iso27diy-corp/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/a-8.9-Configuratiebeheer.md

#iso27002/2022/NL

Standard: ISO 27002:2022 NL

+------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+=========================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie | #Bescherming | +------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+

Beheersmaatregel

Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken behoren te worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.

Doel

Garanderen dat hardware, software, diensten en netwerken correct met de vereiste beveiligingsinstellingen functioneren en de configuratie niet door ongeautoriseerde of onjuiste wijzigingen wordt gewijzigd.

Richtlijn

Algemeen

De organisatie behoort processen en instrumenten te definiëren en te implementeren om de voor zowel nieuw geïnstalleerde systemen als bestaande operationele systemen gedefinieerde configuraties (met inbegrip van beveiligingsconfiguraties) voor hardware, software, diensten (bijvlouddiensten) en netwerken gedurende de levensduur ervan af te dwingen.

Rollen, verantwoordelijkheden en procedures behoren te worden vastgelegd om afdoende beheersing van alle veranderingen aan configuraties te waarborgen.

Standaardsjablonen

Er behoren standaardsjablonen voor de beveiligde configuratie van hardware, software, diensten en netwerken te worden gedefinieerd:

a) met behulp van openbaar beschikbare richtlijnen (bijvooraf gedefinieerde sjablonen van

verkopers en van onafhankelijke beveiligingsorganisaties);

b) met inachtneming van het beveiligingsniveau dat nodig is om een afdoende beveiligingsniveau vast

te stellen;

c) die het informatiebeveiligingsbeleid van de organisatie, onderwerpspecifieke beleidsregels,

normen en andere beveiligingseisen van de organisatie ondersteunen;

d) waarbij de haalbaarheid en toepasselijkheid van beveiligingsconfiguraties in de context van de

organisatie in overweging worden genomen.

De sjablonen behoren regelmatig te worden beoordeeld en bijgewerkt wanneer nieuwe dreigingen of kwetsbaarheden moeten worden aangepakt, of wanneer er nieuwe software- of hardwareversies worden geïntroduceerd.

Voor het vaststellen van standaardsjablonen voor de beveiligde configuratie van hardware, software, diensten en netwerken behoort het volgende in overweging te worden genomen:

a) het aantal identiteiten met toegangsrechten op speciaal of beheerdersniveau minimaliseren;

b) onnodige, ongebruikte of onbeveiligde identiteiten uitschakelen;

c) onnodige functies en diensten uitschakelen of beperken;

d) de toegang tot krachtige systeemhulpmiddelen en hostparameterinstellingen beperken;

e) klokken synchroniseren;

f) de standaard authenticatie-informatie van de leverancier, zoals standaardwachtwoorden onmiddellijk na de installatie wijzigen en andere belangrijke standaardparameters in verband met de beveiliging beoordelen;

g) time-outvoorzieningen in werking stellen die computerapparatuur na een vooraf vastgestelde

inactiviteitsduur automatisch afmelden;

h) verifiëren dat aan licentie-eisen is voldaan (zie 5.32).

Configuraties beheren

Vastgestelde configuraties van hardware, software, diensten en netwerken behoren te worden geregistreerd en er behoort een logbestand te worden bijgehouden van alle configuratiewijzigingeneze registraties behoren veilig te worden opgeslagenit kan op verschillende manieren worden bereikt, bijvoorbeeld met configuratiedatabases of configuratiesjablonen.

Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8.32). Configuratieregistraties kunnen het volgende, indien relevant, bevatten:

a) up-to-date informatie over de eigenaar of het contactpunt voor het bedrijfsmiddel;

b) de datum van de laatste wijziging van de configuratie;

c) de versie van de configuratiesjabloon;

d) de relatie tot configuraties van andere bedrijfsmiddelen.

Configuraties monitoren

Configuraties behoren te worden gemonitord met een uitgebreide verzameling instrumenten voor systeembeheer (bijvoorbeeld onderhoudssysteemhulpmiddelen, ondersteuning op afstand, instrumenten voor bedrijfsbeheer en back-up- en herstelsoftware) en behoren regelmatig te worden beoordeeld om de configuratie-instellingen te verifiëren, de sterkte van wachtwoorden te evalueren en de uitgevoerde activiteiten te beoordelene daadwerkelijke configuraties kunnen worden vergeleken met de gedefinieerde doelsjablonenventuele afwijkingen behoren te worden aangepakt,

door middel van het automatisch afdwingen van de gedefinieerde doelconfiguratie of door handmatige analyse van de afwijking gevolgd door corrigerende maatregelen.

Overige informatie

In documentatie voor systemen worden vaak details vastgelegd over de configuratie van zowel hardware als software.

Systeemhardening is een typisch onderdeel van configuratiebeheer.

Configuratiebeheer kan worden geïntegreerd met processen voor het beheer van bedrijfsmiddelen en de bijbehorende instrumenten.

Automatisering is meestal doeltreffender voor het beheren van de beveiligingsconfiguratie (bijvoor gebruik te maken van infrastructuur als code).

Configuratiesjablonen en -doelen kunnen vertrouwelijke informatie zijn en behoren dienovereenkomstig te worden beschermd tegen toegang door onbevoegden.