Page Comparison

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden;

• Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ;

• Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken;

• Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst;

• Least privilege wordt toegepast voor datastromen van en naar de DMZ; en

• DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook document ‘Vo Informatieclassificatie – minimale maatregelen – fysische maatregelen’).

Toegangscontrole

ñ        Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn

voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers)

ñ        Toegang gebaseerd op geografische situering afhankelijk van risico beoordeling

ñ        Enkel toegang tot data via applicaties toegestaan.

Transportbeveiliging:

ñ        Versleutelde transportprotocollen (bv. https, sftp) voor alle informatiestromen

ñ        Gebruikte transportprotocollen moeten in het huidige encryptielandschap als veilig beschouwd worden. Zie ook “Minimale Maatregelen - Cryptografie"

ñ        Sleutelbeheer van de transport certificaten altijd binnen de eigen organisatie of bij een trusted partner.

Datastroominspectie:

ñ        Datastromen tussen DMZ en publieke netwerken worden geleid via een next gen firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

ñ        Filteren op basis van type datastromen;

ñ        Beperken of blokkeren van bepaalde datastromen;

§  SSL inspectie van alle datastromen

§  Whitelist op serverniveau voor uitgaande datastromen.

ñ        Stateful inspection of gelijkwaardige technologie;

ñ        Werken vanuit default deny-principe;

ñ        Werken vanuit centraal opgestelde regels (ruleset); en

ñ        IDS/IPS wordt ingezet op alle datastromen van en naar de DMZ voor monitoring (detectie, rapportering) van abnormaal gedrag.

ñ        Web- en emailfilters moeten worden ingezet voor controle van web- en email verkeer.

ñ        Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

ñ        Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

ñ        Gecentraliseerd beheer;

ñ        Altijd actief;

ñ        Scanning van bijlagenC;

ñ        Mogelijkheid tot real-time scanning;

ñ        Niet-intrusief: de gebruiker minimaal belasten;

ñ        Automatische updates van de signature database;

ñ        Beveiliging tegen zero-day-aanvallen; en

ñ        Genereren van alarmen naar de antimalware-beheerders.

Logging en monitoring:

ñ        Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

ñ        Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

ñ        Toegang van serverbeheer en beheer van netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar

ñ        Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

ñ        Ingeval van hosting bij externe bedrijven: auditeerbaarheid en logging contractueel afdwingen

ñ        Alle data geanalyseerd indien aanwezig via een SIEM oplossing

ñ        Voor logging van toegangsbeheer: zie document ‘Vo Informatieclassificatie – minimale maatregelen – PAM’;

ñ        Zie ook document ‘Vo Informatieclassificatie – minimale maatregelen – SIEM’.

Beheer:

ñ        Versleutelde transportprotocollen of VPN moeten worden toegepast voor beheerstaken

ñ        Gevalideerd proces noodzakelijk voor machine naar machine connecties

In geval van hosting bij externe bedrijven: exit proces of procedure contractueel opnemen)

Transportbeveiliging:

• Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de DMZ worden uitgevoerd.

IDS:

• Wordt ingezet op alle datastromen van en naar de DMZ.

Inbraakpreventie:

• Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
  

  • Filteren op basis van type datastromen;

  • Beperken of blokkeren van bepaalde datastromen;

  • Stateful inspection of gelijkwaardige technologie;

  • Werken vanuit default deny-principe;

  • Werken vanuit centraal opgestelde regels (ruleset); en

  • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd
    verkeer);

• IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.

Antimalware:

• Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
  

  • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day aanvallen; en

  • Genereren van alarmen naar de antimalware-beheerders.

Content/URL filtering:

• Een whitelist wordt opgesteld en actief onderhouden op serverniveau voor uitgaande datastromen naar internet.

SSL-inspectie:

• IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging:

• Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

• Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

• Voor logging van toegangsbeheer: zie 5.1. Minimale maatregelen - Identity en Access Management (IAM) ; en 

• Zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM)

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Out-of-Band opzetten voor beheerstaken.

Transportbeveiliging:

• Binnen de DMZ wordt enkel gebruik gemaakt van versleutelde protocollen. Cloud-omgeving:

• Sleutelbeheer buiten de cloud provider (eigen organisatie of trusted partner);

• Geen cloud provider kiezen zonder vestiging in de EU; en

• Auditeerbaarheid contractueel afdwingen.

Content/URL filtering:

• Inspectie op alle datastromen die naar buiten gaan.

Logging:

• Event logging wordt opgezet voor alle netwerktoestellen; en

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.