Page Comparison

...

Vertrouwelijkheid en integriteit

IC klasse

Minimale maatregelen

Image Removed

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

Least privilege toepassen voor datastromen van en naar de IoT-zone;
Logische scheiding met gebruikerszone;
Indien DMZ aanwezig: proxy verplichten; en
Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver).

Transportbeveiliging:

Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet (integriteitsbewaking);
Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd (integriteitsbewaking); en
Versleutelde transportprotocollen voor write access vanuit gebruikerszone (integriteitsbewaking).

Inbraakpreventie:

Filtering op basis van IP-adressen en protocollen.

Antimalware:

Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software.

SSL-inspectie:

IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie 6.1. Minimale maatregelen - Fysische maatregelen ).

Transportbeveiliging:

Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone.

IDS:

Aanwezig op alle datastromen van en naar IoT-zone.

Inbraakpreventie:

IPS aanwezig op alle datastromen van en naar IoT-zone.

Content/URLfiltering:

Inspectie op uitgaand datastromen.

Logging en monitoring:

Event logging op alle netwerktoestellen; en
IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

IC klasse

Minimale maatregelen

Image Added

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

Least privilege toepassen voor datastromen van en naar de IoT-zone;
Logische scheiding met gebruikerszone;
Indien DMZ aanwezig: proxy verplichten; en
Toegang vanaf publiek netwerk enkel via Er moet een logische scheiding zijn tussen toestellen-, gebruikers- en applicatiezone;
Er moet een logische scheiding zijn tussen toestellenzones en publieke gebruikerszones (bv. guest);
Per locatie wordt een aparte netwerkzone voorzien
Outbound web-datastromen worden ontsloten via proxyservers waarbij de proxy controleert op juist protocolgebruik;
Inbound datastromen worden enkel ontsloten via een mitigerende component (bv. proxyserver)
Bijkomende maatregelen moeten worden genomen op niveau apparatuur.

TransportbeveiligingToegangscontrole:

Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet;
Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd; en
Versleutelde transportprotocollen voor write access vanuit gebruikerszone.

Inbraakpreventie:

Filtering op basis van IP-adressen en protocollen.

Antimalware:

Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software.

Content/URLfiltering:

Whitelist op toepassing voor uitgaand datastromen naar internet.

SSL-inspectie:

IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

Toegang van en naar netwerkzone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);
Toegang van server-beheer en beheer netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar;
Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM) ; en
Zie 5.2. Minimale maatregelen - logging en monitoring (SIEM) .

Image Removed

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3

Transportbeveiliging:

Enkel gebruik van versleutelde protocollen van en naar de betrokken component

Image Removed

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:

Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

Transportbeveiliging:

Voor transport buiten de zone toegang enkel toegestaan over VPN.

SSL-inspectie:

Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is.

Integriteit

Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers):
- Toegang gebaseerd op IP-adres en/of MAC adres
- Toegang gebaseerd op gebruikersauthenticatie afhankelijk van risicobeoordeling.

Transportbeveiliging:

Versleutelde transportprotocollen (bv. https, sftp) zijn verplicht voor informatie die ontsloten is naar het internet.

Datastroominspectie:

Datastromen tussen de toestellenzone en applicatiezones of publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken, zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:
Filteren op basis van type datastromen;
- Beperken of blokkeren van bepaalde datastromen;
  - TLS inspectie van alle datastromen met data loss prevention (DLP)
  - Whitelist op toestellenniveau voor uitgaande datastromen.
- Stateful inspection of gelijkwaardige technologie;
- Werken vanuit default deny-principe;
- Werken vanuit centraal opgestelde regels (ruleset);
IDS wordt actief ingezet voor monitoring (detectie, rapportering) van abnormaal gedrag op alle datastromen van en naar de toestellenzone.
IPS wordt op ingezet voor monitoring (detectie, rapportering) van abnormaal gedrag Cop alle datastromen van en naar de toestellenzone. Ingeval van mogelijke onderbrekingen met verstrekkende gevolgen dient een risicoanalyse uitgevoerd te worden om een eventuele expliciete beslissing tot het niet-implementeren van deze maatregel te onderbouwen.
Web- en emailfilters moeten worden ingezet voor controle van web- en email verkeer.
Alle datastromen van en naar de toestellenzone worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:
- Optreden tegen alle aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;
- Gecentraliseerd beheer;
- Altijd actief;
- Scanning van bijlagen;
- Mogelijkheid tot real-time scanning;
- Niet-intrusief: de gebruiker minimaal belasten;
- Automatische updates van de signature database;
- Beveiliging tegen zero-day-aanvallen (heuristic scanning);
- Genereren van alarmen naar de antimalware-beheerders..

Draadloos netwerk:

Zo instellen dat SSID (Service Set Identifier) niet wordt uitgezonden;
Wifi protected access toepassen: minstens WPA-2 met AES encryptie;
Verbinding met onbekende of onbeveiligde gast draadloze netwerken enkel via VPN.

Logging en monitoring:

Toegang van en naar

netwerkzone

de applicatiezone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip)

; Toegang van server-beheer en beheer netwerkapparatuur

;
Actieve controle op ongewenste patronen in datastromen;
Toegang voor toestellenbeheer moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar

;

;
Event logging op kritische netwerktoestellen in de toestellenzone (o.a. up/down gaan van switch-poorten);
In geval van hosting bij externe bedrijven: auditeerbaarheid van logging contractueel afdwingen.
Alle data geanalyseerd, indien aanwezig via een SIEM oplossing
Voor logging van toegangsbeheer: zie

5.4. Minimale maatregelen - Priviliged Access Management (PAM) ; en

Zie 5.2. Minimale maatregelen - logging en monitoring (SIEM)

Image Removed

document ‘Vo informatieclassificatie – minimale maatregelen – PAM’
Zie ook document ‘Vo informatieclassificatie – minimale maatregelen – SIEM’.

Beheer:

Versleutelde transportprotocollen of VPN moeten worden toegepast voor beheerstaken
Versleutelde transportprotocollen of VPN moeten worden toegepast voor write access vanuit andere netwerkzones.

Image Added

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie 6.1. Minimale maatregelen - Fysische maatregelen ).

Transportbeveiliging:

Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone

(integriteitsbewaking)

.

IDS:

Aanwezig op alle datastromen van en naar IoT-zone.

Inbraakpreventie:

IPS aanwezig op alle datastromen van en naar IoT-zone.

Content/URLfiltering:

Inspectie op uitgaand datastromen.

Logging en monitoring:

Event logging op alle netwerktoestellen; en
IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

Image Removed

Image Added

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3

+

Transportbeveiliging:

Enkel gebruik van versleutelde protocollen van en naar de betrokken component

(integriteitsbewaking)

Image Removed

Image Added

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:

Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

Transportbeveiliging:

Voor transport buiten de zone toegang enkel toegestaan over VPN

(integriteitsbewaking)

.

SSL-inspectie:

Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is.

Beschikbaarheid - idem als vertrouwelijkheid +

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

Least privilege toepassen voor datastromen van en naar de IoT-zone;
Logische scheiding met gebruikerszone;
Indien DMZ aanwezig: proxy verplichten; en
Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver).

Transportbeveiliging:

Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet;
Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd; en
Versleutelde transportprotocollen voor write access vanuit gebruikerszone.

Inbraakpreventie:

Filtering op basis van IP-adressen en protocollen.

Antimalware:

Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software.

SSL-inspectie:

IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

Toegang van en naar netwerkzone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);
Toegang van server-beheer en beheer netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar;
Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM) ; en
Zie 5.2. Minimale maatregelen - logging en monitoring (SIEM)

High-availability:

Het voorzien van reserve-onderdelen en reservecomponenten volstaat

High-availability:

Het voorzien van reserve-onderdelen en reservecomponenten volstaat.

Anti-DDoS:

Rate limiting: het beperken van het aantal verzoeken dat een gebruiker kan doen binnen een bepaalde tijd om overbelasting te voorkomen.

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie 6.1. Minimale maatregelen - Fysische maatregelen )

IDS:

Aanwezig op alle datastromen van en naar IoT-zone.

Inbraakpreventie:

IPS aanwezig op alle datastromen van en naar IoT-zone.

Logging in het kader van beschikbaarheid:

Event logging op alle netwerktoestellen; en
IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

High-availability:

High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …).

Anti-DDoS:

Voor toestellen die verbonden zijn met het internet:
- Web Application Firewall (WAF) - Bescherming tegen applicatielaag-aanvallen door verdacht en malafide verkeer te filteren

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:

Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

Version	Old Version 1	New Version Current
Changes made by	Kristel Van Aken	Kristel Van Aken
Saved on	28 Oct, 2024	29 Oct, 2024

Versions Compared

Key

Vertrouwelijkheid en integriteit

Integriteit

Beschikbaarheid - idem als vertrouwelijkheid +

Page Comparison

Versions Compared

Key

<span class="diff-html-changed" data-a11y-before="Start of changed content" data-a11y-after="End of changed content" id="changed-diff-0">[data-colorid=</span>

<span class="diff-html-added" data-a11y-before="Start of added content" data-a11y-after="End of added content" id="added-diff-4">m8grp8feww</span><span class="diff-html-changed" data-a11y-before="Start of changed content" data-a11y-after="End of changed content" id="changed-diff-5">]{color:</span>

<span class="diff-html-added" data-a11y-before="Start of added content" data-a11y-after="End of added content" id="added-diff-6">m8grp8feww</span><span class="diff-html-changed" data-a11y-before="Start of changed content" data-a11y-after="End of changed content" id="changed-diff-7">]{color:</span>

<span class="diff-html-changed" data-a11y-before="Start of changed content" data-a11y-after="End of changed content" id="changed-diff-12">#36b37e} html[data-color-mode=dark] [data-colorid=</span>

<span class="diff-html-changed" data-a11y-before="Start of changed content" data-a11y-after="End of changed content" id="changed-diff-23">#0747a6} html[data-color-mode=dark] [data-colorid=</span>

<span class="diff-html-changed" data-a11y-before="Start of changed content" data-a11y-after="End of changed content" id="changed-diff-36">#0747a6} html[data-color-mode=dark] [data-colorid=</span>

Integriteit

Beschikbaarheid - idem als vertrouwelijkheid +