Technische kwetsbaarhedenbeheer

Beveiligingsprincipe
ID:	Cloud_C.04
Versie:	1.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	26-2-2020
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	26-2-2020
Indeling
Beveiligingsaspect:	Control
Invalshoek:	Functie

Verwante principes

→ BIO Thema Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Kwetsbaarhedenbeheer (ook wel Vulnerability Management) is het proces, waarbij met behulp van technische hulpmiddelen wordt nagegaan in hoeverre ten aanzien van de clouddiensten kwetsbaarheden voorkomen en waarvan ongeautoriseerden gebruik kunnen maken. De CSC wenst op een transparante wijze op de hoogte gesteld te worden van de kwetsbaarheden en issues gerelateerd aan de beveiliging van de clouddiensten.

Door technische assessments uit te voeren op de ICT-componenten, worden aanwezige kwetsbaarheden zichtbaar en kunnen deze worden weergegeven in een rapportage.

Op basis van deze rapportage kan de CSP een afweging maken, welke kwetsbaarheden relevant zijn en verholpen moeten worden en welke risico’s ten aanzien van deze kwetsbaarheden geaccepteerd kunnen worden.

De frequentie voor het uitvoeren van technische assessments moet zijn vastgesteld op basis van het voor de clouddienst actuele risicoprofiel en actie moet worden ondernomen als geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen of als tekortkomingen worden geconstateerd.

Criterium

over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Control
valt binnen de IFGS-indeling IFGS Functie
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 12.6, 12.6.1, Cloud Security Alliance (CSA) TVM, IT-Grundschutz (Basis für Informationssicherheit) C5, SoGP (Standard of Good Practice for Information Security) TM1.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling
Cloud_C.04.01	technische kwetsbaarheden	De CSP stelt de CSC informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.
Cloud_C.04.02	technische kwetsbaarheden	De CSP heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld.
Cloud_C.04.03	technische kwetsbaarheden	Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.
Cloud_C.04.04	technische kwetsbaarheden	Het tijdspad, waarbinnen gereageerd moet worden op de aankondigingen van potentieel relevante kwetsbaarheden, is gedefinieerd.
Cloud_C.04.05	technische kwetsbaarheden	Periodiek worden penetratietests op de ICT-componenten uitgevoerd om zwakheden te identificeren.
Cloud_C.04.06	technische kwetsbaarheden	Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud: het identificeren, registreren en verwerven van patches; de besluitvorming rond het inzetten van patches; het testen van patches; het uitvoeren van patches; het registreren van doorgevoerde patches.
Cloud_C.04.07	geëvalueerd	De evaluaties van de technische kwetsbaarheden worden geregistreerd en gerapporteerd.
Cloud_C.04.08	geëvalueerd	De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met de verantwoordelijken/eigenaren van de ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn.