richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/a-8.8-Beheer-van-technische-kwetsbaarheden.md

15 KiB
Raw Blame History

#iso27002/2022/NL

Standard: ISO 27002:2022 NL

+------------------------+----------------------------------------------------+----------------------+------------------------------------------------+-----------------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligingsdomeinen | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+================================================+=============================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beheer_van_ dreigingen_en_ kwetsbaarheden | #Governance_en_Ecosysteem | | | | | | | | | | #Beschermen | | #Bescherming | | | | | | | | | | | | #Verdediging | +------------------------+----------------------------------------------------+----------------------+------------------------------------------------+-----------------------------+

Beheersmaatregel

Er behoort informatie te worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behorende passende maatregelen te worden getroffen.

Doel

Misbruik van technische kwetsbaarheden voorkomen.

Richtlijn

Technische kwetsbaarheden identificeren

De organisatie behoort te beschikken over een nauwkeurige inventarislijst van bedrijfsmiddelen (zie

5t/m 5) als voorwaarde voor een doeltreffend beheer van technische kwetsbaarheden; in de inventarislijst behoren de leverancier en naam van de software, versienummers, de huidige toepassingsstatus (bijvelke software is geïnstalleerd op welke systemen) en de binnen de organisatie voor de software verantwoordelijke persoon of personen te worden opgenomen.

Om technische kwetsbaarheden te identificeren behoort de organisatie het volgende in aanmerking te nemen:

a) het definiëren en vaststellen van de rollen en verantwoordelijkheden in samenhang met het beheer van technische kwetsbaarheden, met inbegrip van het monitoren van de kwetsbaarheden, een risicobeoordeling van de kwetsbaarheden, updaten, het traceren van bedrijfsmiddelen en de vereiste coördinatieverantwoordelijkheden;

b) voor software en andere technologieën (op basis van de inventarislijst van bedrijfsmiddelen, zie

5, informatiemiddelen identificeren die worden gebruikt om relevante technische kwetsbaarheden te identificeren en de bewustwording ervan in stand te houdene lijst met informatiemiddelen bijwerken op basis van veranderingen in de inventarislijst of wanneer er andere nieuwe of nuttige middelen worden gevonden;

c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5.20);

d) gebruikmaken van instrumenten om op kwetsbaarheden te scannen die geschikt zijn voor de gebruikte technologieën om kwetsbaarheden te identificeren en nagaan of het patchen van kwetsbaarheden geslaagd is;

e) competente en bevoegde personen geplande, gedocumenteerde en herhaalbare penetratietests of kwetsbaarheidsbeoordelingen laten uitvoeren ter ondersteuning van het identificeren van kwetsbaarhedenorg betrachten aangezien zulke activiteiten de beveiliging van het systeem in het gedrang kunnen brengen;

f) het gebruik van bibliotheken en broncode van derden met het oog op kwetsbaarheden tracerenit

behoort te worden opgenomen in beveiligde codering (zie 8.28).

De organisatie behoort procedures en capaciteiten te ontwikkelen om:

a) het bestaan te detecteren van kwetsbaarheden in haar producten en diensten, met inbegrip van alle

externe componenten die in deze producten en diensten worden gebruikt;

b) meldingen over kwetsbaarheden van interne of externe bronnen te ontvangen;

De organisatie behoort te voorzien in een openbaar contactpunt als onderdeel van onderwerpspecifiek beleid inzake het bekendmaken van kwetsbaarheden, zodat onderzoekers en anderen in staat zijn problemen te meldene organisatie behoort procedures voor het melden van kwetsbaarheden op te stellen, online meldformulieren in te richten en gebruik te maken van passende fora voor het delen

van informatie en analyses over dreigingen of andere informatiee organisatie behoort ook na te denken over bug bounty-programma's, waarbij beloningen worden aangeboden als stimulans om organisaties te helpen kwetsbaarheden te identificeren om deze naar behoren te verhelpene organisatie behoort ook informatie met bevoegde vertegenwoordigers van het bedrijfsleven of andere belanghebbenden te delen.

Technische kwetsbaarheden evalueren

Om geïdentificeerde technische kwetsbaarheden te evalueren behoren de volgende richtlijnen te worden overwogen:

a) meldingen analyseren en verifiëren om te bepalen welke respons- en herstelmaatregelen nodig zijn;

b) als er een mogelijke technische kwetsbaarheid is geïdentificeerd, de gerelateerde risico's en te treffen maatregelen identificerenet bijwerken van kwetsbare systemen of het toepassen van andere beheersmaatregelen kan onderdeel zijn van die maatregelen.

Passende maatregelen treffen om technische kwetsbaarheden op te pakken

Er behoort een beheerprocedure voor het updaten van software te worden geïmplementeerd om te bewerkstelligen dat de meest recente goedgekeurde patches en toepassingsupdates bij alle goedgekeurde software zijn geïnstalleerdndien de veranderingen noodzakelijk zijn, behoort de originele software te worden bewaard en behoren de veranderingen aan een speciaal daarvoor bestemde kopie te worden aangebrachtlle veranderingen behoren volledig te worden getest en gedocumenteerd zodat ze zo nodig opnieuw kunnen worden toegepast bij toekomstige software- upgradesndien vereist behoren de wijzigingen door een onafhankelijke beoordelingsinstantie te worden getest en gevalideerd.

De volgende richtlijnen behoren in overweging te worden genomen om technische kwetsbaarheden aan te pakken:

a) tijdig passende maatregelen treffen als reactie op geïdentificeerde mogelijke technische kwetsbaarheden; een tijdsbestek definiëren waarin moet worden gereageerd op meldingen van mogelijk relevante technische kwetsbaarheden;

b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8.32) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5.26);

c) alleen updates gebruiken die afkomstig zijn van legitieme bronnen (dit kunnen interne bronnen

binnen de organisatie of externe bronnen buiten de organisatie zijn);

d) updates testen en evalueren alvorens ze te installeren om te garanderen dat ze doeltreffend zijn en geen neveneffecten met zich meebrengen die niet kunnen worden getolereerd [dzndien een update beschikbaar is, de risico's in verband met het installeren van de update beoordelen (de risico's als gevolg van de kwetsbaarheid behoren te worden vergeleken met het risico dat het installeren van de update met zich meebrengt)];

e) systemen met een hoog risico als eerste aanpakken;

f) herstelmaatregelen ontwikkelen (meestal software-updates of patches);

g) testen om te bevestigen dat de herstel- of beperkende maatregel doeltreffend is;

h) voorzien in mechanismen om de authenticiteit van herstelmaatregelen te verifiëren;

i) indien er geen update beschikbaar is of de update niet kan worden geïnstalleerd, andere

beheersmaatregelen overwegen, zoals:

  1. een door de softwareleverancier of andere relevante bronnen voorgesteld alternatief toepassen;

  2. diensten of capaciteiten in verband met de kwetsbaarheid uitschakelen;

  3. toegangsbeveiligingsmaatregelen aanpassen of toevoegen (bijvirewalls) rond de grenzen van

netwerken (zie 8.20 t/m 8.22);

  1. kwetsbare systemen, apparaten of toepassingen afschermen tegen aanvallen door passende

verkeersfilters toe te passen (soms aangeduid als virtueel patchen);

  1. intensiever monitoren om werkelijke aanvallen te detecteren;

  2. bewustwording omtrent de kwetsbaarheid kweken;

Voor aangekochte software geldt dat indien de leveranciers regelmatig informatie over beveiligingsupdates voor hun software vrijgeven en een faciliteit bieden om dergelijke updates automatisch te installeren, de organisatie behoort te beslissen of zij al dan niet gebruikmaakt van de automatische update.

Overige overwegingen

Over alle stappen die in het kader van het beheer van technische kwetsbaarheden zijn ondernomen, behoort een auditlogbestand te worden bijgehouden.

Het beheerproces met betrekking tot de technische kwetsbaarheid behoort regelmatig te worden gemonitord en geëvalueerd om de doeltreffendheid en doelmatigheid ervan te waarborgen.

Om gegevens over kwetsbaarheden te communiceren aan de functie die de verantwoordelijkheid heeft te reageren op het incident en om te voorzien in uit te voeren technische procedures indien zich een incident voordoet, behoort een doeltreffend beheerproces met betrekking tot de technische kwetsbaarheid te worden afgestemd op incidentbeheeractiviteiten.

Indien de organisatie gebruikmaakt van een door een derde aanbieder van clouddiensten beschikbaar gestelde clouddienst, behoort het beheer van de technische kwetsbaarheden van de middelen van de aanbieder van clouddiensten door deze aanbieder te worden gegarandeerde verantwoordelijk- heden van de aanbieder van de clouddiensten voor het beheer van technische kwetsbaarheden behoort deel uit te maken van de clouddienstverleningsovereenkomst en dit behoort processen te

omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5.23). Voor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt.

Overige informatie

Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8.32).

Er is een mogelijkheid dat een update het probleem ontoereikend aanpakt en negatieve bijwerkingen heeftok is het in bepaalde gevallen niet gemakkelijk een update na toepassing te de-installeren.

Indien het niet mogelijk is de updates in voldoende mate te testen (bijvanwege de kosten of door een gebrek aan middelen), kan worden overwogen het uitvoeren van een update uit te stellen om de samenhangende risico's te evalueren, op basis van de ervaringen die door andere gebruikers worden gemeldet kan nuttig zijn om ISO/IEC 27031 te raadplegen.

Indien er softwarepatches of -updates worden geproduceerd, kan de organisatie overwegen in een geautomatiseerd updateproces te voorzien waarbij deze updates op de betrokken systemen of producten worden geïnstalleerd zonder dat de klant of de gebruiker iets hoeft te doenndien een geautomatiseerd updateproces wordt aangeboden, kan dit de klant of gebruiker een optie bieden om de automatische update uit te schakelen of controle te hebben over het tijdstip waarop de update wordt geïnstalleerd.

Indien de verkoper een geautomatiseerd updateproces aanbiedt en de updates op getroffen systemen of producten kunnen worden geïnstalleerd zonder dat interventie nodig is, bepaalt de organisatie of zij het geautomatiseerde proces al dan niet toepasten reden om niet voor geautomatiseerde updates te kiezen is dat men zelf de controle wil behouden over wanneer de update wordt uitgevoerden update van software die voor een bedrijfsactiviteit wordt gebruikt, kan bijvoorbeeld pas worden uitgevoerd als de activiteit is afgerond.

Een zwak punt van het scannen op kwetsbaarheden is dat het mogelijk is dat daarbij niet volledig rekening wordt gehouden met 'defence in depth': als tegenmaatregelen altijd na elkaar worden ingeroepen, kunnen kwetsbaarheden in de ene tegenmaatregel aan het oog worden onttrokken door sterke punten van de anderee samengestelde tegenmaatregel is niet kwetsbaar, terwijl een instrument dat wordt gebruikt om op kwetsbaarheden te scannen kan melden dat beide componenten kwetsbaar zijne organisatie behoort derhalve zorgvuldig te werk te gaan bij het beoordelen van en het nemen van maatregelen naar aanleiding van gemelde kwetsbaarheden.

Veel organisaties leveren software, systemen, producten en diensten niet alleen binnen de organisatie, maar ook aan belanghebbenden zoals klanten, partners of andere gebruikerseze software, systemen, producten en diensten kunnen gepaard gaan met informatiebeveiligingskwetsbaarheden die van invloed zijn op de veiligheid van gebruikers.

Organisaties kunnen herstelmaatregelen vrijgeven en informatie over kwetsbaarheden bekendmaken aan gebruikers (doorgaans via een openbaar informatiebericht) en passende informatie verstrekken voor databasediensten voor softwarekwetsbaarheden.

Meer informatie over het beheer van technische kwetsbaarheden bij het gebruik van cloudcomputing is te vinden in de ISO/IEC 19086-reeks en ISO/IEC 27017.

ISO/IEC 29147 geeft gedetailleerde informatie over het ontvangen van meldingen van kwetsbaarheden en het publiceren van adviezen met betrekking tot kwetsbaarhedenSO/IEC 30111 geeft gedetailleerde informatie over het omgaan met en oplossen van gemelde kwetsbaarheden.