Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

Vertrouwelijkheid en integriteit

IC klasse 

Minimale maatregelen

Image RemovedImage Removed

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Least privilege wordt toegepast op datastromen van en naar de gebruikerszone;

  • De datastromen voor beheer moeten gescheiden zijn van gebruikersdatastromen;

  • Er moet een logische scheiding zijn tussen gebruikers- en datazone;

  • Er moet een logische scheiding zijn tussen organisatie eigen gebruikerszones en publieke gebruikerszones (bv. guest);

  • Outbound web-datastromen worden ontsloten via proxyservers waarbij de proxy controleert op juist protocolgebruik; en

  • Bijkomende maatregelen worden  genomen op niveau gebruikersapparatuur: dit document is nog in ontwikkeling. 

IDS:

  • Wordt ingezet op alle datastromen van en naar de gebruikerszone.

Transportbeveiliging:

  • Versleutelde transportprotocollen worden voorzien voor write access vanuit gebruikerszone (integriteitsbewaking); en

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de gebruiker zone worden uitgevoerd (integriteitsbewaking)

Inbraakpreventie:

  • Datastromen tussen gebruikerszone en publieke netwerken worden geleid via een firewall in de DMZ, die voldoet aan goede praktijken zoals ISF good practice
    for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

    • Filteren op basis van type datastromen;

    • Beperken of blokkeren van bepaalde datastromen;

    • Stateful inspection of gelijkwaardige technologie;

    • Werken vanuit default deny-principe;

    • Werken vanuit centraal opgestelde regels (ruleset); en

    • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);

  • IPS wordt actief ingezet op alle datastromen tussen publieke netwerken en gebruikerszone.

Antimalware:

  • Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken
    zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Beveiliging tegen zero-day-aanvallen; en

    • Genereren van alarmen naar de antimalware-beheerders.

Logging en monitoring:

Image Removed

Klasse 4 en Klasse 5 kennen dezelfde maatregelen

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

SSL-inspectie:

IC klasse 

Minimale maatregelen

Image Removedimage-20241029-095418.pngImage AddedImage Addedimage-20241029-095502.pngImage Added

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Least privilege wordt toegepast op datastromen van en naar de gebruikerszone;

  • De datastromen voor beheer moeten gescheiden zijn van gebruikersdatastromen;

    • Er moet een logische scheiding zijn tussen gebruikers- en datazoneapplicatiezone;

    • Netwerkintegriteit van kritieke systemen moeten worden beschermd door middel van netwerksegmentatie en -scheiding,

    • Er moet een logische scheiding zijn tussen organisatie-eigen gebruikerszones en publieke gebruikerszones (bv. guest);

    • Per fysieke locatie wordt een aparte netwerkzone voorzien

    • Outbound web-datastromen worden ontsloten via proxyservers waarbij de proxy controleert op juist protocolgebruik; en

    • Bijkomende maatregelen moeten worden genomen op niveau gebruikersapparatuur 

    IDS:

    Toegangscontrole:

    • Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers)

      • Toegang gebaseerd op IP-adres en/of MAC adres

      • Toegang gebaseerd op gebruikersauthenticatie.

    Transportbeveiliging:

    • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de gebruiker zone worden uitgevoerd.

    Inbraakpreventie
    • (bv. https, sftp) voor alle informatiestromen

    • Gebruikte transportprotocollen moeten in het huidige encryptielandschap als veilig beschouwd worden. Zie ook “minimale maatregelen cryptografie”.

    Datastroominspectie:

    • Datastromen tussen gebruikerszone en publieke netwerken worden geleid via een firewall in de DMZ, die voldoet aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

      • Filteren op basis van type datastromen;

      • Beperken of blokkeren van bepaalde datastromen;

      • TLS inspectie van alle datastromen met data loss prevention (DLP);

      • Stateful inspection of gelijkwaardige technologie;

      • Werken vanuit default deny-principe;

      • Werken vanuit centraal opgestelde regels (ruleset); en

      • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);

    • IDS/IPS wordt actief ingezet voor monitoring (detectie, rapportering) van abnormaal gedrag op alle datastromen tussen publieke netwerken van en naar de gebruikerszone.

    Antimalware:
    • Web- en emailfilters moeten worden ingezet voor controle van web- en email verkeer.

    • Alle datastromen die de DMZ binnenkomen of verlaten, van en naar de gebruikerszone worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

      • Optreden tegen alle ‘aanvalsvectoren’ aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

      • Gecentraliseerd beheer;

      • Altijd actief;

      • Scanning van bijlagen;

      • Mogelijkheid tot real-time scanning;

      • Niet-intrusief: de gebruiker minimaal belasten;

      • Automatische updates van de signature database;

      • Beveiliging tegen zero-day-aanvallen (heuristic scanning); en

      • Genereren van alarmen naar de antimalware-beheerders..

    Logging en monitoringDraadloos netwerk:

    • Toegang van en naar DMZ de gebruikerszone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

    • Er wordt actief gecontroleerd Toegang en beheer van netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar;

    • Actieve controle op ongewenste patronen in de datastromen;

    • Event logging wordt opgezet op kritische netwerktoestellen in DMZ de gebruikerszone (o.a. up/down gaan van switch-poorten);switchpoorten)

    • Ingeval van hosting bij externe bedrijven: auditeerbaarheid van logging contractueel afdwingen

    • Alle data geanalyseerd, indien aanwezig via een SIEM oplossing

    • Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM);

    • Zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM)

    Image Removed

    Beheer:

    • Datastromen voor beheer moeten geschieden zijn van gebruikers datastromen

    • Versleutelde transportprotocollen of VPN voor beheerstaken die van buiten de gebruikerszone worden uitgevoerd.

    Image Addedimage-20241029-095858.pngImage Added

    Alle maatregelen van Klasse 1 / Klasse 2 +

    Netwerkzonering:

    • IoT-toestellen die functioneel niet deel uitmaken van de administratieve bedrijfsprocessen moeten in een aparte zone, gescheiden van de gebruikerszone;

    • Binnen de zone moeten maatregelen genomen worden om de impact tussen eindgebruikerstoestellen onderling te mitigeren en

    • Microsegmentatie per Organizational Unit

    • Gebruikerstoestellen die ingesteld kunnen worden als lokale gastheer (local hostlocalhost) moeten als een aparte netwerkzone beschouwd worden. Zij moeten voorzien zijn van firewall, antimalware en IPS.

    TransportbeveiligingToegangscontrole:

    • Versleutelde protocollen worden toegepast van en naar de betrokken server.

    SSL-inspectie:

    • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

    Content/URL-filtering:

    • Inspectie op alle datastromen die naar buiten gaat.

    Logging en monitoring:

    • Event logging op alle netwerktoestellen; en

    • IDS/IPS use cases moeten beschikbaar zijn voor SIEM.

    Image RemovedImage Removed

    Integriteit

    Image RemovedImage RemovedKlasse 4 en Klasse 5 kennen dezelfde maatregelen:
    • Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers)

      • Toegang gebaseerd op sterke gebruikersauthenticatie (multi factor authenticatie)

      • Voor BYOD: apparaat toegang gebaseerd op authenticatie via een apparaat gebonden certificaat.

    Datastroominspectie:

    • TLS inspectie van alle datastromen met Data Loss Prevention maatregelen.

    Logging en monitoring:

    • Event logging op alle netwerktoestellen.

    Image Addedimage-20241029-100443.pngImage Added

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

    Netwerkzonering:

    • IoT-toestellen die functioneel niet deel uitmaken van de administratieve bedrijfsprocessen moeten in een aparte zone, gescheiden van de gebruikerszone;

    • Binnen de zone moeten maatregelen genomen worden om de impact tussen eindgebruikerstoestellen onderling te mitigeren en

    • Gebruikerstoestellen die ingesteld kunnen worden als lokale gastheer (local host) moeten als een aparte netwerkzone beschouwd worden. Zij moeten voorzien zijn
      van firewall, antimalware en IPS.

    Transportbeveiliging:

    • Versleutelde protocollen worden toegepast van en naar de betrokken server (integriteitsbewaking)

    SSL-inspectie:

    • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

    Logging en monitoring:

    • Event logging op alle netwerktoestellen; en

    • IDS/IPS use cases moeten beschikbaar zijn voor SIEM.

    Toegangscontrole:

    • Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers)

      • Apparaat toegang gebaseerd op authenticatie via een apparaat gebonden certificaat

    Image Addedimage-20241029-100427.pngImage Added

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +Klasse 4 +

    SSL-inspectie

    Datastroominspectie:

    • De mogelijkheid tot uitzonderingen moet worden voorzien omdat bepaalde informatie zo gevoelig kan zijn dat

    SSL
    • TLS-inspectie niet wenselijk is: zie

    3.1.
    -

    -Beschikbaarheid - idem vertrouwelijkheid +

    IC klasse 

    Minimale maatregelen

    Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

    Netwerkzonering:

  • Least privilege wordt toegepast op datastromen van en naar de gebruikerszone;

  • De datastromen voor beheer moeten gescheiden zijn van gebruikersdatastromen;

  • Er moet een logische scheiding zijn tussen gebruikers- en datazone;

  • Er moet een logische scheiding zijn tussen organisatie eigen gebruikerszones en publieke gebruikerszones (bv. guest);

  • Outbound web-datastromen worden ontsloten via proxyservers waarbij de proxy controleert op juist protocolgebruik; en

  • Bijkomende maatregelen worden  genomen op niveau gebruikersapparatuur: Zie binnekort op de pagina 'Minimale maatregelen - Gebruikerstoestellen (dit document is nog in ontwikkeling).

  • IDS:

    • Wordt ingezet op alle datastromen van en naar de gebruikerszone.

    Inbraakpreventie:

    • Datastromen tussen gebruikerszone en publieke netwerken worden geleid via een firewall in de DMZ, die voldoet aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria: 

      • Filteren op basis van type datastromen; 

      • Beperken of blokkeren van bepaalde datastromen; 

      • Stateful inspection of gelijkwaardige technologie; 

      • Werken vanuit default deny-principe; 

      • Werken vanuit centraal opgestelde regels (ruleset); en 

      • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer); 

    • IPS wordt actief ingezet op alle datastromen tussen publieke netwerken en gebruikerszone. 

    Antimalware:

    • Alle datastromen van en naar gebruikersapparatuur worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria: 

      • Optreden tegen alle aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; 

      • Gecentraliseerd beheer; 

      • Altijd actief; 

      • Mogelijkheid tot real-time scanning

      • Niet-intrusief: de gebruiker minimaal belasten; 

      • Automatische updates van de signature database; en 

      • Beveiliging tegen zero-day-aanvallen. 

    • Genereren van alarmen naar de antimalware-beheerders. 

    Logging en monitoring:

    High-availability:

    • Het voorzien van reserve-onderdelen en reservecomponenten volstaat.

    Anti-DDoS:

    • Rate limiting: beperken van het aantal verzoeken dat een gebruiker kan doen binnen een bepaalde tijd om overbelasting te voorkomen

    Image AddedImage Added

    Alle maatregelen van Klasse 1 / Klasse 2 +

    Netwerkzonering

    IoT toestellen die functioneel niet deel uitmaken van de administratieve bedrijfsprocessen moeten in een aparte zone, gescheiden van de gebruikerszone. 

    Binnen de zone moeten maatregelen genomen worden om de impact tussen eindgebruikerstoestellen onderling te mitigeren.

     

  • Gebruikerstoestellen die ingesteld kunnen worden als lokale gastheer (local host) moeten als een aparte netwerkzone beschouwd worden. Zij moeten voorzien zijn van firewall, antimalware en IPS. 

  • SSL-inspectie:  

    • IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints

    Logging en monitoring in het kader van beschikbaarheid:  

    • Event logging op alle netwerktoestellen; en 

    • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM. 

    High-availability:  

    • High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …). 

    Image RemovedImage Removed

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1/ Klasse 2 + Klasse 3 +

    SSL-inspectie: