5.7.2.1. Minimale algemene maatregelen - OPS
Vertrouwelijkheid / Integriteit / Beschikbaarheid
IC klasse | Minimale maatregelen |
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: PLANCODEBUILDSoftware Bill of Materials (SBOM) en dependency management Integreer SBOM: een Software Bill of Materials is een gestructureerd, vaak automatisch gegenereerd, overzicht van alle componenten en afhankelijkheden van een softwaretraject-generatie in CI/CD. Doe aan dependency scanning en tracking op basis van de SBOM-input risico’s.
Static Application Security Testing (SAST) Integreer SAST in de CI/CD-pipeline. Configureer de scanconfiguraties zodat deze zijn afgestemd op het project. Automatiseer het proces voor het toevoegen van een issue aan een issue tracker.
Code signing en verificatie
TEST |
| Klasse 3 en Klasse 4 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 + Klasse 2 + TEST |
| Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 + TEST |
5.7.2.2. Minimale algemene maatregelen - OPS
Vertrouwelijkheid / Integriteit / Beschikbaarheid
IC klasse | Minimale maatregelen |
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: RELEASEDEPLOYOPERATEPatch en vulnerability management Implementeer een proactief beveiligingspatch-beheerproces. Automatiseer patch management taken. Voer wekelijks automatische kwetsbaarheidsscans uit. Consulteer hiervoor de Minimale maatregelen ICT-systemen.
Gepriviligeerd Toegangsbeheer Beperk geprivilegieerde toegang tot de productieomgeving zodat alleen geautoriseerde personen toegang hebben. Consulteer hiervoor de Minimale maatregelen Privileged Access Management (PAM). Implementeer Just-in-Time (JIT) access waar technisch mogelijk op productieomgevingen om beveiligingsrisico's te minimaliseren.
Back-up en Disaster Recovery Implementeer back-up- en disaster recovery (DR)-oplossingen om gegevensverlies te minimaliseren en bedrijfscontinuïteit te waarborgen. Test minstens jaarlijks back-up- en disaster recovery-procedures om hun effectiviteit en betrouwbaarheid te verifiëren.
Continuous Improvement (Continue verbetering) Sleutelbeheer Consulteer de Minimale Maatregelen rond Sleutelbeheer voor het veilig beheren van encryptiesleutels op cloudomgevingen. Zorg ervoor dat er steeds een soft delete-functie geactiveerd is wanneer sleutels verwijderd worden.
MONITORVoortdurend monitoren Incident response
|
| Klasse 3 en Klasse 4 kennen dezelfde maatregelen Alle maatregelen van Klasse 1 / Klasse 2 + OPERATE |
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 + OPERATE |
5.7.2.3. Minimale specifieke GDPR maatregelen
Er zijn geen specifieke GDPR-maatregelen rond DevOps.
5.7.2.4. Minimale specifieke NIS2 maatregelen
In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII-maatregelen.
5.7.2.5. Minimale specifieke KSZ maatregelen
De Minimale Normen van de Kruispuntbank Sociale Zekerheid vermelden geen specifieke normen rond DevOps. Er zijn wel rond het ontwikkelen en het gebruik van toepassingen, welke geraadpleegd kunnen worden in het document van het Informatieclassificatieraamwerk Minimale maatregelen – ontwikkeling en gebruik van toepassingen.