Softwarepakketten Control
Versie 1.1 van 30 maart 2021 van de BIO Thema-uitwerking Softwarepakketten is vervangen door versie 1.2 van 26 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Softwarepakketten.
| ID: | SWP_C |
|---|---|
| Normenkader-aspect | |
| Versie: | 1.2 |
| Status: | Actueel |
| Indeling | |
| Beveiligingsaspect: |
 |
| Invalshoek: | |
Meer lezenbewerken
- → BIO Thema-uitwerking Softwarepakketten
- → Alle normenkaders
- → Beveiligingsaspecten
- → Invalshoeken
- → ISOR
Doelstellingbewerken
De doelstelling van het control-domein is om vast te stellen of:
- de controls voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van softwarepakketten;
- softwarepakketten functioneel en technisch op het juiste niveau worden gehouden.
Dit houdt onder meer in dat binnen de organisatie een adequate beheersorganisatie moet zijn ingericht, waarin beheersprocessen zijn vormgegeven.
Risico'sbewerken
Als de regie en control op noodzakelijke normen binnen de klant en de leverancier ontbreken, is het niet zeker of de bedrijfs- en technische functies aan de beoogde beveiligingsvoorwaarden voldoen en dat de governance van deze omgeving toereikend is ingericht. Ook kan niet vastgesteld worden of de gewenste normen worden nageleefd.
Beveiligingsprincipes, criteria en normen
Onderstaande afbeelding geeft de ordening van beveiligingsobjecten in het control-aspect weer met invalshoeken voor deze BIO Thema-uitwerking. Elk objectblok bevat de objectnaam, het basiselement en het objectnummer. Blauwgekleurde objecten zijn afgeleid van de Baseline Informatiebeveiliging Overheid (BIO). De witte objecten zijn afgeleid van andere best practices.
De objecten zijn deels in de onderstaande tabellen uitgewerkt. Echter niet elk object is van toepassing voor elke softwarepakketselectie. Dit hangt af van verschillende factoren zoals: schaalgrootte, hostingslocatie, soort en integreerbaarheid met de bestaande IT. Anders dan in andere BIO thema-uitwerkingen zijn aan deze thema-uitwerking toegevoegd:
- Schaalgrootte, De schaalgrootte geeft een globale indicatie (klein, middel of groot) in hoeverre de schaalgrootte van softwarepakketten van invloed kan zijn op de relevantie van een beveiligingsprincipe. Met klein wordt bedoeld getalsmatig en/of bedrijfsmatige impactbeperkte toepassing. Middel is voor middelgrote bedrijfstoepassingen, zoals boekhouding- en officetoepassingen. De waarde groot is voor grootschalig gebruik, enerzijds in aantallen, anderzijds in omvang van het softwarepakket zoals Enterprise Resource Planning (ERP) en Enterprise Data Warehouses (EDW).
- Voor wie het criterium van toepassing is, Het gaat om de klant en/of de leverancier. In veel gevallen is samenwerking tussen de klant en leverancier nodig om risico’s tijdens het gebruik van de softwarepakketten afdoende te beperken.
Principes uit de BIO Thema-uitwerking Softwarepakketten binnen dit aspectbewerken
| ID | Principe | Criterium |
|---|---|---|
| SWP_C.01 | Evaluatie leveranciersdienstverlening | De organisatie behoort de informatiebeveiligingspraktijken en de dienstverlening van leveranciers van softwarepakketten en diensten regelmatig te monitoren, beoordelen, evalueren en veranderingen daaraan te beheren. |
| SWP_C.02 | Versiebeheer softwarepakketten | Wijzigingen aan het softwarepakket binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer. |
| SWP_C.03 | Patchmanagement softwarepakketten | De organisatie controleert of er een formeel patchmanagementproces is voor softwarepakketten, inclusief tijdige installatie van goedgekeurde patches en updates. |
Normen uit de BIO Thema-uitwerking Softwarepakketten binnen dit aspectbewerken
| ID | Stelling | Norm |
|---|---|---|
| SWP_C.01.01 | De prestatieniveaus en veranderingen in de dienstverlening (updates, beleid, technologie, onderleveranciers) worden gemonitord en geëvalueerd. | Verifiëren mate van naleving leveranciersovereenkomsten |
| SWP_C.01.02 | Rapporten van de leverancier over dienstverlening, incidenten en kwetsbaarheden worden beoordeeld en besproken in voortgangsbesprekingen. | Beoordelen rapporten over dienstverlening |
| SWP_C.01.03 | Audits bij leveranciers en onderleveranciers worden uitgevoerd, in combinatie met beoordeling van onafhankelijke auditrapporten. Afwijkingen worden opgevolgd. | Uitvoeren leveranciersaudits |
| SWP_C.01.04 | Informatiebeveiligingsincidenten, kwetsbaarheden en wijzigingen bij de leverancier worden gemonitord, beoordeeld en gerapporteerd aan het management. | Geven inzicht in verslaglegging leveranciersaudits |
| SWP_C.01.05 | De continuïteitsplannen en capaciteit van de leverancier worden gecontroleerd en getest om te waarborgen dat dienstverlening binnen de afgesproken RTO/RPO blijft. | Oplossen en beheren problemen |
| SWP_C.02.01 | De leverancier heeft versiebeheer adequaat geregeld en stelt de klant tijdig op de hoogte van de actueel te gebruiken versies. | Regelen adequaat versiebeheer |
| SWP_C.02.02 | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Ondersteunen versiebeheer met procedures en werkinstructies |
| SWP_C.02.03 | Er wordt gecontroleerd of de leverancier risico's identificeert en afweegt, en de impact wijzigingen vooraf analyseert (inclusief afhankelijkheden), autoriseert en communiceert naar de organisatie. | Controle op risicoanalyse en impactbeoordeling bij wijzigingen door leveranciers |
| SWP_C.02.04 | De organisatie controleert of wijzigingen (patches, updates, nieuwe versies) door de leverancier getest en gevalideerd zijn, voordat ze in productie worden genomen. | Validatie en testen van wijzigingen vóór productieplaatsing |
| SWP_C.02.05 | De implementatie van wijzigingen (inzetplannen, noodprocedures, registratie van alle stappen) en de aanpassing van documentatie en continuïteitsplannen wordt gecontroleerd. Daarnaast wordt gecontroleerd of de leverancier het wijzigingsbeheerproces uitvoert op basis van het geaccepteerde beheerraamwerk. | Controle op implementatie en beheer van wijzigingen door leveranciers |
| SWP_C.02.06 | Bevindingen uit de controle op wijzigingsbeheer bij de leverancier worden gerapporteerd aan het management en leiden tot corrigerende maatregelen indien nodig. | Rapportage en opvolging van bevindingen uit wijzigingsbeheercontroles |
| SWP_C.03.01 | Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Beschrijven, vaststellen en bekendmaken patchmanagementproces en -procedures |
| SWP_C.03.02 | Er wordt gecontroleerd of patches van legitieme bronnen worden gebruikt, getest en geëvalueerd voordat ze in productie worden geïnstalleerd. | Technisch kwetsbaarheden beheer omvat minimaal risicoanalyse |
| SWP_C.03.03 | Bij hoge urgentie (hoge kans op misbruik + hoge verwachte schade) wordt gecontroleerd of patches of mitigerende maatregelen uiterlijk binnen een week worden toegepast. | Installeren patches voor kwetsbaarheden |
| SWP_C.03.04 | De organisatie controleert of risico’s van de patch-installatie worden afgewogen tegen de kwetsbaarheid, en of bij geen patch alternatieve maatregelen (bijv. virtueel patchen, monitoren) worden overwogen. | Afweging van patchrisico’s en alternatieve beveiligingsmaatregelen |
| SWP_C.03.05 | De organisatie controleert of risico’s van de patch-installatie worden afgewogen tegen de kwetsbaarheid, en of bij geen patch alternatieve maatregelen (bijv. virtueel patchen, monitoren) worden overwogen. | Auditbare registratie en rapportage van patchactiviteiten0 |
Ga naar de gebruikerspagina van Gebruiker:GvdB
Contact: +31611307897 (Signal)
Gewijzigd:
30 november 2021 14:13:50
Verplichting:
Beheerregime:
Fase:
12 april 2021 11:05:22
30 november 2021 14:13:50
23
29 oktober 2021
