Versions Compared

Version Old Version 1 New Version 2
Changes made by

Kenzo Vertenten (VO)

Tom De Cubber

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Aanpassingen ICR3 - update links - toevoeging Warning Banner
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Wat is het?

Bij een penetratietest vraag je een tester om kwetsbaarheden van een bepaalde toepassing te onderzoeken. Dit gebeurt met een vooraf bepaalde scope: welk(e) (deel van een) toepassing moet de tester benaderen en met welke aanvalsvectoren. Deze testen gebeuren in principe altijd in de productieomgeving.

...

  • Als de acceptatieomgeving op exact dezelfde manier is ingericht als de productieomgeving, kan een penetratietest gebeuren in de acceptatieomgeving vóór een gewijzigde toepassing live gaat. Dit geldt dan enkel voor testen in het kader van een wijziging

  • In deze omgeving doe je penetratie testen. Om de mogelijke impact op productie te beperken, kun je de timing wel zo voorzien dat het niet conflicteert met piekmomenten (bijvoorbeeld in een weekend, niet bij een maandafsluiting).

  • Recurrente testen gebeuren in de productieomgeving

...

Hoedanigheid/
Informatieklasse van de
toepassing

Frequentie 

Kritische, Significante
en Grote risico
kwetsbaarhedenkwetsbaar-heden
oplossen binnen2binnen

Gemiddelde en
Kleine risico
kwetsbaarhedenkwetsbaar-heden
oplossen binnen

Kleine risico kwetsbaar-heden oplossen binnen

Soort test

Toepassingen die
persoonsgebondenpersoons-gebonden
informatie bevatten
(ongeacht de klasse)

Bij de release van een
nieuwe versie, of minstens 1
keer per jaar

2 werkweken 

4 werkweken

Opnemen in een volgende release

Black box
Grey box
White Box

Klasse 3, 4 en 5

(Vertrouwelijkheid en/of
Integriteit)

Bij de release van een
nieuwe versie, of minstens 1
keer per jaar

2 werkweken 

4 werkweken

Opnemen in een volgende release

Black box
Grey box
White Box

Klasse 1 en 2
(Vertrouwelijkheid en/of
Integriteit)

Minstens 1 keer per 2 jaar

 4 werkweken

8 werkweken

Opnemen in een volgende release

Grey box
White Box

  • Je maakt een risico-afweging van de gevonden kwetsbaarheden

  • Hierbij hou je rekening met het feit of een toepassing naar het internet ontsloten is. Als deze toepassingen kwetsbaarheden hebben, los je deze altijd prioritair op en dit ongeacht hun informatieclassificatie

  • De gegeven termijnen zijn maxima. Je kunt dus bijvoorbeeld een “fix” in een volgende release van je toepassing integreren, zolang deze binnen de verwachte oplostermijn past

  • Het streefdoel is dat je zoveel mogelijk kwetsbaarheden oplost in de mate van hetfinancieel/projectmatig haalbare volgens het hierboven beschreven schema

  • Als er na de remediëring nog rest-risico’s zijn, moet de toepassingsbeheerder deze formeel laten aanvaarden door het top management, zoals beschreven staat op de pagina 5.5. Minimale maatregelen - proces risicobeheer https://vlaamseoverheid.atlassian.net/wiki/x/R5MHpwE

  • Na het oplossen van kwetsbaarheden, moet je altijd een nieuwe test doen om er zeker van te zijn dat de kwetsbaarheden in productie opgelost zijn

...

Opmerking
Red & Blue teaming (samen ook wel Purple Teaming genoemd), is nog niet opgenomen in dit Beleidsdocument. De bedoeling van deze oefeningen in om de effectiviteit van een SOC of incident response team te testen in het geval er een aanval zou zijn. Het is dus het uitvoeren van een fictieve aanval. Entiteiten die deze oefeningen al willen uitvoeren, kunnen dit uiteraard doen in overleg met de nodige teams en instanties.