Patchmanagement serverplatform
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft een besturingsproces voor het verwerven, testen en installeren van patches op een computersysteem.
Objecttoelichting
Patchmanagement is het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem. Een solide updatemechanisme is essentieel om voldoende beschermd te zijn tegen bekende beveiligingsproblemen in software.
De noodzaak van het patchen staat vaak niet ter discussie. Vaak ontstaat echter wel discussie over de urgentie waarmee patches moeten worden uitgevoerd. De ernst van de kwetsbaarheid bepaalt de noodzaak om de tijdsduur tussen het uitkomen van een patch en het implementeren van een patch zo kort mogelijk te houden. Daarom is het van belang vast te stellen welke doelstelling en prioriteit met patchmanagement worden nagestreefd. Het kan voorkomen dat systemen die niet meer ondersteund worden, (tijdelijk) operationeel gehouden moeten worden. In dat geval is het van belang om te weten welke systemen dat zijn en welke aanvullende maatregelen getroffen zijn om deze systemen voor het uitbuiten van kwetsbaarheden te behoeden, zodat inzicht bestaat over het al of niet uitvoeren van de patch op deze systemen.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen C.09
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SVP_U.05.01 | Procesmatig |
Het patchmanagementproces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. |
SVP_U.05.02 | Procesmatig |
Een technisch mechanisme zorgt voor (semi-)automatische updates. |
SVP_U.05.03 | Procesmatig |
Configuratiebeheer geeft het inzicht waarmee servers worden gepatcht. |
SVP_U.05.04 | Procesmatig |
Het patchbeheerproces bevat methoden om:
|
SVP_U.05.05 | Procedureel |
De patchmanagementprocedure is actueel en beschikbaar. |
SVP_U.05.06 | Procedureel |
De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. |
SVP_U.05.07 | Procedureel |
De volgende aspecten van een patch worden geregistreerd:
|
SVP_U.05.08 | Richtlijnen |
Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. |
SVP_U.05.09 | Richtlijnen |
Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. |
SVP_U.05.10 | Richtlijnen |
De risico’s die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico’s die worden gevormd door de kwetsbaarheid worden vergeleken met het risico van het installeren van de patch). |
SVP_U.05.11 | Richtlijnen |
Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
|