Norm SM.06 Patchmanagement
Beschikbare patches en/of beveiligingsfixes worden geïnstalleerd in overeenstemming met vooraf vastgesteld en goedgekeurd beleid (inclusief dat voor besturingssystemen, databases en geïnstalleerde applicaties) en aanbevelingen van het Cyber Security Incident Response Team (CSIRT) en/of leveranciers.
Waarom is dit nodig?
Installeer je patchesPatches zijn kleine stukjes code die worden toegevoegd aan bestaande programma's om fouten (bugs) te corrigeren, beveiligingslekken te dichten of functionaliteit te verbeteren. of beveiligingsoplossingen niet of te laat? Dan kan dat ertoe leiden dat kwaadwillende personen bekende kwetsbaarheden misbruiken om ongeautoriseerde toegang tot de IT-infrastructuur van je school te verkrijgen.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen beleid voor patchmanagementHet verwerven, testen en installeren van wijzigingen die beveiligingsproblemen in software herstellen..
- Individuele risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. voor kwetsbaarheden en patches.
- Installatie van patches en beveiligingsfixes is ad hoc.
2 Herhaalbaar
- Er is een informeel beleid voor patchmanagement.
- Risico’s op kwetsbaarheden en installatie van patches en fixes worden gemanaged maar niet gedocumenteerd.
- Patches worden vaak ingevoerd met onvoldoende oog voor informatiebeveiliging.
3 Bepaald (streefniveau)
- Er is een formeel vastgelegd beleid voor patchmanagement.
- Patchmanagement is op organisatieniveau ingevoerd en gedocumenteerd, in lijn met changemanagementHet beheerst doorvoeren van wijzigingen in IT..
- Patches worden in de basis overgenomen in samenwerking met CSIRTEen Computer Security Incident Response Team, ook wel CERT genaamd, is een gespecialiseerd team voor het reageren op beveiligingsincidenten, met als doel schade te beperken en herstel van dienstverlening te bevorderen. In Nederland is het NCSC de nationale CSIRT en zijn er diverse sectorale CERTs. SURFcert is de bekendste binnen de onderwijssector..
- IT-medewerkers checken handmatig de patchlevels van besturingssystemen, databases en applicaties.
4 Beheerst
Aanvullend op niveau 3:
- De effectiviteit van patchmanagement wordt regelmatig geëvalueerd. Deze evaluaties worden gedocumenteerd en verbeteringen worden bepaald.
- Patchmanagement wordt meer benaderd op basis van risico’s dan vanuit compliance.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Er zijn automatische controles op patchlevels en alerts voor IT-medewerkers (maar geen automatische installatie van patches).
- Rapportages worden automatisch gegenereerd voor het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
Voorbeelddocumenten
Gerelateerde wetten en normen
Norm SM.06 Patchmanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.
ISO 27001/2:2022
- A8.8
- A8.19
Certificeringsschema IBP ROSA
- Beschikbaarheid/Onderhoud
- Integriteit van de toepassing/Controle integriteit
- Vertrouwelijkheid/Omgaan met kwetsbaarheden