5.6 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+===================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie #Toepassingsbeveili- ging | #Bescherming | +------------------------+----------------------------------------------------+----------------------+---------------------------------------------------+---------------------+
Beheersmaatregel
Er behoren procedures en maatregelen te worden geïmplementeerd om het installeren van software op operationele systemen op veilige wijze te beheren.
Doel
De integriteit van operationele systemen garanderen en voorkomen dat misbruik wordt gemaakt van technische kwetsbaarheden.
Richtlijn
De volgende richtlijnen behoren in overweging te worden genomen om wijzigingen en de installatie van software op operationele systemen op beveiligde wijze te beheren:
a) updates van operationele software alleen laten uitvoeren door daartoe opgeleide beheerders met passende beheerdersrechten (zie 8.2)
b) garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of compilers, op operationele systemen wordt geïnstalleerd;
c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8.8 en 8.29);
d) alle bijbehorende programmabronbibliotheken updaten;
e) een configuratiebeheerssysteem gebruiken om alle operationele software en systeemdocumentatie te beheersen;
f) een roll-backstrategie definiëren alvorens wijzigingen te implementeren;
g) een auditlogbestand bijhouden van alle updates van operationele software;
h) oude versies van software, samen met alle vereiste informatie en parameters, procedures, configuratiedetails archiveren en software als noodmaatregel ondersteunen zolang de software nodig is om gearchiveerde gegevens te lezen of te verwerken.
Bij beslissingen om te upgraden naar een nieuwe versie behoort rekening te worden gehouden met de bedrijfseisen die gelden voor de verandering en de veiligheid van de versie (bijve introductie van nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van kwetsbaarheden in de informatiebeveiliging die zich bij de huidige versie voordoen). Softwarepatches behoren te worden toegepast als ze kunnen bijdragen aan het verwijderen of verminderen van kwetsbaarheden in de informatiebeveiliging (zie 8.8 en 8.19).
Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijv. softwareprogramma's met modules die op externe locaties worden gehost). Deze behoren te worden gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot kwetsbaarheden in de informatiebeveiliging kunnen leiden.
Software van leveranciers die in productiesystemen wordt gebruikt, behoort te worden onderhouden op een niveau dat door de leverancier wordt ondersteunda verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversiese organisatie behoort de risico's van het gebruiken van niet-ondersteunde software te overwegenn operationele systemen toegepaste opensourcesoftware behoort op de stand van de meest recente geschikte uitgave van de software te worden onderhoudenet is mogelijk dat opensourcecode na verloop van tijd niet meer wordt onderhouden, maar nog steeds beschikbaar is in een opensourcesoftwarebewaarplaatse organisatie behoort ook rekening te houden met de risico's van het in operationele systemen gebruiken van opensourcesoftware die niet meer wordt onderhouden.
Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5.22).
De organisatie behoort strikte regels te definiëren en ten uitvoer te brengen met betrekking tot de soorten software die gebruikers kunnen installeren.
Het beginsel van het 'least privilege' (minste voorrechten) behoort te worden toegepast op de installatie van software op operationele systemene organisatie behoort vast te leggen welke soorten software mogen worden geïnstalleerd (bijvpdates en beveiligingspatches voor bestaande software) en welke verboden zijn (bijvoftware uitsluitend voor persoonlijk gebruik en software waarvan de herkomst met betrekking tot de potentiële kwaadaardigheid onbekend of verdacht is)eze voorrechten behoren te worden verleend op basis van de rollen van de betrokken gebruikers.
Overige informatie Geen overige informatie.