Versions Compared

Version Old Version 2 New Version Current
Changes made by

Kristel Van Aken

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Vertrouwelijkheid en integriteit

IC klasse 

Minimale maatregelen

Image RemovedImage Removed

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden;

  • Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ;

  • Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken;

  • Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst;

  • Least privilege wordt toegepast voor datastromen van en naar de DMZ; en

  • DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook 6.1. Minimale maatregelen - Fysische maatregelen )

Transportbeveiliging:

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de DMZ worden uitgevoerd.

IDS:

  • Wordt ingezet op alle datastromen van en naar de DMZ.

Inbraakpreventie:

  • Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Filteren op basis van type datastromen;

    • Beperken of blokkeren van bepaalde datastromen;

    • Stateful inspection of gelijkwaardige technologie;

    • Werken vanuit default deny-principe;

    • Werken vanuit centraal opgestelde regels (ruleset); en

    • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);

  • IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.

Antimalware:

  • Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Beveiliging tegen zero-day-aanvallen; en

    • Genereren van alarmen naar de antimalware-beheerders.

SSL-inspectie:

  • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

Image RemovedImage RemovedImage Removed

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

 

IC klasse 

Minimale maatregelen

image-20241028-171945.pngImage Addedimage-20241028-171954.pngImage Added

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden;

  • Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ;

  • Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken;

  • Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst;

  • Least privilege wordt toegepast voor datastromen van en naar de DMZ; en

  • DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook document ‘Vo Informatieclassificatie – minimale maatregelen – fysische maatregelen 6.1. Minimale maatregelen - Fysische maatregelen).

 

Toegangscontroleñ       

ñ       

  • Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie

ook Minimale Maatregelen - IAM voor gebruikers)ñ       

    • Enkel toegang tot data via applicaties toegestaan.

 

Transportbeveiliging:ñ       

  • Versleutelde transportprotocollen (bv. https, sftp) voor alle informatiestromen

ñ       

  • Gebruikte transportprotocollen moeten in het huidige encryptielandschap als veilig beschouwd worden. Zie

ook “Minimale Maatregelen "

ñ       

  • Sleutelbeheer van de transport certificaten altijd binnen de eigen organisatie of bij een trusted partner.

 

Datastroominspectie:ñ       

  • Datastromen tussen DMZ en publieke netwerken worden geleid via een next gen firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

ñ       

    • Filteren op basis van type datastromen;

ñ       

    • Beperken of blokkeren van bepaalde datastromen;

§  SSL

      • TLS inspectie van alle datastromen

§ 

      • Whitelist op serverniveau voor uitgaande datastromen.

ñ       

    • Stateful inspection of gelijkwaardige technologie;

ñ       

    • Werken vanuit default deny-principe;

ñ       

    • Werken vanuit centraal opgestelde regels (ruleset); en

ñ       

    • IDS/IPS wordt ingezet op alle datastromen van en naar de DMZ voor monitoring (detectie, rapportering) van abnormaal gedrag.

ñ       

  • Web- en emailfilters moeten worden ingezet voor controle van web- en email verkeer.

ñ       

  • Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

ñ       

    • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

ñ       

    • Gecentraliseerd beheer;

ñ       

    • Altijd actief;

ñ       

    • Scanning van

bijlagenC

    • bijlagen;

ñ       

    • Mogelijkheid tot real-time scanning;

ñ       

    • Niet-intrusief: de gebruiker minimaal belasten;

ñ       

    • Automatische updates van de signature database;

ñ       

    • Beveiliging tegen zero-day-aanvallen; en

ñ       

    • Genereren van alarmen naar de antimalware-beheerders.

 

Logging en monitoring:ñ       

  • Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

ñ       

  • Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

ñ       

  • Toegang van serverbeheer en beheer van netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar

ñ       

  • Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

ñ       

  • Ingeval van hosting bij externe bedrijven: auditeerbaarheid en logging contractueel afdwingen

ñ       

  • Alle data geanalyseerd indien aanwezig via een SIEM oplossing

ñ        ñ        Zie ook document ‘Vo Informatieclassificatie – minimale maatregelen – SIEM

  • Voor logging van toegangsbeheer: zie

document ‘Vo Informatieclassificatie – minimale maatregelen – PAM’;

 

Beheer:ñ       

  • Versleutelde transportprotocollen of VPN moeten worden toegepast voor beheerstaken

ñ       

  • Gevalideerd proces noodzakelijk voor machine naar machine connecties

  • In geval van hosting bij externe bedrijven: exit proces of procedure contractueel opnemen)

Transportbeveiliging:

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de DMZ worden uitgevoerd.

IDS:

  • Wordt ingezet op alle datastromen van en naar de DMZ.

Inbraakpreventie:

  • Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Filteren op basis van type datastromen;

    • Beperken of blokkeren van bepaalde datastromen;

    • Stateful inspection of gelijkwaardige technologie;

    • Werken vanuit default deny-principe;

    • Werken vanuit centraal opgestelde regels (ruleset); en

    • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd
      verkeer);

  • IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.

Antimalware:

  • Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Beveiliging tegen zero-day aanvallen; en

    • Genereren van alarmen naar de antimalware-beheerders.

Content/URL filtering:

  • Een whitelist wordt opgesteld en actief onderhouden op serverniveau voor uitgaande datastromen naar internet.

SSL-inspectie:

  • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging:

Image RemovedImage RemovedImage RemovedImage Addedimage-20241028-172043.pngImage AddedImage Addedimage-20241028-172104.pngImage AddedImage Addedimage-20241028-172119.pngImage Added

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

  • Out-of-Band opzetten voor beheerstaken.

Transportbeveiliging:

  • Binnen de DMZ wordt enkel gebruik gemaakt van versleutelde protocollen. Cloud-omgeving:

  • Sleutelbeheer buiten de cloud provider (eigen organisatie of trusted partner);

  • Geen cloud provider kiezen zonder vestiging in de EU; en

  • Auditeerbaarheid contractueel afdwingen.

Content/URL filtering:

  • Inspectie op alle datastromen die naar buiten gaan.

Logging:

  • Event logging wordt opgezet voor alle netwerktoestellen; en

  • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

Integriteit

  • DMZ zones moeten binnen de EU gelokaliseerd zijn.

Toegangscontrole:

  • Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie 5.1. Minimale maatregelen - Identity en Access Management (IAM)Toegang gebaseerd op sterke gebruikersauthenticatie (multi factor authenticatie)

Datastroominspectie:

  • TLS inspectie van alle datastromen met Data Loss Prevention maatregelen.

Logging en monitoring:

  • Event logging wordt opgezet voor alle netwerktoestellen.

Beheer:

  • Out-of-Band opzetten voor beheerstaken.

Transportbeveiliging:

  • Binnen de DMZ wordt enkel gebruik gemaakt van versleutelde protocollen (integriteitsbewaking).

Cloud-omgeving:

  • Sleutelbeheer buiten de cloud provider (eigen organisatie of trusted partner);

  • Geen cloud provider kiezen zonder vestiging in de EU; en

  • Auditeerbaarheid contractueel afdwingen.

Logging en monitoring:

  • Event logging wordt opgezet voor alle netwerktoestellen; en

  • IDS/ IPS-use cases moeten beschikbaar zijn voor SIEM.

Beschikbaarheid

Beschikbaarheid: idem vertrouwelijkheid +

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden;

  • Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ;

  • Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken;

    • Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst;

  • Least privilege wordt toegepast voor datastromen van en naar de DMZ; en 

  • DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook 6.1. Minimale maatregelen - Fysische maatregelen )

    • IDS:

    • Wordt ingezet op alle datastromen van en naar de DMZ.

    Inbraakpreventie:

    • Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

      • Filteren op basis van type datastromen;

      • Beperken of blokkeren van bepaalde datastromen;

      • Stateful inspection of gelijkwaardige technologie;

      • Werken vanuit default deny-principe;

      • Werken vanuit centraal opgestelde regels (ruleset); en

      • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd
        verkeer);

      • IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.

    Antimalware:

    • Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd nop kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

      • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

      • Gecentraliseerd beheer;

      • Altijd actief;

      • Mogelijkheid tot real-time scanning;

      • Niet-intrusief: de gebruiker minimaal belasten;

      • Automatische updates van de signature database;

      • Beveiliging tegen zero-day-aanvallen; en

      • Genereren van alarmen naar de antimalware-beheerders.

    SSL-inspectie:

    • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

    Logging en monitoring:

    High-availability:

    • Het voorzien van reserve-onderdelen en reservecomponenten volstaat.

    Exit procedure (opnemen in contract)

    CloudAnti-omgeving:

  • Auditeerbaarheid contractueel afdwingen; en

    • DDoS:

    • Rate limiting: beperken van het aantal verzoeken dat een gebruiker kan doen binnen een bepaalde tijd om overbelasting te voorkomen

    Alle maatregelen van Klasse 1 / Klasse 2 +

    Netwerkzonering:

    • Out-of-Band opzetten voor beheerstaken.

    Logging en monitoring in het kader van beschikbaarheid:

    • Event logging wordt opgezet voor alle netwerktoestellen; en

    • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

    High-availability:

    • High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, ...)…).

    Anti DDos:

    • Web Application Firewall (WAF) - bescherming tegen applicatielaag-aanvallen door verdacht en malafide verkeer te filteren.

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

    Cloud providerData backup:

    • Back-up van data bij op een andere partij fysieke locatie dan waar de cloud provider (om vendor lock-in te vermijdendata gehost zijn (cloud provider of private data center).