| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICR v2.x als volgt in de tekst duidelijk gemaakt:
|
Patching en hardening zijn preventieve maatregelen.
Eén van de makkelijkste doelen voor een aanvaller is een niet goed actueel gehouden systeem met de laatste patches en updates en een systeem waarbij functionaliteiten en privileges niet zijn teruggebracht tot het minimum dat noodzakelijk is voor het uitvoeren van de taak. Dit noemt men hardening.
3.2.3.2.1. Patching
Patching is gericht op het verminderen van risico's als gevolg van benutting van gepubliceerde technische kwetsbaarheden of bugs in OS (operating system of besturingssysteem), firmware en toepassingssoftware.
Patchmanagement is het proces waarmee patches op gecontroleerde beheerste (risicobeperkende) wijze uitgerold kunnen worden. Patches zijn doorgaans kleine programma’s die aanpassingen maken om fouten op te lossen of verbeteringen aan te brengen in bestaande programmatuur en/of hardware.
...
Het inzichtelijk maken van de actuele stand van kwetsbaarheden en toegepaste patches binnen de beheerde infrastructuur; en
Een zo efficiënt mogelijk wijze met zo min mogelijk verstoringen stabiele (veilige) systemen te creëren.
3.2.3.2.2. Hardening
Hardening is het proces waarbij overbodige functies in besturingssystemen uitgeschakeld worden en/of van het systeem (servers, netwerkcomponenten zoals firewalls, routers en switches, desktops, laptops, mobiele apparatuur, …) verwijderd worden. Daarbij hoort ook het toekennen van zodanige waarden aan beveiligingsinstellingen en -parameters dat hiermee de mogelijkheden om een systeem te compromitteren, worden verlaagd. Het verwijderen van niet gebruikte of onnodige gebruikers- of serviceaccounts, het verwijderen van niet gebruikte of onnodige software en services, het uitschakelen van niet-gebruikte netwerkpoorten en het wijzigen van standaard paswoorden die op sommige systemen aanwezig kunnen zijn, behoren ook tot hardening. Deze regels dienen regelmatig herzien te worden om zeker te zijn dat ze op accuraat en actueel blijft.
Encryptie van draagbare opslagmedia is onontbeerlijk bij hardening. Alle draagbare opslagmedia, zoals USB-sticks en externe harde schijven of harde schijven van laptops, moeten altijd versleuteld zijn om te garanderen dat de vertrouwelijkheid van de opgeslagen gegevens behouden blijft, zelfs wanneer deze media verloren gaan of in verkeerde handen terechtkomen. Deze encryptie voorkomt ongeautoriseerde toegang tot de gegevens en beschermt de organisatie tegen datalekken. Zie ook https://vlaamseoverheid.atlassian.net/wiki/x/IoAHpwE .
Daarnaast moeten draagbare opslagmedia, wanneer ze worden ingeplugd, altijd worden gescand op mogelijke dreigingen zoals malware of virussen.
Het gebruik van draagbare opslagmedia moet tot een minimum worden beperkt. Waar mogelijk dienen beveiligde, interne opslagoplossingen te worden gebruikt in plaats van draagbare opslag. Voor gevoelige data (vanaf klasse 4) is gebruik van draagbare opslagmedia niet toegelaten.
Op alle systemen mogen enkel vooraf goedgekeurde software en tools worden geïnstalleerd en gebruikt. Dit geldt zowel voor eindgebruikersapplicaties als voor beheertools die gebruikt worden voor het onderhoud en de nodige aanpassingen van de ICT-omgeving. De goedkeuringsprocedure vereist dat elke softwareoplossing voorafgaand wordt geëvalueerd op veiligheid, compatibiliteit, en naleving van de interne beveiligingsrichtlijnen. Software die niet deze goedkeuring heeft ontvangen, is niet toegestaan voor gebruik, ongeacht de bron of het beoogde gebruik.
Voor systemen met een hogere classificatie geldt daarnaast dat er een preventie mechanisme voor uitvoering van software moet zijn, gebaseerd op het "deny by default, permit by exception" principe. Dit betekent dat standaard alle software-uitvoering wordt geblokkeerd, tenzij deze expliciet is goedgekeurd. Dit principe zorgt ervoor dat ongeautoriseerde of mogelijk schadelijke software niet kan worden uitgevoerd, wat een extra beschermingslaag biedt voor kritieke systemen.
Beheer van Software: Een softwarebeheerproces moet garanderen dat uitsluitend goedgekeurde softwarepakketten beschikbaar worden gesteld aan gebruikers. Dit geldt voor alle nieuwe installaties, updates, en eventuele aanpassingen aan de bestaande softwareomgeving. Dit softwarebeheersproces moet er ook voor zorgen dat geïnstalleerde software niet kan worden verwijderd om zo de bescherming van machines te allen tijde te kunnen garanderen.
Controle en Monitoring: Regelmatige controles dienen uitgevoerd te worden om na te gaan of er geen ongeautoriseerde software op systemen is geïnstalleerd. Gevonden afwijkingen moeten direct gemeld worden en passende maatregelen moeten worden genomen om de niet-goedgekeurde software te verwijderen.