Het beleid voor infrastructuurbeveiliging omvat richtlijnen en procedures die de organisatie volgt om cruciale infrastructuurcomponenten, zoals netwerken, servers en opslagsystemen, adequaat te beveiligen. Het doel van dit beleid is het waarborgen van de integriteit, beschikbaarheid en vertrouwelijkheid van deze componenten. Dit omvat het beschermen tegen ongeautoriseerde toegang, cyberaanvallen, en andere potentiële bedreigingen die de stabiliteit en veiligheid van de organisatie kunnen ondermijnen.
DOELSTELLINGENHet beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:
|
DREIGINGENHet beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:
|
Wat valt binnen het domein van infrastructuur
Onder infrastructuur worden de volgende componenten en systemen ieder geval verstaan:
backupsystemen voor het redundant opslaan op basis van informatieclassificatie,
netwerkdiensten die de connectiviteit en communicatie binnen een organisatie faciliteren,
systeemhulpmiddelen voor het beheren en optimaliseren van operationele processen,
tijd en klokvoorzieningen om een consistente synchronisatie te waarborgen,
netwerkapparatuur inclusief draadloos infrastructuur voor draadloze netwerken,
en firewalls als essentiële beveiligingsmaatregel ter bescherming tegen ongeautoriseerde toegang en bedreigingen.
Backup-up van informatie
Vereisten voor de backup van informatie
Na het identificeren en classificeren van informatie dient bepaalt te worden welke vereisten van toepassing zijn voor de beschikbaarheid van de informatie.
Deze vereisten dienen te zijn gebaseerd op:
Informatie classificatie,
Beschikbaarheidseisen,
Bedreigingen en risico’s,
Backupbehoeften,
Beschikbare backuptechnologieen,
Beschikbare en te ontwikkelen backupprocedures.
Voor specifieke vereisten dient er rekening gehouden te worden met:
Bevestigen dat de back-up- en herstelstrategie voldoet aan:
Bedrijfscontinuïteitsplannen
Beleid, wet- en regelgeving en andere wettelijke verplichtingen.
Het documenteren van de backup- en herstelprocessen, inclusief:
Soorten informatie waarvan een back-up moet worden gemaakt.
Schema's voor de back-up van informatie en informatiesystemen.
Beheer van back-upmedia (bijv. bewaartermijn, patroon van back-upcycli).
Methoden voor het uitvoeren, valideren en labelen van back-ups.
Methoden voor het valideren van het herstel van de informatie en het informatiesysteem.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET back-up- en herstelprocessen definiëren en documenteren die de informatiebeveiliging en de beschikbaarheidseisen van informatie en informatiesystemen weerspiegelen. |
Beveiliging van back-up voorzieningen en media
Het beveiligen van back-upvoorzieningen en media omvat het vermogen om gegevens te herstellen wanneer deze niet betrouwbaar beschikbaar zijn binnen de primaire bron. Dit wordt bereikt door back-upvoorzieningen op een niveau te beveiligen dat overeenkomt met hun ICR-classificatie, waardoor ze een betrouwbare bron van herstelgegevens vormen.
Onder “back-up voorzieningen” verstaan we systemen, procedures en andere middelen die gebruikt worden om regelmatig kopieën of duplicaten van gegevens, bestanden, programma's of andere essentiële informatie te maken en op te slaan. Het primaire doel van een back-up voorziening is om een herstelpunt te creëren waarmee gegevens kunnen worden hersteld in het geval van gegevensverlies, corruptie, onopzettelijke verwijdering, systeemstoringen, rampen of andere onvoorziene gebeurtenissen.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET een dreigings- en risicoanalyse uitvoeren om de beveiligingsmaatregelen voor back-upvoorzieningen en -media vast te stellen die in verhouding staan tot de waarde en de gevoeligheid van de informatie en de informatiesystemen. |
Onder de te overwegen beveiligingsmaatregelen verstaan we in ieder geval:
Het gebruik van encryptie om de geback-upte informatie te beschermen.
Het gebruik van digitale handtekeningen om de integriteit van de informatie te beschermen.
Fysieke en omgevingsbeveiliging.
Toegangsmaatregelen.
Methoden van doorvoer naar en van externe locaties (bijv. door geautoriseerde koeriers, door versleutelde elektronische overdracht).
Opslag van media volgens de aanbevelingen van de fabrikant voor opslagomstandigheden en maximale houdbaarheid.
Externe opslag van back-upmedia op voldoende afstand om te ontsnappen aan eventuele schade door een ramp op de hoofdlocatie.
Beveiliging van netwerkdiensten
Onder netwerkdiensten worden de volgende elementen verstaan binnen de organisatie:
Netwerkbeheer en onderhoud: Het uitvoeren van regelmatig onderhoud aan netwerkapparatuur, zoals routers en switches, en het toepassen van beveiligingsupdates om bekende kwetsbaarheden te verminderen.
Toegangscontrole: Implementatie van strikte toegangscontrolemechanismen om ongeautoriseerde toegang tot netwerkbronnen te voorkomen. Dit omvat het beheren van gebruikersrechten en privileges.
Netwerkmonitoring: Continue monitoring van netwerkactiviteiten om verdachte patronen of afwijkingen te identificeren. Hierbij maken we gebruik van geavanceerde tools om real-time inzicht te verkrijgen en proactief te reageren op potentiële bedreigingen.
Beheer van Fysieke Infrastructuur: Regelmatige inspectie, onderhoud en beheer van routers, switches en andere netwerkapparatuur om een optimale werking te waarborgen en kwetsbaarheden te minimaliseren.
Firewall- en Inbraak preventie diensten: Het implementeren van firewalls en intrusion prevention-systemen om het netwerk te beschermen tegen ongeautoriseerde toegang, malware en andere bedreigingen.
Intrusion Prevention Systems (IPS): Integratie van IPS-mechanismen om actief kwaadaardige activiteiten te detecteren en te blokkeren, waardoor de integriteit van het netwerk wordt gehandhaafd.
Configuratie van Firewalls: Implementatie van firewall-regels en -configuraties om ongeautoriseerd verkeer te blokkeren en de organisatorische grenzen te beschermen tegen externe bedreigingen.
Virtual private networks (VPN): Gebruik van VPN-technologieën om een veilige, versleutelde communicatie tussen geografisch verspreide locaties en externe gebruikers te faciliteren.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET beveiligingsmaatregelen te implementeren om de veiligheid van informatie in netwerken te waarborgen en aangesloten diensten tegen onbevoegde toegang te beschermen. |
Onder de beveiliging van informatie binnen netwerkdiensten word wordt vooral verstaan;
Het soort informatie dat het netwerk kan ondersteunen en het classificatieniveau ervan.
Documentatie / Configuratie / Inzicht
Verantwoordelijkheden en procedures voor het beheer van netwerkcomponenten en apparaten;
Actuele documentatie onderhouden, waaronder netwerkschema's en configuratiebestanden van apparatuur (bijv. routers, switches);
De operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten met de ICT-systemen, volgens functiescheiding zoals gestipuleerd in [toegangsbeleid].
Beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen.
Netwerkbeheer-activiteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast;
Systemen op het netwerk authenticeren.
Ieder netwerkcomponent ongeacht de sensitiviteit van positie en data doorstroom dient geauthenticeerd en geautoriseerd te zijn wanneer aangesloten op het netwerk. Zonder deze validatie moet een apparaat niet kunnen worden aangesloten.
De verbinding van apparatuur en apparaten met het netwerk detecteren, beperken en authenticeren;
Kritieke subnetwerken tijdelijk isoleren (bijv. met 'drawbridges' (ophaalbruggen)) als het netwerk wordt aangevallen;
Kwetsbare netwerkprotocollen uitschakelen. In het bijzonder protocollen die zonder versleuteling authenticatie details versturen.
Gebruik van speciale systeemhulpmiddelen
Speciale systeemhulpmiddelen zijn hulpmiddelen die gebruikt worden ter configuratie, monitoring of beheer van systemen en niet binnen het normale toegangsbeheer vallen.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET een proces te implementeren en te onderhouden voor het beheer en gebruik van toegestane (speciale) systeemhulpmiddelen. |
Onder speciale systeemhulpmiddelen wordt ieder geval verstaan:
Systeem- en netwerk- monitoring en -diagnose software.
Configuratiebeheer Tools zoals bijvoorbeeld: Puppet, Ansible en Chef.
Beveiligingshulpmiddelen: Integriteitscontrolesystemen
Systeemlogboek en -audit applicaties: Tools zoals auditd en logwatch.
Presteren en optimaliseren: vmstat, iostart, top
Opslagbeheer en dataintegriteitsanalyse software:
Netwerkhulpmiddelen
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelVoor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, MOETEN de volgende maatregelen te worden gehandhaafd door de organisatie:
|
Vanuit een informatieveiligheidsperspectief moet netwerksegmentatie worden toegepast op verschillende niveaus binnen een organisatie. Hier zijn enkele belangrijke gebieden waar netwerksegmentatie van toepassing zou moeten zijn:
Op perimeter gebaseerde segmentatie: Deze laag bevindt zich aan de rand van het netwerk en scheidt interne systemen van externe bronnen. Het beschermt tegen externe bedreigingen en helpt ongeautoriseerde toegang tot het netwerk te voorkomen.
Interne segmentatie: Segmentatie binnen het interne netwerk is essentieel om de verspreiding van bedreigingen te beperken. Het verdeelt het netwerk in verschillende zones op basis van functie, afdeling of gevoeligheid van gegevens.
Applicatiesegmentatie: Het segmenteren van applicaties is belangrijk om de communicatie tussen verschillende applicaties te beheersen. Dit helpt bij het voorkomen van laterale beweging van aanvallers binnen het netwerk.
IoT-segmentatie: Als er Internet of Things (IoT)-apparaten aanwezig zijn, moeten deze in aparte segmenten worden geplaatst om te voorkomen dat compromittering van deze apparaten de rest van het netwerk beïnvloedt.
Beheersegmentatie: Het scheiden van netwerkbeheersegmenten van reguliere gebruikerssegmenten helpt bij het voorkomen van ongeautoriseerde toegang tot beheerfuncties.
Het implementeren van netwerksegmentatie op deze verschillende niveaus draagt bij aan een gelaagde beveiligingsaanpak en vermindert het risico op ongeautoriseerde toegang en verspreiding van bedreigingen binnen het netwerk.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET tenminste een logische segmentatie tussen systeemhulpmiddelen en toepassingssoftware. Indien mogelijk, de netwerkcommunicatie voor dergelijke systeemhulpmiddelen van het toepassingenverkeer scheiden. Netwerken dienen niet op via dezelfde netwerkverbindingen beheert en gebruikt te worden. Een duidelijke scheiding moet worden aangebracht op netwerken door een configuratienetwerk te opereren voor netwerk onderhoud. |
Installeren van software op operationele systemen
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
Onder operationele systemen worden alle systemen die voor eindgebruikers bereikbaar zijn. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelBij het installeren van software op operationele systemen MOETEN de volgende regels gevolgd worden:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelBij beslissingen om te upgraden naar een nieuwe versie MOET rekening worden gehouden bedrijfseisen die gelden voor de verandering en de veiligheid van de versie, nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van kwetsbaarhed informatiebeveiliging die zich bij de huidige versie voordoen). Softwarepatches behoren toegepast als ze kunnen bijdragen aan het verwijderen of verminderen van kwetsbaarheid. |
Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijv. softwareprogramma's met modules die op externe locaties worden gehost). Deze behoren te worden gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot kwetsbaarheden in de informatiebeveiliging kunnen leiden.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelSoftware van leveranciers die in productiesystemen wordt gebruikt, MOET worden onderhouden op een niveau dat door de leverancier wordt ondersteund. Na verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversies. De organisatie MOET de risico's van het gebruiken van niet-ondersteunde software overwegen. In operationele systemen toegepaste opensourcesoftware behoort op de stand van de meest recente geschikte uitgave van de software te worden onderhouden. Het is mogelijk dat opensource-code na verloop van tijd niet meer wordt onderhouden, maar nog steeds beschikbaar is in een opensource softwarebewaarplaats. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET ook rekening te houden met de risico's van het in operationele systemen gebruiken van opensourcesoftware die niet meer wordt onderhouden. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelWanneer leveranciers betrokken zijn bij het installeren of updaten van software, MOET fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatie. De activiteiten van de leverancier behoren te worden gemonitord. |
Kloksynchronisatie
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
Kloksynchronisatie verwijst naar het proces van coördineren en afstemmen van de tijd tussen verschillende klokken of systemen binnen een netwerk, zodat ze een gemeenschappelijke en nauwkeurige tijdsreferentie delen. Het doel van kloksynchronisatie is ervoor te zorgen dat verschillende apparaten in een netwerk een consistente tijd weergeven, wat belangrijk is voor diverse toepassingen en systemen. Voor het synchroniseren van klokken worden de volgende tijdsprotocollen toegepast:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET de systeemklokken van infrastructuurcomponenten te synchroniseren met een erkende referentieklok. De referentieklok fungeerd fungeert als een consistente, vertrouwde bron voor de datum en tijd om nauwkeurige tijdstempels te garanderen voor logsystemen. Daarbij dient de belgische Belgische datum- en tijdsnotatie te worden gebruikt om misinterpretantie misinterpretatie tussen verschillende formaten te vermijden. Externe en interne eisen voor weergave, betrouwbare synchronisatie en nauwkeurigheid van tijd MOETEN worden gedocumenteerd en geimplementeerdgeïmplementeerd. zulke Zulke eisen kunnen voortvloeien uit wet- en regelgeving, statuten, overeenkomsten, normen en IT interne monitoringbehoeften. Er behoort een standaardreferentietijd voor gebruik binnen de organisatie te worden gedefinieerd en in aanmerking te worden genomen voor alle systemen, met inbegrip van gebouwbeheersystemen, in- en uitgangssystemen en andere systemen die ter ondersteuning van onderzoeken kunnen worden gebruikt. Protocollen zoals netwerktijdprotocol (ntp) of 'precision time protocol' (ptp) MOETEN worden gebruikt om klokken in een computernetwerk gesynchroniseerd te houden met een referentieklok. De organisatie kan twee externe tijdsbronnen tegelijk gebruiken om de betrouwbaarheid van externe klokken te verbeteren en naar behoren om te gaan met eventuele afwijkingen. In het geval van afwijkende klokken MOET de organisatie de klok van elke dienst te controleren en het verschil te worden geregistreerd om risico's als gevolg van verschillen te verkleinen. |
Netwerksegmentatie
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
Netwerksegmentatie is een beveiligingspraktijk waarbij een groot computer- of communicatienetwerk wordt opgedeeld in kleinere, geïsoleerde eenheden genaamd segmenten. Het hoofddoel van netwerksegmentatie is het verbeteren van de beveiliging door het beperken van de communicatie en toegang tussen verschillende delen van het netwerk. Elk segment binnen het netwerk bevat een specifieke groep apparaten of systemen die vergelijkbare functies of beveiligingsvereisten hebben. Door het implementeren van barrières, zoals firewalls of virtuele LANs (VLANs), tussen deze segmenten, kan de verspreiding van aanvallen worden beperkt en kunnen gevoelige gegevens beter worden beschermd. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET netwerken te verdelen in gesegmenteerde netwerkdomeinen, deze netwerken dienen te worden geselecteerd op basis van betrouwbaarheids-, kritikaliteits- en gevoeligheidsniveaus (bijv. publiek domein, werkplek domein, server domein, systemen met laag of hoog risico), op basis van organisatieafdelingen (bijv. personeelszaken, financiën, marketing) of een combinatie ervan (bijv. serverdomein verbonden met meerdere afdelingen van de organisatie). |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe kriticiteit en informatieclassificatie MOET op ieder segment te worden vastgesteld en te worden gehanteerd in het vaststellen van toegangsbehoefte volgens het beleid voor toegangsbeveiliging. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET de volgende basis beleidsregels toe te passen bij het segmenteren van netwerken:
|
Implementeer toegangscontrole die past binnen het beleid voor toegangsbeveiliging en ontwerp de segmentatie zo dat deze aansluit op de algehele toegangsbeveiliging methodiek en strategie.
Implementeer beveiligingszones: verdeel het netwerk in verschillende zones om te voorkomen dat malware of bedreigingen zich naar andere delen van het netwerk verspreiden. Houd bijvoorbeeld servers en gebruikersapparatuur in afzonderlijke beveiligingszones.
Naarmate de gevoeligheid van beschikbare informatie toeneemt op netwerksegmenten dienen de toegangsbeveiligingsmaatregelen (AAAI) equivalent toe te nemen.
De netwerken segmenten waartoe toegang wordt verleend dienen te worden bepaald op basis informatieclassificatie en gebruikersbevoegdheden conform het [beleid voor toegangsbeveiliging].
De criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domein.
De buitengrenzen van elk domein behoren goed te worden gedefinieerd. Indien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een firewall als gateway te gebruiken.
Draadloze netwerken
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
Een draadloos netwerk is een communicatienetwerk waarbij gegevens worden overgedragen tussen apparaten, zoals computers, smartphones, en andere verbonden apparaten, zonder de noodzaak van fysieke bekabeling. Het maakt gebruik van draadloze technologieën is in dit beleid beperkt tot wifi. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDraadloze netwerken
|
DMZ
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
Een DMZ, wat staat voor "Demilitarized Zone," is een netwerksegment dat wordt gebruikt om een extra beveiligingslaag te bieden tussen het interne netwerk van een organisatie en externe, onvertrouwde netwerken, zoals het internet. De DMZ fungeert als een bufferzone waarin organisaties diensten en resources kunnen plaatsen die beperkte toegang tot het interne netwerk hebben. Het doel van de DMZ is om de aanvalsoppervlakte te verminderen en de beveiliging van kritieke interne systemen te versterken. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie dient in het bijzonder regels op te stellen voor toegang tot de DMZ. In ieder geval met:
De organisatie dient in het bijzonder tijdstip, locatie en andere attributen van de toegang tot deze DMZ netwerken vast te leggen en te monitoren. |
Redundantie van informatieverwerkende faciliteiten
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel
Storage
|
Toepassing van webfilters
Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
Webfilters zijn beveiligingsmaatregelen die worden toegepast om het veilige en gepaste gebruik van online bronnen te waarborgen. Ze omvatten regels en beperkingen voor het blokkeren van ongewenste of ongepaste websites en internetgebaseerde toepassingen. Deze regels moeten actueel worden gehouden en kunnen onder andere de toegang tot websites met uploadfuncties, kwaadaardige websites, command-and-controlservers en websites met illegale inhoud beperken. Uitzonderingen kunnen worden toegestaan op basis van motivatie, maar deze gebruikersaccounts kunnen worden onderworpen aan verhoogde bewaking en aanvullende maatregelen om de bedrijfsmiddelen van de organisatie te beschermen. Daarnaast kunnen webfilters ook IP-filtering op basis van geografische filters en blocklists toepassen om de bereikbaarheid van bedrijfsinfrastructuur te beperken. Het beleid voor webfilters moet ervoor zorgen dat online bronnen veilig en gepast worden gebruikt. De volgende types van webfiltering worden normaliter overwogen of en toegepast;
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET regels op te stellen voor veilig en gepast gebruik van online bronnen, met inbegrip van een eventuele beperking van ongewenste of ongepaste websites en internetgebaseerde toepassingen. De regels behoren actueel te worden gehouden. De organisatie MOET te identificeren tot welke soorten websites haar personeel wel of niet toegang behoort te hebben. De organisatie behoort te overwegen de toegang tot de volgende soorten websites te blokkeren:
Uitzonderingen kunnen op verzoek worden toegestaan op basis van motivatie. Gebruikersaccounts waarvoor uitzonderingen worden toegestaan, kunnen worden onderworpen aan verhoogde bewaking en aanvullende maatregelen om de bedrijfsmiddelen van de organisatie te beschermen. De organisatie MOET restricties toe te passen op de bereikbaarheid van de voor gebruikers beschikbare bedrijfsinfrastructuur in de vorm van IP-filtering op basis van:
|
Scope en toepassingsgebied
De algemene scope en toepassingsgebied van ISMS kan u hier terugvinden, indien hierop afwijkingen of verduidelijkingen van toepassing zijn worden deze hieronder in detail omschreven.
Implementatiemaatregelen
Deze implementatiemaatregelen beschrijven de richtlijnen (verplicht of optioneel) die we noodzakelijk achten om de informatie en bedrijfsmiddelen van Digitaal Vlaanderen afdoende te beschermen. Het vereiste beveiligingsniveau is echter afhankelijk van de informatieklasse van de desbetreffende toepassing.
Filter by label (Content by label) | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
|
Rollen en verantwoordelijkheden
Overzicht van de rollen en verantwoordelijkheden die van specifiek van toepassing zijn op dit beleidsdomein. Een algemeen overzicht van alle rollen en verantwoordelijkheden kun u hier terugvinden.
Rollen (personen) aan wie verantwoordelijkheden inzake informatieveiligheid zijn toegekend (=eigenaar), kunnen beveiligingstaken aan anderen toewijzen (=gedelegeerde eigenaar), echter de eigenaar blijft steeds de eindverantwoordelijke.
ISO Beheersmaatregelen
Hieronder vind u een overzicht van de gerelateerde ISO beheersmaatregelen.
Page Properties Report | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
|
Hieronder vindt u een overzicht van de controles die worden ingezet voor het toetsen van de conformiteit aan het beleid.
Door deze controles uit te voeren, kan de organisatie de effectiviteit van haar beleid verzekeren, eventuele nalevingsproblemen aanpakken en de algehele conformiteit met interne en externe vereisten verbeteren.
Zie /wiki/spaces/ISMS/pages/6329503023 voor meer informatie.
Type | Controle | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| De afdeling/organisatie heeft bijgewerkte infrastructuur/ agenda/planning. | ||||||||||||
| De afdeling heeft netwerk- /infrastructuurbeheer procedures wanneer deze verantwoordelijkheid draagt over deze infrastructuur. | ||||||||||||
| De afdeling heeft een infrastructuur evaluatie methodiek + templates. | ||||||||||||
| Auditplanning: De afdeling heeft infrastructuur evaluaties die volgens planning zijn uitgevoerd. | ||||||||||||
| De organisatie heeft een bijgewerkt register voor toegestane gebruikshulpmiddelen die door de afdeling wordt gebruikt. | ||||||||||||
| De organisatie/afdeling heeft een procedure voor het selecteren, beheren van toegestane gebruikshulpmiddelen. | ||||||||||||
| De afdeling/organisatie monitort het gebruik van systeemhulpmiddelen | ||||||||||||
| De afdeling heeft een document wat het netwerk (structuur) en redundantie daarin omschrijft indien deze verantwoordelijk is voor beheer van infrastructuur. | ||||||||||||
| De afdeling verantwoordelijk voor heeft DRP’s voor kritieke netwerkcomponenten | ||||||||||||
| De afdeling/organisatie heeft resultaten van uitgevoerde tests / uitgevoerde herstelwerkzaamheden van DRP’s voor kritieke netwerkcomponenten indien deze verantwoordelijk is voor beheer van infrastructuur. | ||||||||||||
| De afdeling/organisatie heeft een overzicht van alle infrastructuur monitoringsactiviteiten inclusief de bewaartijden van de voortvloeiende log bestanden indien deze verantwoordelijk is voor beheer van infrastructuur. | ||||||||||||
| De afdeling/organisatie heeft logbestanden van de netwerkcomponenten die volgens definitie worden gemonitord indien deze verantwoordelijk is voor beheer van infrastructuur. | ||||||||||||
| De organisatie heeft een SOC/SIEM waar op de log data wordt geanalyseerd indien deze verantwoordelijk is voor beheer van infrastructuur en/of veiligheid van infrastructuur. | ||||||||||||
| Er is documentatie van het selectieproces van netwerkcomponenten en infrastructuur monitoringstoepassingen beschikbaar indien deze verantwoordelijk is voor beheer van infrastructuur en/of acquisitie van infrastructuur/netwerkcomponenten. | ||||||||||||
| De afdeling/organisatie heeft vulnerability scanner platform in gebruik. Indien dit niet zelf beheerd wordt, worden ieder geval de assets gescand door een vulnerability scanner. | ||||||||||||
| De afdeling/organisatie heeft vulnerability scans van de afgelopen maanden indien deze ICT-bedrijfsmiddelen beheert. | ||||||||||||
| De afdeling/organisatie heeft een kwetsbaarheden beheer procedure. | ||||||||||||
| De afdeling/organisatie heeft een KPI’s voor de hoeveelheid onopgeloste en opgeloste low, medium, high vulnerabilities over een de afgelopen maanden. Indien dit op organisatieniveau wordt beheerd is de afdeling op de hoogte van actieve kwetsbaarheden. | ||||||||||||
| De organisatie heeft een distributieproces voor het uiteenzetten van de kwetsbaarheden. | ||||||||||||
| De afdeling/organisatie heeft hardening profielen voor de apparaten onder beheer. | ||||||||||||
| De afdeling/organisatie heeft een hardening procedure om profielen te ontwikkelen, te implementeren en te onderhouden. | ||||||||||||
| De afdeling/organisatie heeft een tool om hardware configuraties te controleren en hardening te verifiëren. | ||||||||||||
| De afdeling/organisatie heeft een registratie van toegepaste hardening op hardware waar deze beheerd wordt. | ||||||||||||
| De organisatie heeft een procedure voor klok synchronisatie met een overzicht van alle tijdsbepalende elementen die de afdeling gebruikt. | ||||||||||||
| De organisatie heeft procedures voor het instellen van de tijd op hardware die de afdeling gebruikt. | ||||||||||||
| De afdeling/organisatie heeft een document wat het netwerk (structuur) en redundantie daarin omschrijft waar deze wordt beheerd door het de afdeling. | ||||||||||||
| Daarnaast dienen in dit document de punten uit 3.1.3 te zijn beschreven. (duplicaat 2.3.1) | ||||||||||||
| De organisatie heeft testrapporten van uitgevoerde tests op herstel en preventieve beveiligingsmaatregelen zoals gedefinieerd in 3.1.3 | ||||||||||||
| De afdeling/organisatie heeft een document wat het netwerk (structuur) en redundantie daarin omschrijft waar deze wordt beheerd door het de afdeling. | ||||||||||||
| De afdeling/organisatie heeft een register van criteria voor netwerktoegang gesegmenteerd op de verschillende netwerksegmenten waar deze wordt beheerd door het de afdeling. | ||||||||||||
| De afdeling/organisatie heeft de AAAI-procedures geschreven (Autorisatie, Authenticatie, Auditing and Identificatie) waar deze wordt beheerd door het de afdeling. | ||||||||||||
| De organisatie heeft toegangslogs van verkeer en gebruikers tot de netwerken onder beheer. | ||||||||||||
| De organisatie heeft een PAM oplossing en de afdeling maakt gebruik van deze oplossing waar privileged access is toegekend. | ||||||||||||
| De afdeling/organisatie heeft security audit rapporten waar op de segmentatie van beheer en gebruikers communicatie op netwerkniveau is gekeken waar deze verantwoordelijkheid draagt voor de infrastructuur. | ||||||||||||
| De afdeling onderhoudt een handboek netwerk ontwerp waar deze verantwoordelijk is voor de netwerkstructuur. | ||||||||||||
| De afdeling heeft een finaal ontwerp van het (draadloze (wi-fi)) netwerk met genomen veiligheidsoverwegingen waar deze verantwoordelijk is voor architectuur. | ||||||||||||
| Inkoop profiel netwerkapparatuur inclusief access points wanneer de afdeling verantwoordelijk is voor de selectie en aankoop van netwerkapparatuur. | ||||||||||||
| Log geweerde apparaten (eigenschappen) (draadloos) netwerk met reden onacceptabele configuratie (of equivalent) waar de afdeling deze infrastructuur beheert of verantwoordelijkheid draagt. | ||||||||||||
| Procedure veilig ontwikkelen/CI/CD inclusief opzetten veilige ontwikkel, test en acceptatieomgevingen (OTA(P)) indien de afdeling software ontwikkeld. | ||||||||||||
| Overzicht ontwikkel/ test en acceptatie netwerken wanneer de afdeling deze beheert of gebruikt. | ||||||||||||
| De afdeling/organisatie heeft en volgt een procedure voor toegang tot de DMZ wanneer deze de toegang nodig heeft | ||||||||||||
| De afdeling/organisatie heeft een register van bevoegde gebruikers met een justificatie voor de toegang waar deze verantwoordelijk is voor het gebruik van de omgeving of rechten beheert. | ||||||||||||
| De organisatie heeft toegangslogs voor de DMZ wanneer deze de taak van beheer en/of beveiliging heeft. | ||||||||||||
| De organisatie heeft documentatie van afspraken met betrekking tot versleutelde communicatie voor leveranciers waar deze de leveranciers contracten of diensten beheert en/of verantwoordelijkheid draagt. | ||||||||||||
| De afdeling/organisatie heeft een isolatie protocol voor apparaten die niet volgens [cryptografie beleid] kunnen worden geconfigureerd waar de bedrijfsmiddelen door deze worden beheerd. | ||||||||||||
| De afdeling/organisatie heeft een actuele lijst van apparaten die niet voldoen aan cryptografische eisen. | ||||||||||||
| De organisatie heeft een procedure/ configuratie documentatie wat de keuzes van firewalling toelicht. | ||||||||||||
| De organisatie heeft verantwoordingsdocumentatie voor het inspecteren van netwerkverkeer. (DPO-office) | ||||||||||||
| De afdeling/organisatie heeft een SSL/TLS inspectie configuratie (te vinden op het firewalling network) wanneer deze firewall infrastructuur beheert. | ||||||||||||
| De afdeling/organisatie heeft een verklaring die aan gebruikers wordt getoond wanneer SSL/TLS inspectie wordt toegepast wanneer deze verantwoordelijk is voor deze maatregel. | ||||||||||||
| De organisatie toont een verklaring wanneer SSL/TLS inspectie wordt toegepast wanneer de afdeling verantwoordelijk is voor deze maatregel. | ||||||||||||
| De afdeling/organisatie heeft een procedure/ configuratie document wat de keuzes van firewalling toelicht. (Duplicaat 3.6.1) wanneer deze medeverantwoordelijk is voor het beheer van firewalls. | ||||||||||||
| De afdeling/organisatie heeft een actueel register (in de firewalling omgeving) die de blokkades op verschillende netwerken toelicht wanneer deze verantwoordelijk is voor de firewall infrastructuur. | ||||||||||||
| De afdeling/ organisatie heeft een actuele lijst met geblokkeerde gebieden / landen wanneer deze verantwoordelijk is voor de firewall infrastructuur. | ||||||||||||
| (Optioneel) De afdeling/organisatie heeft een KPI die periodiek de toegevoegde blokkades meet wanneer deze verantwoordelijk is voor de firewall infrastructuur. | ||||||||||||
| (Optioneel) De organisatie heeft een KPI die het aantal incidenten door het bezoek van onveilige sites meet doormiddel van incident categorisatie wanneer deze verantwoordelijk is voor de firewall infrastructuur. | ||||||||||||
| Inkoop profielen: netwerkcomponenten wanneer de afdeling verantwoordelijk is voor de acquisitie van netwerkinfrastructuur. | ||||||||||||
| Procedure voor het configureren van netwerkcomponenten wanneer de afdeling verantwoordelijk is voor de netwerkinfrastructuur. | ||||||||||||
| Registratie van netwerkconfiguratie inclusief gevolgde procedure en bijzonderheden wanneer de afdeling verantwoordelijk is voor de netwerkinfrastructuur. | ||||||||||||
| Configuratie documentatie end-point-security wanneer de afdeling verantwoordelijk is voor de netwerkinfrastructuur. | ||||||||||||
| Configuratie documentatie authenticatie wanneer de afdeling verantwoordelijk is voor de netwerkinfrastructuur. | ||||||||||||
| Configuratie documentatie VPN wanneer de afdeling verantwoordelijk is voor de netwerkinfrastructuur. | ||||||||||||
| Gebruikerstoegangslogs wanneer de afdeling verantwoordelijk is voor de netwerkinfrastructuur. | ||||||||||||
| Logs gebruik VPN-oplossingen wanneer de afdeling verantwoordelijk is voor de netwerkinfrastructuur. | ||||||||||||
| De organisatie heeft een procedure voor het ontwerpen en opzetten van een virtueel netwerk wanneer de afdeling verantwoordelijk is voor de netwerkinfrastructuur. | ||||||||||||
| De organisatie heeft rapporten van netwerkbeveiligingstesten wanneer de afdeling verantwoordelijk is voor de netwerkinfrastructuur. | ||||||||||||
| Procedure veilig ontwikkelen/CI/CD inclusief opzetten veilige ontwikkel, test en acceptatieomgevingen (OTA(P)) (Duplicaat 3.4.6) wanneer de afdeling verantwoordelijk is voor het ontwikkelen van softwareoplossingen. | ||||||||||||
| Architectuur documentatie gedistribueerde applicaties wanneer de afdeling verantwoordelijk is voor het ontwikkelen van softwareoplossingen. | ||||||||||||
| Inventaris applicaties wanneer de afdeling verantwoordelijk is voor het beheer van softwareoplossingen. | ||||||||||||
| Evaluatierapporten middleware oplossingen wanneer de afdeling verantwoordelijk is voor het beheer van softwareoplossingen. | ||||||||||||
| De organisatie/afdeling heeft een centraal register van data met: de classificatie van deze data en de periode van validiteit waar de afdeling verantwoordelijk is voor het beheer van data. | ||||||||||||
| De organisatie/afdeling heeft een procedure voor het kiezen van een opslagmedium (Dit gaat voornamelijk over kritieke data of data met een historische waarde) en het configureren van opslagmedia waar de afdeling verantwoordelijk is voor regels met betrekking tot dataopslag en overdracht. | ||||||||||||
| De organisatie/afdeling heeft configuratie documentatie en strategie voor dataopslag. | ||||||||||||
| De organisatie/afdeling heeft een back-up procedure inclusief het testen van reserve kopieën waar de afdeling verantwoordelijk is voor beheer van dataopslag en overdracht. | ||||||||||||
| De organisatie/afdeling heeft rapporten van periodieke tests op reserve kopieën waar de afdeling verantwoordelijk is voor beheer van dataopslag en overdracht. | ||||||||||||
| De organisatie/afdeling heeft een trainingsprogramma met trainingen voor het beheren van reserve kopieën waar de afdeling verantwoordelijk is voor beheer van dataopslag en overdracht. | ||||||||||||
| De organisatie/afdeling heeft een KPI voor het aantal periodiek uitgevoerde back-up tests waar de afdeling verantwoordelijk is voor beheer van dataopslag en overdracht. | ||||||||||||
| De organisatie/afdeling heeft een KPI voor het periodiek aantal succesvol uitgevoerde back-up tests waar de afdeling verantwoordelijk is voor beheer van dataopslag en overdracht. | ||||||||||||
| De organisatie/afdeling heeft een KPI die het percentage van data waarvan back-up s succesvol zijn getest meet waar de afdeling verantwoordelijk is voor beheer van dataopslag en overdracht. |
Regelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
Page Properties Report | ||||||||
---|---|---|---|---|---|---|---|---|
|
Informatieveiligheidsstrategie van de Vlaamse overheid (L2)
Zie 3.2. Minimale maatregelen - ICT en 3.3. Minimale maatregelen - Netwerken voor meer informatie.
Processen
Oplossingen
Titel | Auteur | Datum | Versie | Status | Opmerkingen | ||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Beleid voor infrastructuurbeveiliging | Bart Breunesse | 23/12/2023 | 1.0 |
|
Page Properties | ||||
---|---|---|---|---|
| ||||
Document status (Metadata)Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister
|
|
|
status opties:
status eveneens aanpassen bovenaan deze pagina |