Page Comparison

Alle maatregelen van Klasse 1 + Klasse 2 +

• Generatie: in een veilige omgeving: fysieke en logische toegangsbeveiliging + gebruik van standaard cryptomodules (softwarebibliotheken, API’s, hardware modules,...);

• Distributie sleutels: via een geschikt protocol en/of via een geschikte datamedia of via communicatieverbindingen in een vorm die de vertrouwelijkheid, integriteit, en authenticiteit ervan waarborgt;

• Registratie van alle in omloop zijnde sleutels en certificaten;

• Bescherming opslag sleutelmateriaal: geëncrypteerde opslag of hardware token;

• Verschillende sleutels per omgeving (test- vs. productieomgeving)/ toepassing/ organisatie/ finaliteit (encryptie vs. digitale handtekening);

• Sleutelsterkte afgestemd op informatieklasse;

• Geldigheidsduur van cryptografische sleutels wordt afgestemd op het beoogde gebruik en is vastgelegd in het cryptografische beleid;

• Gebruik en beheer sleutels: stringente toegangscontrole (Identity and Access Management);

• Management of IAM en principe van Least privilege) met sterke garanties op vlak van traceerbaarheid (zie hoofdstuk: link met IAM als maatregel en hoofdstuk: link met logging als maatregel);

• De authenticiteit van publieke sleutels wordt gegarandeerd d.m.v. van een PKI (naargelang de use case: intern, Vo-PKI of commerciële erkende CA);

• Het beheer van certificaten binnen de entiteit wordt vastgelegd (wie-wat-hoe);

• Geen certificaten delen tussen verschillende omgevingen (bv. test versus productie);

• OV- of EV-certificaten worden aangeraden indien de site ontsloten wordt naar een onbeveiligd netwerk (internet); en 

• Sensibilisering medewerkers (zorgvuldig omgaan met encryptie en sleutelbeheer). 

Klasse 3 + Klasse 4 kennen dezelfde maatregelen:

• Functiescheiding:

  • Toegangsbeheer;

  • Applicatiebeheer;

  • Sleutelbeheer; en

  • Sleutelgebruik. 

Image Modified

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

• Generatie: crypto module = FIPS 140-2 hardware;

• Sleutelceremonie voor nieuwe mastersleutels;

• FIPS 140-2 hardware voor bewaren geheime sleutels, minimaal:

  • Root CA private-sleutel; en

  • Master keys of mastersleutels;

• Controle functiescheiding: sleutelbeheer (4-ogenprincipe); en

• Jaarlijkse periodieke herziening van de toegangen m.b.t. sleutelbeheer. 

Alle maatregelen van Klasse 1 + Klasse 2 +

• Generatie: in een veilige omgeving: fysieke en logische toegangsbeveiliging + gebruik van standaard cryptomodules (softwarebibliotheken, API’s, hardware modules, ...);

• Distributie sleutels: via een geschikt protocol en/of via een geschikte datamedia of via communicatieverbindingen in een vorm die de vertrouwelijkheid, integriteit, en authenticiteit ervan waarborgt;

• Registratie van alle in omloop zijnde sleutels en certificaten;

• Bescherming opslag sleutelmateriaal: geëncrypteerde opslag of hardware token;

• Verschillende sleutels per omgeving (test- vs. productieomgeving) /toepassing /organisatie /finaliteit (encryptie vs. digitale handtekening);

• Sleutelsterkte afgestemd op informatieklasse;

• Geldigheidsduur van cryptografische sleutels wordt afgestemd op het beoogde gebruik en is vastgelegd in het cryptografische beleid;

• Gebruik en beheer sleutels: stringente toegangscontrole (Identity and Access Management of IAM en principe van Least privilege) met sterke garanties op vlak van traceerbaarheid (zie hoofdstuk: link met IAM als maatregel en hoofdstuk: link met logging als maatregel);

• De authenticiteit van publieke sleutels wordt gegarandeerd d.m.v. van een PKI (naargelang de use case: intern, Vo-PKI of commerciële erkende CA);

• Het beheer van certificaten binnen de entiteit wordt vastgelegd (wie-wat-hoe);

• Geen certificaten delen tussen verschillende omgevingen (bv. test versus productie);

• OV- of EV-certificaten worden aangeraden indien de site ontsloten wordt naar een onbeveiligd netwerk (internet); en

• Sensibilisering medewerkers (zorgvuldig omgaan met encryptie en sleutelbeheer).

Klasse 3 + Klasse 4 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 + Klasse 2 +

• Functiescheiding:

  • Toegangsbeheer;

  • Applicatiebeheer;

  • Sleutelbeheer; en

  • Sleutelgebruik. 

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

• Generatie: crypto module = FIPS 140-2 hardware;

• Sleutelceremonie voor nieuwe mastersleutels;

• FIPS 140-2 hardware voor bewaren geheime sleutels, minimaal:

  • Root CA private-sleutel; en

  • Master keys of mastersleutels;

• Controle functiescheiding: sleutelbeheer (4-ogenprincipe); en

• Jaarlijkse periodieke herziening van de toegangen m.b.t. sleutelbeheer. 

Klasse 1 + Klasse 2 kennen dezelfde maatregelen:

• Indien herstel van versleutelde informatie nodig is, overweeg dan een beveiligde back-up van sleutels en sleutelparen.

• Noot: gebruik van een back-up-omgeving voor sleutelparen voor digitale handtekening kan de legitimiteit en dus de bruikbaarheid van de handtekening ondermijnen

Klasse 3 + Klasse 4 kennen dezelfde maatregelen

Alle maatregelen van Klasse 1 + Klasse 2 +

• Maak gebruik van een KMS (Key Management System) met aandacht voor de beschikbaarheid van sleutels en sleutelparen.