Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

5.7.2.1. Minimale algemene maatregelen - OPS

Vertrouwelijkheid / Integriteit / Beschikbaarheid

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

PLAN

  • Training en bewustwording

    • Elk teamlid dient minstens eenmalig een training te volgen in DevOps beveiligingspraktijken.

    • Implementeer een proces voor continu leren en verbeteren (continuous improvement).

  • Beveiligingsbeleid en richtlijnen

    • Integreer “secure by design” en “privacy by design” vanaf het de ontwerpfase van de elke toepassing.

    • Evalueer de beveiligingsmaatregelen van derde partijen en leveranciers.

  • Risicobeheer

    • Implementeer een proces voor regelmatige risicoanalyses en evaluaties waarbij de outputs uit de Operate-fase de input vormen voor risicobeheer. Consulteer ook de Minimale Maatregelen rond Risicobeheer.

CODE

  • Veilige codeerstandaarden en ontwikkelomgeving

  • Beveiliging van repositories

  • Code review

    • Code moet door minstens één goedkeurder of reviewer (die niet de auteur is van de code) worden beoordeeld alvorens definitief te worden opgenomen in de codebase.

  • Scheiding van omgevingen

    • Ontwikkelingswerkzaamheden dienen enkel worden uitgevoerd in de ontwikkelingsomgeving. Noodwijzigingen kunnen uitgevoerd worden in de acceptatie- of productieomgevingen: consulteer hiervoor de Minimale maatregelen Wijzigingsbeheer

  • Secrets management

  • Secret scanning

    • Implementeer secret scanning om te voorkomen dat gevoelige gegevens worden blootgesteld.

BUILD

  • Software Bill of Materials (SBOM) en dependency management

    • Integreer SBOM[1]-generatie in CI/CD.

    • Doe aan dependency scanning en tracking op basis van de SBOM-input risico’s.

  • Static Application Security Testing (SAST)

    • Integreer SAST in de CI/CD-pipeline.

    • Configureer de scanconfiguraties zodat deze zijn afgestemd op het project.

    • Automatiseer het proces voor het toevoegen van een issue aan een issue tracker.

  • Code signing en verificatie

    • Implementeer code signing om de integriteit en authenticiteit van de code te verifiëren.

    • Stel beleidsregels op voor toegangscontrole van encryptiesleutels.

TEST

 

Klasse 3 en Klasse 4 kennen dezelfde maatregelen:

 

Alle maatregelen van Klasse 1 + Klasse 2 +

TEST

  • Penetration testing

  • Dynamic Application Security Testing (DAST)

    • Integreer Dynamic Application Security Testing (DAST)-tools in het CI/CD-proces.

    • Definieer testscenario's om alle functionaliteiten van de applicatie te dekken, inclusief randgevallen en potentiële kwetsbaarheden.

    • Implementeer een proces om de resultaten van DAST-scans te prioriteren en te classificeren op basis van de ernst van de kwetsbaarheden.

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

TEST

5.7.2.2. Minimale algemene maatregelen - OPS

Vertrouwelijkheid / Integriteit / Beschikbaarheid

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

RELEASE

ñ        CI/CD Pipelines

ñ      Gebruik beveiligde configuratiebeheer-oplossingen om (semi)geautomatiseerd releases uit te voeren.

ñ        Role Based Access Contol (RBAC)

ñ      Implementeer RBAC (Role-Based Access Control) om toegang tot productieomgevingen en gevoelige bronnen te beperken.

ñ        Rollback procedures

ñ      Implementeer rollback-mechanismen en documenteer deze, en automatiseer deze waar mogelijk.

DEPLOY

ñ        Infrastructure as Code (IaC)

ñ      Gebruik IaC tools om infrastructuur op te zetten en te beheren.

ñ      Zorg ervoor dat IaC-configuratiebestanden veilig opgeslagen worden en de toegang hiertoe zoveel mogelijk wordt beperkt. Consulteer hiervoor de Minimale maatregelen Cryptografische maatregelen en de Minimale maatregelen Asset en configuratie beheer.

ñ      Definieer standaard IaC-configuraties en templates voor resources.

OPERATE

ñ        Patch en vulnerability management

ñ      Implementeer een proactief beveiligingspatch-beheerproces.

ñ      Automatiseer patch management taken.

ñ      Voer wekelijks automatische kwetsbaarheidsscans uit. Consulteer hiervoor de Minimale maatregelen ICT-systemen.

ñ        Gepriviligeerd Toegangsbeheer

ñ      Beperk geprivilegieerde toegang tot de productieomgeving zodat alleen geautoriseerde personen toegang hebben. Consulteer hiervoor de Minimale maatregelen Privileged Access Management (PAM).

ñ      Implementeer Just-in-Time (JIT) access waar technisch mogelijk op productieomgevingen om beveiligingsrisico's te minimaliseren.

ñ        Back-up en Disaster Recovery

ñ      Implementeer back-up- en disaster recovery (DR)-oplossingen om gegevensverlies te minimaliseren en bedrijfscontinuïteit te waarborgen.

ñ      Test minstens jaarlijks back-up- en disaster recovery-procedures om hun effectiviteit en betrouwbaarheid te verifiëren.

ñ        Continuous Improvement (Continue verbetering)

ñ      Implementeer een proces voor Continuous Improvement.

ñ        Sleutelbeheer

ñ      Consulteer de Minimale Maatregelen rond Sleutelbeheer voor het veilig beheren van encryptiesleutels op cloudomgevingen.

ñ      Zorg ervoor dat er steeds een soft delete-functie geactiveerd is wanneer sleutels verwijderd worden.

MONITOR

ñ        Voortdurend monitoren

ñ      Implementeer continue monitoring voor applicaties en infrastructuur.

ñ      Implementeer health checks om problemen vroegtijdig op te sporen.

ñ      Implementeer processen rond Security Information and Event Management (SIEM) tools conform de Minimale Maatregelen Veiligheidslogging en monitoring (SIEM).

ñ        Incident response

ñ      Ontwikkel en onderhoud een Incident Response Plan (IRP).

 

Klasse 3 en Klasse 4 kennen dezelfde maatregelen

Alle maatregelen van Klasse 1 / Klasse 2 +

OPERATE

ñ        Scheiding van omgevingen

ñ      Gegevens in de productieomgeving mogen enkel hergebruikt worden in niet-productieomgevingen wanneer deze omgevingen op dezelfde manier beveiligd zijn als de productieomgeving, of wanneer data-anonimisering is toegepast. Zie ook de Minimale Maatregelen rond Release en deployment beheer.

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 +

OPERATE

ñ        Scheiding van omgevingen

ñ      Gegevens in de productieomgeving mogen niet hergebruikt worden in de test- of ontwikkelingsomgeving, zie ook de Minimale Maatregelen rond Release en deployment beheer.

5.7.2.3. Minimale specifieke GDPR maatregelen 

Er zijn geen specifieke GDPR-maatregelen rond DevOps.

5.7.2.4. Minimale specifieke NIS2 maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII-maatregelen.

5.7.2.5. Minimale specifieke KSZ maatregelen

De Minimale Normen van de Kruispuntbank Sociale Zekerheid vermelden geen specifieke normen rond DevOps. Er zijn wel rond het ontwikkelen en het gebruik van toepassingen, welke geraadpleegd kunnen worden in het document van het Informatieclassificatieraamwerk Minimale maatregelen – ontwikkeling en gebruik van toepassingen.

[1] Een Software Bill of Materials (SBOM) is een gestructureerd, vaak automatisch gegenereerd,  overzicht van alle compontent en dependencies van een softwaretraject.

  • No labels