Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

5.7.2.1. Minimale algemene maatregelen -

...

DEV

Vertrouwelijkheid / Integriteit / Beschikbaarheid

IC klasse

Minimale maatregelen

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

PLAN
  • Training en bewustwording

    • Elk teamlid dient minstens eenmalig een training te volgen in DevOps beveiligingspraktijken.

    • Implementeer een proces voor continu leren en verbeteren (continuous improvement).

  • Beveiligingsbeleid en richtlijnen

    • Integreer “secure by design” en “privacy by design” vanaf het de ontwerpfase van de elke toepassing.

    • Evalueer de beveiligingsmaatregelen van derde partijen en leveranciers.

  • Risicobeheer

    • Implementeer een proces voor regelmatige risicoanalyses en evaluaties waarbij de outputs uit de Operate-fase de input vormen voor risicobeheer. Consulteer ook de Minimale Maatregelen rond Risicobeheer.

CODE
  • Veilige codeerstandaarden en ontwikkelomgeving

  • Beveiliging van repositories

  • Code review

    • Code moet door minstens één goedkeurder of reviewer (die niet de auteur is van de code) worden beoordeeld alvorens definitief te worden opgenomen in de codebase.

  • Scheiding van omgevingen

    • Ontwikkelingswerkzaamheden dienen enkel worden uitgevoerd in de ontwikkelingsomgeving. Noodwijzigingen kunnen uitgevoerd worden in de acceptatie- of productieomgevingen: consulteer hiervoor de Minimale maatregelen Wijzigingsbeheer

  • Secrets management

  • Secret scanning

    • Implementeer secret scanning om te voorkomen dat gevoelige gegevens worden blootgesteld.

BUILD
  • Software Bill of Materials (SBOM) en dependency management

    • Integreer SBOM: een Software Bill of Materials is een gestructureerd, vaak automatisch gegenereerd,  overzicht van alle componenten en afhankelijkheden van een softwaretraject-generatie in CI/CD.

    • Doe aan dependency scanning en tracking op basis van de SBOM-input risico’s.

  • Static Application Security Testing (SAST)

    • Integreer SAST in de CI/CD-pipeline.

    • Configureer de scanconfiguraties zodat deze zijn afgestemd op het project.

    • Automatiseer het proces voor het toevoegen van een issue aan een issue tracker.

  • Code signing en verificatie

    • Implementeer code signing om de integriteit en authenticiteit van de code te verifiëren.

    • Stel beleidsregels op voor toegangscontrole van encryptiesleutels.

TEST

 

Klasse 3 en Klasse 4 kennen dezelfde maatregelen:

 

Alle  Alle maatregelen van Klasse 1 + Klasse 2 +

TEST
  • Penetration testing

  • Dynamic Application Security Testing (DAST)

    • Integreer Dynamic Application Security Testing (DAST)-tools in het CI/CD-proces.

    • Definieer testscenario's om alle functionaliteiten van de applicatie te dekken, inclusief randgevallen en potentiële kwetsbaarheden.

    • Implementeer een proces om de resultaten van DAST-scans te prioriteren en te classificeren op basis van de ernst van de kwetsbaarheden.

PAS TOE OF LEG UIT

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

TEST

5.7.2.2. Minimale algemene maatregelen - OPS

Vertrouwelijkheid / Integriteit / Beschikbaarheid

IC klasse

Minimale maatregelen

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

RELEASE
  • CI/CD Pipelines

    • Gebruik beveiligde configuratiebeheer-oplossingen om (semi)geautomatiseerd releases uit te voeren.

  • Role Based Access Contol (RBAC)

    • Implementeer RBAC (Role-Based Access Control) om toegang tot productieomgevingen en gevoelige bronnen te beperken.

  • Rollback procedures

    • Implementeer rollback-mechanismen en documenteer deze, en automatiseer deze waar mogelijk.

DEPLOY
OPERATE
  • Patch en vulnerability management

    • Implementeer een proactief beveiligingspatch-beheerproces.

    • Automatiseer patch management taken.

    • Voer wekelijks automatische kwetsbaarheidsscans uit. Consulteer hiervoor de Minimale maatregelen ICT-systemen.

  • Gepriviligeerd Toegangsbeheer

    • Beperk geprivilegieerde toegang tot de productieomgeving zodat alleen geautoriseerde personen toegang hebben. Consulteer hiervoor de Minimale maatregelen Privileged Access Management (PAM).

    • Implementeer Just-in-Time (JIT) access waar technisch mogelijk op productieomgevingen om beveiligingsrisico's te minimaliseren.

  • Back-up en Disaster Recovery

    • Implementeer back-up- en disaster recovery (DR)-oplossingen om gegevensverlies te minimaliseren en bedrijfscontinuïteit te waarborgen.

    • Test minstens jaarlijks back-up- en disaster recovery-procedures om hun effectiviteit en betrouwbaarheid te verifiëren.

  • Continuous Improvement (Continue verbetering)

    • Implementeer een proces voor Continuous Improvement.

  • Sleutelbeheer

    • Consulteer de Minimale Maatregelen rond Sleutelbeheer voor het veilig beheren van encryptiesleutels op cloudomgevingen.

    • Zorg ervoor dat er steeds een soft delete-functie geactiveerd is wanneer sleutels verwijderd worden.

MONITOR
  • Voortdurend monitoren

  • Incident response

    • Ontwikkel en onderhoud een Incident Response Plan (IRP).

 

Klasse 3en Klasse 4 kennen dezelfde maatregelen

Alle maatregelen van Klasse 1 / Klasse 2 +

OPERATE
  • Scheiding van omgevingen

    • Gegevens in de productieomgeving mogen enkel hergebruikt worden in niet-productieomgevingen wanneer deze omgevingen op dezelfde manier beveiligd zijn als de productieomgeving, of wanneer data-anonimisering is toegepast. Zie ook de Minimale Maatregelen rond Release en deployment beheer.

PAS TOE OF LEG UIT

Alle maatregelen van Klasse 1/ Klasse 2 + Klasse 3/ Klasse 4+

OPERATE

5.7.2.3. Minimale specifieke GDPR maatregelen 

Er zijn geen specifieke GDPR-maatregelen rond DevOps.

5.7.2.4. Minimale specifieke NIS2 maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII-maatregelenNIS2 is een Europese richtlijn  bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.

 Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).

5.7.2.5. Minimale specifieke KSZ maatregelen

De Minimale Normen van de Kruispuntbank Sociale Zekerheid vermelden geen specifieke normen rond DevOps. Er zijn wel rond het ontwikkelen en het gebruik van toepassingen, welke geraadpleegd kunnen worden in het document van het Informatieclassificatieraamwerk Minimale maatregelen – ontwikkeling en gebruik van toepassingen.

...