Beheer van serverkwetsbaarheden
Verwante principes | ||||||||||||||||||
Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt.
Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen:
- Hoe is de serveromgeving opgebouwd en geconfigureerd?
- Wat zijn bekende kwetsbaarheden en zwakheden?
Gerelateerd aan ‘Kwetsbaarhedenbeheer’ is het proces ‘Patch-management’. Het ISO-onderwerp ‘Beheer van technische kwetsbaarheden (12.6.1)’ behandelt wat betreft de maatregelen twee onderwerpen: kwetsbaarheden beheer (vulnerability management) (zie: U.04) en patchmanagement (zie: U.05). In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.
In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.
Criterium
over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op Beveiligingsaspect Uitvoering
- valt binnen de IFGS-indeling IFGS Functie
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is NEN-ISO/IEC 27002 12.6.1
Onderliggende normen
| ID | Conformiteitsindicator | Stelling | Pagina |
|---|---|---|---|
| SERV_U.04.01 | technische serverkwetsbaarheden | Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen |
| SERV_U.04.02 | technische serverkwetsbaarheden | Voor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van:
|
Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse |
| SERV_U.04.03 | technische serverkwetsbaarheden | Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
|
Verantwoordelijkheden - rollen en middelen om technische kwetsbaarheden te beheren |
| SERV_U.04.04 | technische serverkwetsbaarheden | Met betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident. | De activiteiten zijn afgestemd op het incident beheerproces |
| SERV_U.04.05 | technische serverkwetsbaarheden | Het proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
|
Het kwetsbaarheden beheerproces |
| SERV_U.04.06 | technische serverkwetsbaarheden | Technische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld. | Procesmatig herstel van technische kwetsbaarheden |
| SERV_U.04.07 | geëvalueerd | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd. | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd |
