoordeling van middlewarefunctionaliteiten, gericht op de organisatorische en technische aspecten van deze omgevingen.

Objecttoelichting

Om de betrouwbaarheid en veiligheid van middlewarefunctionaliteit doeltreffend te kunnen beheersen, dienen periodiek zowel de organisatorische als technische aspecten van deze omgevingen beoordeeld te worden. Voorbeelden van deze aspecten zijn: de toepassing van het geformuleerd inrichtingsbeleid voor servers, serverplatformarchitectuur, rollen en verantwoordelijkheden, gebruik van technische middelen, controle-aanpak en inschakelen van externe specialisten. Als resultaat van de beoordeling dient een rapportage van bevindingen aan het management te worden uitgebracht.

In de situatie dat de dienst in de vorm van SaaS of PaaS wordt geleverd, zijn de hiervoor genoemde beoordeling en rapportage een verantwoordelijkheid van de aanbieder en moet dit als eis worden meegenomen als onderdeel van de aanbesteding.

Criterium

Middlewarefunctionaliteiten en technische omgevingen waarin ze actief zijn, behoren regelmatig op naleving van de richtlijnen ten aanzien van toegang te worden beoordeeld en gerapporteerd.

Doelstelling

Het tijdig traceren van tekortkomingen in middlewarefunctionaliteiten en of het beheer daarvan alsmede het nemen van adequate maatregelen.

Risico

Wanneer middlewarefunctionaliteiten en het bijbehorende beheer niet periodiek worden beoordeeld, bestaat het risico dat organisatorische en technische tekortkomingen niet tijdig worden gesignaleerd, waardoor corrigerende maatregelen uitblijven en de betrouwbaarheid en veiligheid van de dienstverlening onder druk komen te staan.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Control;
valt binnen de Invalshoek Onbekend.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 2 5.35

Onderliggende normen

ID	Conformiteitsindicator	Stelling
MDW_C.03.01	Naleving	Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s van de feitelijke veiligheid. Dit kan door middel van (geautomatiseerde) kwetsbaarheidsanalyses, penetratietesten of red-teamingstesten. Internetfacing-informatiesystemen worden bij voorkeur continue getest op zwakheden en kwetsbaarheden.
MDW_C.03.03	Naleving	De resultaten van de onafhankelijke beoordelingen worden geregistreerd en gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd. Indien nodig initieert het management corrigerende maatregelen.
MDW_C.03.04	Richtlijnen	De leverancier voert periodiek controles uit op de toegekende autorisaties voor middlewarefunctionaliteiten.
MDW_C.03.05	Richtlijnen	De leverancier beschikt over richtlijnen voor het beoordelen van de technische omgeving van middlewarefunctionaliteiten.
MDW_C.03.06	Toegang	De toegekende autorisaties aan gebruikers en de daarbij behorende rechten zijn afgestemd met de klant en de wijze waarop dit wordt gelogd is gedefinieerd. Voor beheerders wordt bij voorkeur PAM toegepast.
MDW_C.03.07	Gerapporteerd	De leverancier rapporteert de afwijkingen op de toegang tot middleware, inclusief de reden hiervan.