Serverplatform Control

Uit NORA Online
ISOR:BIO Thema Serverplatform Control
Ga naar: navigatie, zoeken
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Deze informatie is onderdeel van BIO Thema Serverplatform.

Meer lezen

BIO Thema Serverplatform
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

De onderwerpen die specifiek voor het serverplatform een rol spelen, zijn in Tabel 'Controlobjecten uitgewerkt in het Controldomein' en in Figuur 'Thema Serverplatform - Onderwerpen die binnen het Controldomein een rol spelen' vermeld.

Thema Serverplatform - Onderwerpen die binnen het Controldomein een rol spelen
Onderwerpen die binnen het Control domein een rol spelen


Nr. Relevante beveiligingsobjecten Referentie naar standaarden IFGS
C.01 Evaluatie van richtlijnen serverplatforms BIO versie 2007: 10.10.2 I
C.02 Beoordeling technische serveromgeving BIO: 18.2.3 F
C.03 Logbestanden beheerders BIO: 12.4.3 G
C.04 Registratie van gebeurtenissen BIO: 12.4.1 G
C.05 Monitoren van serverplatforms NIST: AU-6 G
C.06 Beheerorganisatie serverplatforms CIP Domeingroep BIO S
Serverplatform, Voor het Control domein uitgewerkte Beveiligingsobjecten

Risico

Door het ontbreken van noodzakelijke maatregelen binnen de organisatie van de IT-Leverancier is het niet zeker of de ontwikkel- en onderhoud- administratie aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Ook kan dan niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.

Doelstelling

Doelstelling van het Controldomein is om vast te stellen of:

  • de beoogde controls voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van het serverplatform;
  • de infrastructurele diensten functioneel en technisch op het juiste niveau worden gehouden.

Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.

Principes uit de BIO Thema Serverplatform binnen dit aspect

IDprincipeCriterium
SERV_C.01Evaluatie richtlijnen servers en besturingssystemenEr behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.
SERV_C.02Beoordeling technische serveromgevingTechnische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.
SERV_C.03Beheerderactiviteiten vastgelegd in logbestandenActiviteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.
SERV_C.04Registratie gebeurtenissenLogbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
SERV_C.05Monitoren van serverplatformsDe organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.
SERV_C.06Beheerorganisatie serverplatformsBinnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.

Normen uit de BIO Thema Serverplatform binnen dit aspect

IDStellingNorm
SERV_C.01.01De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen.Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen
SERV_C.01.02De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
SERV_C.01.03De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie
SERV_C.01.04De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd.De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd
SERV_C.02.01Technische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist.Eisen aan het vervaardigen en interpreteren van technische naleving
SERV_C.02.02Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd.Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen
SERV_C.02.03De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar.Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar
SERV_C.02.04Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management.Eisen aan het beoordelen van technische naleving
SERV_C.03.01De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd.Eisen aan het beschermen van de logbestanden
SERV_C.03.02Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten.Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten
SERV_C.04.01Logbestanden van gebeurtenissen bevatten, voor zover relevant:
  1. gebruikersidentificaties;
  2. systeemactiviteiten;
  3. data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie;
  4. identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
  5. systeemconfiguratie veranderingen;
  6. gebruik van speciale bevoegdheden;
  7. alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
  8. activering en deactivering van beschermingssystemen, zoals antivirus systemen en inbraakdetectie systemen;
  9. verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.
Eisen aan de inhoud van de logbestanden van gebeurtenissen
SERV_C.05.01De verantwoordelijke functionaris analyseert periodiek:

De verantwoordelijke functionaris analyseert periodiek:

  • de gelogde gebruikers-, activiteiten gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten aanzien van servers en serverplatforms;
  • het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen;
  • eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.
NB: Verdachte gebeurtenissen zijn afwijkend en opmerkelijk gedrag ten aanzien gangbare patronen en geldende (beleids)regels.
Eisen aan de periodieke beoordeling van de logbestanden
SERV_C.05.02De verzamelde loginformatie wordt in samenhang geanalyseerd.De verzamelde loginformatie wordt in samenhang geanalyseerd
SERV_C.05.03Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan de systeemeigenaren en/of aan het management gerapporteerd.Eisen aan de periodieke rapportage over de analyse van de logbestanden
SERV_C.05.04De rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd.Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s
SERV_C.05.05De analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management.Eisen aan de inhoud en verspreiding van de loganalyse
SERV_C.05.06De eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan.De eindrapportage bevat verbeteringsvoorstellen op basis van analyses
SERV_C.06.01De beveiligingsfunctionaris zorgt o.a. voor:
  1. de actualisatie van beveiligingsbeleid ten aanzien servers en besturingssystemen;
  2. de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met o.a. de ketenpartijen;
  3. de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
  4. de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
  5. de bespreking van beveiligingsissues met ketenpartijen;
  6. het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.
Activiteiten van de beveiligingsfunctionaris
SERV_C.06.02Het beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen servercomponenten;
  • de inrichting, het onderhoud en het beheer van de servers.
  • Inhoud van het beveiligingsbeleid