Technische kwetsbaarhedenbeheer clouddiensten

Uit NORA Online
ISOR:Technische kwetsbaarhedenbeheer
Ga naar: navigatie, zoeken
Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft een instandhoudingsproces voor het onderzoek naar en het oplossen van technische kwetsbaarheden.

Objecttoelichting

Het verzamelen en beheren van security-kwetsbaarheden en issues in clouddiensten. Voor wat betreft de services van de Cloud Service Consumer (CSC), het transparant communiceren van kwetsbaarheden van de genomen (of nog te nemen) maatregelen voor IT en organisatie. De CSC wenst op een transparante wijze op de hoogte gesteld te worden van de kwetsbaarheden en issues gerelateerd aan de beveiliging van de clouddiensten.


Door technische assessments uit te voeren op de ICT-componenten worden aanwezige kwetsbaarheden zichtbaar en kunnen deze worden weergegeven in een rapportage. Met deze rapportage kan de CSP de afweging maken welke kwetsbaarheden relevant zijn en verholpen moeten worden en welke risico’s ten aanzien van deze kwetsbaarheden geaccepteerd kunnen worden.


De frequentie voor het uitvoeren van technische assessments moet zijn vastgesteld met het voor de clouddienst actuele risicoprofiel en actie moet worden ondernomen als geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of als tekortkomingen worden geconstateerd.


Criterium

Informatie over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden dienen te worden geëvalueerd en passende maatregelen dienen te worden genomen om het risico dat ermee samenhangt aan te pakken.

Doelstelling

Het voorkomen van het benutten van technische kwetsbaarheden door onbevoegden.

Risico

Een technische kwetsbaarheid wordt niet of niet tijdig ontdekt.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 12.6.1

Onderliggende normen

IDConformiteitsindicatorStelling
CLD_C.04.01 Technische kwetsbaarheden

De Cloud Service Provider (CSP) stelt de Cloud Service Consumer (CSC) informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.

CLD_C.04.02 Technische kwetsbaarheden

De Cloud Service Provider (CSP) heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld.

CLD_C.04.03 Technische kwetsbaarheden

Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC (Nationaal Cyber Security Centrum) classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.

CLD_C.04.04 Technische kwetsbaarheden

Het tijdspad waarbinnen gereageerd moet worden op aankondigingen van potentieel relevante kwetsbaarheden is gedefinieerd.

CLD_C.04.05 Technische kwetsbaarheden

Periodiek worden penetratietests op ICT-componenten uitgevoerd om zwakheden te identificeren.

CLD_C.04.06 Technische kwetsbaarheden

Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:

  • het identificeren, registreren en verwerven van patches;
  • de besluitvorming rond het inzetten van patches;
  • het testen van patches;
  • het uitvoeren van patches;
  • het registreren van doorgevoerde patches.
CLD_C.04.07 Geëvalueerd

Evaluaties van technische kwetsbaarheden worden geregistreerd en gerapporteerd.

CLD_C.04.08 Geëvalueerd

De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn.