Patchmanagement van externe programmacode
Verwante principes |
Binnen een projectprogramma wordt bij het ontwikkelen van informatiesystemen programmacode gecreëerd. Soms hebben ontwikkelaars de mogelijkheid om voor bepaalde functionaliteiten code uit een externe bibliotheek te gebruiken. Deze externe code kan fouten in zich dragen. Uit beveiligingsoogpunt is het raadzaam om code uit externe bibliotheken te testen en na te gaan of deze code beveiligd moet worden door middel van door de code leverancier beschikbaar gestelde patches.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op Beveiligingsaspect Control
- valt binnen de IFGS-indeling IFGS Functie
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
AppO_C.03.01 | procesmatig en procedureel |
Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. |
AppO_C.03.02 | procesmatig en procedureel |
De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement. |
AppO_C.03.03 | procesmatig en procedureel |
Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd. |
AppO_C.03.04 | technische kwetsbaarheden |
Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. |
AppO_C.03.05 | technische kwetsbaarheden |
Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. |
AppO_C.03.06 | tijdig |
Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd. |