Beheer van serverkwetsbaarheden

Uit NORA Online
ISOR:Beheer van serverkwetsbaarheden
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)
ID: SERV_U.04
Beveiligingsprincipe
Versie: 1.0
Status: Actueel
Publicatiedatum: 01-02-2019
Redactionele wijzigingsdatum: 01-02-2019
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
Blauw vierkant kader met daarin in wit de F van Functie

Functie

Verwante principes

BIO Thema Serverplatform
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt.

Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen:

  • Hoe is de serveromgeving opgebouwd en geconfigureerd?
  • Wat zijn bekende kwetsbaarheden en zwakheden?

Gerelateerd aan ‘Kwetsbaarheden beheer’ is het proces ‘Patchmanagement’. Het ISO-onderwerp ‘Beheer van technische kwetsbaarheden (12.6.1)’ behandelt wat betreft de maatregelen twee onderwerpen:

  • kwetsbaarheden beheer (vulnerability management) (zie: U.04);
  • patchmanagement (zie: U.05).

In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.

Proactieve beveiliging van servers door het verwerven van inzicht in de kwetsbaarheden en zwakheden in de software die op de server zijn geïnstalleerd.

Criterium

InformatieBetekenisvolle gegevens. over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

Onderliggende normen

ID Conformiteitsindicator Stelling Pagina
SERV_U.04.01 technische serverkwetsbaarheden Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen
SERV_U.04.02 technische serverkwetsbaarheden Voor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van:
  • (onderlinge)afhankelijkheden;
  • software t.a.v. versienummers, toepassingsstatus;
  • verantwoordelijken voor de software.
 Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse
SERV_U.04.03 technische serverkwetsbaarheden Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
  • de rollen en verantwoordelijkheden in samenhang met beheer van technische kwetsbaarheden vastgesteld;
  • de middelen om technische kwetsbaarheden te bepalen vastgesteld.
 Verantwoordelijkheden - rollen en middelen om technische kwetsbaarheden te beheren
SERV_U.04.04 technische serverkwetsbaarheden Met betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident. De activiteiten zijn afgestemd op het incident beheerproces
SERV_U.04.05 technische serverkwetsbaarheden Het proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van bekende technische kwetsbaarheden;
  • high-level inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie;
  • relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen;
  • prioriteit geven aan herstel van onderkende kwetsbaarheden.
 Het kwetsbaarheden beheerproces
SERV_U.04.06 technische serverkwetsbaarheden Technische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld. Procesmatig herstel van technische kwetsbaarheden
SERV_U.04.07 geëvalueerd Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd. Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd
Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Beheer_van_serverkwetsbaarheden&oldid=35211"
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen