...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
Vertrouwelijkheid en integriteit
IC klasse
Minimale maatregelen
Klasse 1 en Klasse 2 kennen dezelfde maatregelen:
Netwerkzonering:
Least privilege wordt toegepast op datastromen van en naar de gebruikerszone;
De datastromen voor beheer moeten gescheiden zijn van gebruikersdatastromen;
Er moet een logische scheiding zijn tussen gebruikers- en datazone;
Er moet een logische scheiding zijn tussen organisatie eigen gebruikerszones en publieke gebruikerszones (bv. guest);
Outbound web-datastromen worden ontsloten via proxyservers waarbij de proxy controleert op juist protocolgebruik; en
Bijkomende maatregelen worden genomen op niveau gebruikersapparatuur: dit document is nog in ontwikkeling.
IDS:
Wordt ingezet op alle datastromen van en naar de gebruikerszone.
Transportbeveiliging:
Versleutelde transportprotocollen worden voorzien voor write access vanuit gebruikerszone (integriteitsbewaking); en
Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de gebruiker zone worden uitgevoerd (integriteitsbewaking)
Inbraakpreventie:
Datastromen tussen gebruikerszone en publieke netwerken worden geleid via een firewall in de DMZ, die voldoet aan goede praktijken zoals ISF good practice
for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:Filteren op basis van type datastromen;
Beperken of blokkeren van bepaalde datastromen;
Stateful inspection of gelijkwaardige technologie;
Werken vanuit default deny-principe;
Werken vanuit centraal opgestelde regels (ruleset); en
Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);
IPS wordt actief ingezet op alle datastromen tussen publieke netwerken en gebruikerszone.
Antimalware:
Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken
zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;
Gecentraliseerd beheer;
Altijd actief;
Mogelijkheid tot real-time scanning;
Niet-intrusief: de gebruiker minimaal belasten;
Automatische updates van de signature database;
Beveiliging tegen zero-day-aanvallen; en
Genereren van alarmen naar de antimalware-beheerders.
Logging en monitoring:
Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);
Er wordt actief gecontroleerd op ongewenste patronen in datastromen;
Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);
Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM) ; en
Zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM)
IC klasse | Minimale maatregelen | |
---|---|---|
Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Netwerkzonering: Least privilege wordt toegepast op datastromen van en naar de gebruikerszone;
IDS:
Toegangscontrole:
Transportbeveiliging:
Datastroominspectie:
Logging en monitoringDraadloos netwerk:
Beheer:
| ||
Alle maatregelen van Klasse 1 / Klasse 2 + Netwerkzonering:
TransportbeveiligingToegangscontrole:
SSL-inspectie:
Content/URL-filtering:
Logging en monitoring:
|
Integriteit
Datastroominspectie:
Logging en monitoring:
| |
Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + |
Netwerkzonering:
IoT-toestellen die functioneel niet deel uitmaken van de administratieve bedrijfsprocessen moeten in een aparte zone, gescheiden van de gebruikerszone;
Binnen de zone moeten maatregelen genomen worden om de impact tussen eindgebruikerstoestellen onderling te mitigeren en
Gebruikerstoestellen die ingesteld kunnen worden als lokale gastheer (local host) moeten als een aparte netwerkzone beschouwd worden. Zij moeten voorzien zijn
van firewall, antimalware en IPS.
Transportbeveiliging:
Versleutelde protocollen worden toegepast van en naar de betrokken server (integriteitsbewaking)
SSL-inspectie:
IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.
Logging en monitoring:
Event logging op alle netwerktoestellen; en
IDS/IPS use cases moeten beschikbaar zijn voor SIEM.
Toegangscontrole:
| |
Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +Klasse 4 + |
Datastroominspectie:
|
|
-Beschikbaarheid - idem vertrouwelijkheid +
IC klasse | Minimale maatregelen | ||
---|---|---|---|
Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Netwerkzonering: Least privilege wordt toegepast op datastromen van en naar de gebruikerszone; De datastromen voor beheer moeten gescheiden zijn van gebruikersdatastromen; Er moet een logische scheiding zijn tussen organisatie eigen gebruikerszones en publieke gebruikerszones (bv. guest); Outbound web-datastromen worden ontsloten via proxyservers waarbij de proxy controleert op juist protocolgebruik; en Bijkomende maatregelen worden genomen op niveau gebruikersapparatuur: Zie binnekort op de pagina 'Minimale maatregelen - Gebruikerstoestellen (dit document is nog in ontwikkeling). IDS:
Inbraakpreventie:
Antimalware:
Logging en monitoring:
High-availability:
Anti-DDoS:
| |||
Alle maatregelen van Klasse 1 / Klasse 2 + Netwerkzonering: IoT toestellen die functioneel niet deel uitmaken van de administratieve bedrijfsprocessen moeten in een aparte zone, gescheiden van de gebruikerszone. Binnen de zone moeten maatregelen genomen worden om de impact tussen eindgebruikerstoestellen onderling te mitigeren.
Gebruikerstoestellen die ingesteld kunnen worden als lokale gastheer (local host) moeten als een aparte netwerkzone beschouwd worden. Zij moeten voorzien zijn van firewall, antimalware en IPS. SSL-inspectie:
Logging en monitoring in het kader van beschikbaarheid:
High-availability:
| Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1/ Klasse 2 + Klasse 3 + SSL-inspectie:
|