...
Dit is een overzicht van de verschillende termijnen die je moet respecteren voor het uitvoeren van de tests en het remediëren van ontdekte kwetsbaarheden. Het zegt ook welk soort test je kunt uitvoeren in de gegeven context.
Hoedanigheid/ | Frequentie | Kritische, Significante | Gemiddelde en | Soort test |
|---|---|---|---|---|
Toepassingen die | Bij de release van een | 2 werkweken | 4 werkweken | Black box |
Klasse 3, 4 en 5 (Vertrouwelijkheid en/of | Bij de release van een | 2 werkweken | 4 werkweken | Black box |
Klasse 1 en 2 | Minstens 1 keer per 2 jaar | 4 werkweken | 8 werkweken | Grey box |
Je maakt een risico-afweging van de gevonden kwetsbaarheden
Hierbij hou je rekening met het feit of een toepassing naar het internet ontsloten is. Als deze toepassingen kwetsbaarheden hebben, los je deze altijd prioritair op en dit ongeacht hun informatieclassificatie
De gegeven termijnen zijn maxima. Je kunt dus bijvoorbeeld een “fix” in een volgende release van je toepassing integreren, zolang deze binnen de verwachte oplostermijn past
Het streefdoel is dat je zoveel mogelijk kwetsbaarheden oplost in de mate van hetfinancieel/projectmatig haalbare volgens het hierboven beschreven schema
Als er na de remediëring nog rest-risico’s zijn, moet de toepassingsbeheerder deze formeel laten aanvaarden door het top management, zoals beschreven staat in het Beleidsdocument “Risico beheer”op de pagina 5.5. Minimale maatregelen - proces risicobeheer
Na het oplossen van kwetsbaarheden, moet je altijd een nieuwe test doen om er zeker van te zijn dat de kwetsbaarheden in productie opgelost zijn
...
Alle online toepassingen
Alle websites
Alle intern ontsloten toepassingen (enkel toegankelijk voor geauthenticeerde gebruikers op het Vlaamse overheid-netwerk)
Dit kan gaan om toepassingen of websites in eigen beheer, die van de centrale dienstverlening,of die bij een leverancier
Opmerking |
|---|