Beheersing van technische kwetsbaarheden (processen)

Architectuurmodel: Omgevingswet (Projectmodel)
GEMMA/Project-element: IB Processen (geen GEMMA element)
GEMMA proces:
Beheersmaatregel(en):
  • 12.6.1 Beheersing van technische kwetsbaarheden (Beheersmaatregel)
    • 12.6.1.1 Er is een proces ingericht voor het beheer van technische kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.
    • 12.6.1.2 Van softwarematige voorzieningen van de technische infrastructuur kan (bij voorkeur geautomatiseerd) gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd. Het doorvoeren van een update vindt niet geautomatiseerd plaats, tenzij hier speciale afspraken over zijn met de leverancier.
    • 12.6.1.3 Indien een patch beschikbaar is, dienen de risico's verbonden met de installatie van de patch te worden geëvalueerd (de risico's verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch).
    • 12.6.1.4 (A) Updates/patches voor kwetsbaarheden waarvan de kans op misbruik hoog is en waarvan de schade hoog is worden zo spoedig mogelijk doorgevoerd, echter minimaal binnen één week. Minder kritische beveiligings-updates/patches moeten worden ingepland bij de eerst volgende onderhoudsronde.
    • 12.6.1.5 Indien nog geen patch beschikbaar is dient gehandeld te worden volgens het advies van de IBD of een andere CERT zoals bijvoorbeeld het NCSC.
Relevantie:Beschikbaarheid en betrouwbaarheid van de systemen is van groot belang in een samengesteld systeem als het Digitaal Stelsel voor de Omgevingswet. Het beheer van kwetsbaarheden in de gebruikte software is daarbij onmisbaar.
Impact:Er dienen processen ingericht te worden om kwetsbaarheden in de software adequaat te mitigeren.
OplossingsrichtingOok hier is, net als in norm 12.4.1 een accurate administratie belangrijk (Configuration Management). Op basis van deze administratie zijn kwetsbaarheden op te sporen. Gegevens uit de Configuration database kunnen vergeleken worden met kwetsbaarheidsmeldingen. Het IBD CERT verspreid deze kwetsbaarheidsmeldingen op frequente basis en zijn voor dit proces bruikbaar. Het mitigeren van deze kwetsbaarheden is analoog aan de updates van software. Via het Change Management proces kunnen patches geïnstalleerd worden op de betreffende systemen. Indien deze processen al bestaan binnen de organisatie, gebruik deze dan om het beheersen van kwetsbaarheden in de software in te richten. Indien dit nog niet beschikbaar is, richt deze processen dan in voor de Omgevingswet.

Toelichting:
Impact BIO: Deze norm is in de BIO gedeeltelijk vervangen door de BIO-normen (maatregel) 12.6.1.1 en de volgende maatregelen zijn komen te vervallen 12.6.1.[1,2,3 en 5].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

Alle uitspraken

Een weergave van een bepaald onderwerp. Een architectuurmodel geeft een kleinschalige, vereenvoudigde en/of abstracte weergave van het onderwerp.

De GEMeentelijke ModelArchitectuur met een verzameling samenhangende kaders, richtlijnen, referentiemodellen en standaarden die gemeenten helpt bij het inrichten van hun IT-omgeving en processen.

Het geheel van voorzieningen dat nodig is om een land of organisatie, zoals een bedrijf of een instelling, goed te laten functioneren.

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

Een systeem waarbinnen organisaties via afspraken, standaarden en/of voorzieningen samenwerken om bepaalde functionaliteit te realiseren.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. (Synoniem van: Data )

Overgenomen van "https://www.gemmaonline.nl/index.php?title=Beheersing_van_technische_kwetsbaarheden_(processen)&oldid=654897"
Deze pagina is het laatst bewerkt op 21 feb 2019 om 11:07.