Patchmanagement
Verwante principes |
Patchmanagement is het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem. Een solide updatemechanisme is essentieel om voldoende beschermd te zijn tegen bekende beveiligingsproblemen in software. De noodzaak van het patchen staat vaak niet ter discussie, vaak ontstaat echter wel discussie over de urgentie waarmee patches moeten worden uitgevoerd. De ernst van de kwetsbaarheid bepaald de noodzaak om de tijdsduur tussen het uitkomen van een patch en het implementeren van een patch zo kort mogelijk te houden. Daarom is het van belang vast te stellen welke doelstelling en prioriteit met patchmanagement worden nagestreefd. Het kan voorkomen dat systemen die niet meer ondersteund worden, (tijdelijk) operationeel gehouden moeten worden. In dat geval is het van belang om te weten welke systemen dat zijn en welke aanvullende maatregelen getroffen zijn om deze systemen voor het uitbuiten van kwetsbaarheden te behoeden, zodat inzicht bestaat over het al of niet uitvoeren van de patch op deze systemen.
Het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op Beveiligingsaspect Uitvoering
- valt binnen de IFGS-indeling IFGS Functie
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is NEN-ISO/IEC 27002 12.6.1, NCSC ICT-Webrichtlijnen voor webapplicaties
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SERV_U.05.01 | procesmatig |
Het patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. |
SERV_U.05.02 | procesmatig |
Een technisch mechanisme zorgt voor (semi-) automatische updates. |
SERV_U.05.03 | procesmatig |
Configuratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht. |
SERV_U.05.04 | procesmatig |
Het Patchmanagement proces bevat methoden om:
|
SERV_U.05.05 | procedureel |
De patchmanagement procedure is actueel en beschikbaar. |
SERV_U.05.06 | procedureel |
De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. |
SERV_U.05.07 | procedureel |
De volgende aspecten van een patch worden geregistreerd: de beschikbare patches;
|
SERV_U.05.08 | richtlijnen |
Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. |
SERV_U.05.09 | richtlijnen |
Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. |
SERV_U.05.10 | richtlijnen |
De risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch. |
SERV_U.05.11 | richtlijnen |
Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
|