Page Comparison

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

• IAM

  • Sterke identificatie via de federale overheid of afgeleide gecertifieerde bron (CSAM, Itsme,…)

    • Elke identiteit krijgt een unieke identificator 

  • Authenticatie maatregelen: EID.AS (Substantial)

  • Autorisatie :

    Autorisatie registratie via toegangsbeheerproces

    registratie via toegangsbeheerproces

    • Gebruikersaccounts moeten gecategoriseerd worden; 

    • Toegangsrechten moeten worden opgesplitst op basis van rol en verantwoordelijkheden; 

  •  Autorisatie validatie:

    •  Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie (SoD / toegangsautorisatie)

    • Jaarlijkse periodieke herziening van de toegangen:

    • Hervalidatie toegang mogelijk op basis van eenvoudige motivatie;

    • Maximale duurtijd van de toegangsautorisatie in theorie onbeperkt, maar verplicht af te stemmen met reële noodzaak tot toegang (least access).

• Configuration Management:

  • Generieke documentatie van de toegangen, accounts, rollen: Technisch noodzakelijke toegangen op basis van het least access principe

  • Generieke documentatie access controle baseline voor de betrokken informatieverwerkingscomponenten

    • Rollen in relatie least access principe

    • Communicatieprotocol beschrijving

    • Authenticatie protocol beschrijving

    • Configuration and data protection (Network en malware bedreigingen)

• Log informatie: 

  • Toegang logs

  • (Lokaal) Toegangsbeheer log info (OS, Middleware, applicatie)

  • Privilege elevation log

  • Memory dump log

  • Log configuratie log

  • Log informatie op de infrastructuur ter beschikking houden gedurende 3 maand

• Reporting: Operationele opvolging toegangsbeheer op de gehele informatieverwerking ketting ( via SIEM

  • inclusief werkstations

  )

  • inclusief systeem-systeem interventies

• Jaarlijkse review privileged toegangen (toegangsbeheer)

• Operationeel risicobeheer toegangsconfiguratie (Minimaal om de 12 maanden):

  • Identificatie en verwijderen van privileged accounts 

    • Slapende accounts (Laatst gebruikt > 1 jaar)

    • Disabled accounts (Laatst gebruikt > 3 maand)

    • Orphan accounts

    • Orphan (wees) accounts zijn accounts zonder relatie met een fysieke identiteiten:

      • Accounts zonder geïdentificeerde eigenaar

      • Relatie met een toepassing zonder toepassingsverantwoordelijke

  • Paswoord policy opvolging interactieve accounts

  • Paswoorden ouder dan 3 maand

Alle maatregelen van Klasse 1 / Klasse 2 +

• IAM

  • Authenticatie: Er is geen permanente toegang tot de authenticatie middelen

  • Autorisatie:

    • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede persoon (SoD/ 4EYES op niveau toegangsautorisatie)

      • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder

    • Bij connectie naar endpointdevice op werkplek: notificatie en expliciete toestemming van eindgebruiker verplicht 

    • Jaarlijkse periodieke herziening van de toegangen

    • Revalidatie toegang mogelijk op basis van motivatie door hiërarchische of toepassing verantwoordelijke

• Change Management:

  • Registratie van de motivatie tot toegang door middel van volgende change specificaties zijn toegestaan:

    • Change duurtijd is gebaseerd op functionele noodzaak

    • Pre-approved changes zijn toegestaan. Reguliere operationele opvolgingstaken door de informatieverwerker hebben een maximale duurtijd van 1 jaar. Ook hier kijkt men erop toe dat de toegangen beperkt zijn tot het absolute noodzakelijke.

    • Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking

    • Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.

  • Post-mortem validatie van de validatie (Anomalie rapportering)

• Configuration Management:

  • Generieke documentatie van de toegangen, accounts, rollen, protocolgebruik

  • Auditeerbaarheid van de configuratie garanderen

  • Operationeel risicobeheer naar kwetsbaarheden

  • Operationeel risicobeheer naar proces efficiëntie: Inactieve en slapende accounts (uitgezonderd systeem accounts)

  • Automatisch beëindigen van sessie op afstand 

• Log informatie:

  • Change log in context Log correlatie

  • Op de infrastructuur ter beschikking houden gedurende 1 maand

  • Log historiek verwerken via een log management systeem (SYSLOG)

  • Log correlatie in context PAM

  • Log historiek offline archiveren gedurende 1 jaar

  • Session recording (4EYES) beschikbaar houden gedurende 1 jaar

• Log Management:

  • Afgedwongen log configuratie met gegarandeerd resultaat

  • Afgedwongen log centralisatie met gegarandeerd resultaat

• Reporting: Operationele opvolging privileged toegangen

  • Opvolging motivatie tot toegang tot informatieverwerking infrastructuur,
    middleware en toepassingscomponenten

  • Opvolging atypisch gebruik van systeem credentials (via SIEM) 

  • Opvolging toegangsconfiguratie / opsporen ‘achterdeuren’

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

• IAM

  • Authenticatie:

    • Er is geen permanente toegang tot de authenticatie middelen

    • Motivatie tot gebruik van de toegang wordt gevalideerd door de informatieverwerker (4EYES op motivatie gebruik toegang)

    • Voor communicatie tussen systemen onderling dient MFA toegepast te worden. 

  • Autorisatie:

    • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede en derde persoon (SoD/ 4EYES op niveau toegangsautorisatie)

    • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp én de toepassingsbeheerder

    • Periodieke herziening van de toegangen, langer dan 1 jaar zijn niet toegestaan. Nieuw toegangsverzoek noodzakelijk.

• Change Management:

  • Change duurtijd is altijd gebaseerd op functionele noodzaak

  • De functionele noodzaak is steeds gedocumenteerd in de change.

  • Onderstaande types van changes zijn toegestaan:

    • Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking.

    • Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.

  • Pre-approved changes (voor o.a. reguliere operationele opvolgingstaken door de informatieverwerker) zijn niet toegestaan (Enkel geautomatiseerde opvolging onder strikte configuratie controle)

  • 4EYES validatie van het gebruik van de toegang door operationeel verantwoordelijke op basis van aangeleverde change validatie

  • 4EYES opvolging van de activiteiten

• Log informatie:

  • Log historiek offline archiveren gedurende 3 jaar

  • Session recording (4EYES) beschikbaar houden gedurende 1 jaar

Alle maatregelen van Klasse 1 / Klasse 2 +  Klasse 3 + klasse 4 +

• IAM

  • Authenticatie:

    • EID.AS (High)

    • EID.AS (Substancial toegestaan bij technische beperkingen)

    • Sterke authenticatie voor communicatie tussen systemen via TLS certificaten 

  • Autorisatie:

    • Duurtijd van een toegangsverzoek beperkt tot functionele noodzaak.

    • Periodieke herziening van de toegangen niet toegestaan.

      • Nieuw toegangsverzoek noodzakelijk

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

• Beschikbaarheid van het proces is minimaal kantooruren (5d x 10u)  

Klasse 3 + Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

• Beschikbaarheid van het proces is 24u x 7d  

Er zijn geen GDPR specifieke maatregelen voor Klasse 1.

Image AddedImage AddedImage AddedImage AddedImage AddedImage Added

Klasse 2 t/m Klasse 4  kennen dezelfde maatregelen:

• Gedetailleerde logging op applicatieniveau van alle toegangen tot de informatie

• Inkijken van detailinformatie

• Aanpassingen aan detailinformatie

• Verwijderen van detailinformatie  

Er zijn geen GDPR specifieke maatregelen voor klasse 5.

IC klasse 

Minimale maatregelen 

Image AddedImage AddedImage AddedImage AddedImage AddedImage Added

Er zijn geen NIS2 specifieke maatregelen voor Klasse1, Klasse2 en Klasse3.

Klasse 4 kent volgende maatregelen

• Uitbreiding auditcapaciteiten 

  • Geautoriseerde individuen krijgen mogelijkheid om auditcapaciteiten en analysemogelijkheden uit te breiden wanneer vereist door incidenten of relevante gebeurtenissen. 

  • Uitvoering van uitbreidingen en alle bijbehorende acties worden gelogd en gecontroleerd. 

Er zijn geen NIS2 specifieke maatregelen voor klasse 5.