![Logo ISOR [[Beveiligingsprincipes]]: in elkaar gehaakte hangsloten met de tekst ISOR Beveiliging Principe.](/images/noraonline/5/5f/ISOR_Beveiligingsprincipe.png)
Technische kwetsbaarhedenbeheer serverplatform
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
| ID: | SVP_U.04 |
|---|---|
| Beveiligingsprincipe | |
| Versie: | 2.3 |
| Status: | Actueel |
| Indeling | |
| Beveiligingsaspect: |
 |
| Invalshoek: |  |
Objectdefinitie
Instandhoudingsproces voor het onderzoek naar en het oplossen van technische kwetsbaarheden.
Objecttoelichting
Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt.
Zonder inzicht in de actuele stand van zaken, kan de beheerder niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen:
- Hoe is de serveromgeving opgebouwd en geconfigureerd?
- Wat zijn bekende kwetsbaarheden en zwakheden?
Gerelateerd aan kwetsbaarhedenbeheer is het patchmanagementproces. Het ISO 27002-onderwerp ‘Beheer van technische kwetsbaarheden’ (in paragraaf 8.8) behandelt wat betreft de maatregelen twee onderwerpen:
- . Kwetsbaarhedenbeheer (vulnerability-management);
- . Patchmanagement (zie paragraaf 4.3.5 U.05 Patchmanagement).
In deze BIO Thema-uitwerking worden deze twee onderwerpen apart beschreven.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is ISO 27002:2022 8.8
Onderliggende normen
| ID | Conformiteitsindicator | Stelling |
|---|---|---|
| SVP_U.04.01 | Technische serverkwetsbaarheden |
Er is een beheersproces voor technische kwetsbaarheden vastgesteld, inclusief rollen, verantwoordelijkheden, middelen en een tijdsbestek voor reactie op kwetsbaarheidsmeldingen. |
| SVP_U.04.02 | Technische serverkwetsbaarheden |
Bij hoge kans op misbruik én hoge verwachte schade (volgens NCSC-Inschalingsmatrix ) worden mitigerende maatregelen zo snel mogelijk, maar uiterlijk binnen 1 week getroffen. |
| SVP_U.04.03 | Technische serverkwetsbaarheden |
Op basis van een expliciete risicoafweging wordt bepaald op welke wijze (patchen, tijdelijke mitigerende maatregelen, compenserende controles) kwetsbaarheden worden aangepakt. Als installatie binnen een week niet mogelijk is, worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. |
| SVP_U.04.04 | Technische serverkwetsbaarheden |
Informatiesystemen (met name internetfacing) worden waar mogelijk continu of minimaal jaarlijks getest op zwakheden en kwetsbaarheden (kwetsbaarheidsanalyse, penetratietesten, red teaming), om de technische naleving van beveiligingsnormen en risico's van de feitelijke veiligheid te waarborgen. |
| SVP_U.04.05 | Technische serverkwetsbaarheden |
Bij nieuwe releases of major updates van internetfacing systemen wordt waar mogelijk een geautomatiseerde penetratietest uitgevoerd. Bij kritieke bevindingen die niet anders gemitigeerd kunnen worden, mag het systeem niet in productie. |
| SVP_U.04.06 | Geëvalueerd |
Het kwetsbaarhedenbeheersproces wordt periodiek gemonitord en geëvalueerd. Wijzigingen aan patches en mitigerende maatregelen worden getest en geautoriseerd via het wijzigingsbeheerproces. |
Verwante principes
Ga naar de gebruikerspagina van Gebruiker:GvdB
Contact: +31611307897 (Signal)
8 juni 2026 13:30:27
3 mei 2019 16:04:59
8 juni 2026 13:30:27
19
Informatief
25 oktober 2021
