Page Comparison

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Toepassingen worden niet rechtstreeks ontsloten naar publieke netwerken (zoals het internet, derde partijen, …), enkel via een mitigerende component (reverse
  proxy-functionaliteit) in de DMZ waarbij minimaal gecontroleerd wordt op juist protocol gebruik;

• Er zijn geen proxy (forward & reverse) en mail relays toegelaten in deze zone (moeten in de DMZ geplaatst worden);

• Least privilege wordt toegepast voor datastromen van en naar de datazone; en

• Datazone wordt in Applicatiezones wordt in fysiek gescheiden locaties geplaatst met toegangscontrole en fysieke beveiliging (zie ook 6.1 . Minimale maatregelen - Maatregelen – Fysische maatregelen)

Transportbeveiliging:

• Versleutelde transportprotocollen (bv. https, sftp) worden toegepast voor informatie die ontsloten is naar het internet; en 

• Versleutelde transportprotocollen of VPN worden toegepast voor beheerstaken die buiten de datazone worden uitgevoerd. 

Inbraakpreventie:

• Datastromen tussen de datazone en publieke netwerken worden geleid via een firewall in de DMZ, die voldoet aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria: 

  • Filteren op basis van type datastromen; 

  • Beperken of blokkeren van bepaalde datastromen; 

  • Stateful inspection of gelijkwaardige technologie; 

  • Werken vanuit default deny-principe; 

  • Werken vanuit centraal opgestelde regels (ruleset); en 

  • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer); 

• IPS wordt actief ingezet op alle datastromen van en naar de datazone. 

Antimalware:  

• Alle datastromen van en naar de datazone worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria: 

  • Optreden tegen alle aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; 

  • Gecentraliseerd beheer; 

  • Altijd actief; 

  • Mogelijkheid tot real-time scanning; 

  • Niet-intrusief: de gebruiker minimaal belasten; 

  • Automatische updates van de signature database; en 

  • Beveiliging tegen zero-day-aanvallen. 

• Genereren van alarmen naar de antimalware-beheerders. 

Content/URL filtering:

• Whitelist op serverniveau voor uitgaande datastromen.

SSL-inspectie:

• IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSLinspectie, SSL offloading of op de endpoints.

Logging en monitoring:

• Toegang van en naar de datazone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip); 

• Toegang van server-beheer en beheer van netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar; 

• Event logging op kritische netwerktoestellen in de datazone (o.a. up/down gaan van switch-poorten); 

• Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM)

• Zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM)

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:  

• Zonering per toepassing (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …) 

Transportbeveiliging: 

• Enkel gebruik van versleutelde protocollen van en naar de betrokken server 

IDS:  

• Aanwezig op alle datastromen van en naar de betrokken servers 

Inbraakpreventie:  

• IPS aanwezig op alle datastromen van en naar de betrokken servers 

Antimalware: 

• Aanwezig op alle datastromen van en naar de betrokken servers 

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 +

Netwerkzonering:  

• Segmentatie per server (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

Transportbeveiliging:  

• Voor transport buiten de zone toegang enkel toegestaan over VPN. 

SSL-inspectie:  

• Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is. 

• Per toepassingscontext (PRD, n-PRD, ...) wordt een aparte netwerkzone voorzien.
  Hierbij dient het volgende opgemerkt te worden: ingeval gewerkt wordt met onderscheiden omgevingen voor ontwikkeling, testen, acceptatie en productie (of een subset daarvan), dient voor elk van deze omgevingen een aparte netwerkzone voorzien te worden;

• Netwerkintegriteit van kritieke systemen moeten worden beschermd door middel van netwerksegmentatie en -scheiding;

• Microsegmentatie op applicatieniveau;

• Toepassingen worden niet rechtstreeks ontsloten naar publieke netwerken (zoals het internet, derde partijen, …), enkel via een mitigerende component (reverse proxy-functionaliteit) in de DMZ waarbij minimaal gecontroleerd wordt op juist protocol gebruik;

• Er zijn geen proxy (forward & reverse) en

• mailrelays toegelaten in deze zone (moeten in de DMZ geplaatst worden)

Toegangscontrole:

• Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers)

  • Toegang gefilterd op IP-adres en/of MAC adres

  • Toegang tot data enkel via applicaties. 

Transportbeveiliging:  

• Versleutelde transportprotocollen (bv. https, sftp)

• voor alle informatiestromen

• Gebruikte transportprotocollen moeten in het huidige encryptielandschap als veilig beschouwd worden. Zie ook “minimale maatregelen cryptografie“

• Sleutelbeheer van de transport certificaten altijd binnen de eigen organisatie of bij een trusted partner. 

Datastroominspectie:

• Datastromen tussen de applicatiezone en publieke netwerken worden geleid via een NextGen firewall in de DMZ, die voldoet aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

• • Filteren op basis van type datastromen;

• • Beperken of blokkeren van bepaalde datastromen;

• • • TLS inspectie van alle datastromen met data loss prevention (DLP)

    • Whitelist op serverniveau voor uitgaande datastromen.

  • Stateful inspection of gelijkwaardige technologie;

• • Werken vanuit default deny-principe;

• • Werken vanuit centraal opgestelde regels (ruleset);

• • en

• IPS wordt actief ingezet voor monitoring (detectie, rapportering) van abnormaal gedrag op alle datastromen van en naar de

• applicatiezone.

• Web- en emailfilters moeten worden ingezet voor controle van web- en email verkeer.

• Alle datastromen van en naar de

• applicatiezone worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

• • Optreden tegen alle aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

• • Gecentraliseerd beheer;

• • Altijd actief;

• • Scanning van bijlagen;

  • Mogelijkheid tot real-time scanning;

• • Niet-intrusief: de gebruiker minimaal belasten;

• • Automatische updates van de signature database;

• • en

  • Beveiliging tegen zero-day-aanvallen

• • (heuristic scanning)

  • Genereren van alarmen naar de antimalware-beheerders

• • .

Logging en monitoring:

• Toegang van en naar de

• applicatiezone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Actieve controle op ongewensten patronen in datastromen

• Toegang van server

• beheer en beheer van netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar;

• Event logging op kritische netwerktoestellen in de

• applicatiezone (o.a. up/down gaan van switch-poorten);

• Ingeval van hosting bij externe bedrijven: auditeerbaarheid van logging contractueel afdwingen

• Alle data geanalyseerd, indien aanwezig via een SIEM oplossing

• Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM); en

• Zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM)

Beheer:

• Versleutelde transportprotocollen of VPN moeten worden toegepast voor beheerstaken

• Gevalideerd proces noodzakelijk voor machine naar machine connecties

• In geval van hosting bij externe bedrijven: exit proces of procedure contractueel opnemen

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Applicatiezones moeten binnen de EU gelokaliseerd zijn.

Toegangscontrole:  

• Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers)

  • Apparaat toegang gebaseerd op authenticatie via een apparaat gebonden certificaat. 

Datastroominspectie:  

• TLS inspectie van alle datastromen met Data Loss Prevention maatregelen.  

Logging en monitoring:  

• Event logging op alle netwerktoestellen

• . 

Beheer:  

• Out-of-Band opzetten voor beheerstaken. 

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:  

• Zonering per toepassing (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …)

• ; 

• Microsegmentatie per toepassingslaag

Toegangscontrole:

• Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers)

  • Dynamisch toegangsbeheer obv gedragingen (Network Access Control) door de gebruiker of het connecterende apparaat 

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3

/ Klasse 4 +

Netwerkzonering:  

• Segmentatie per server (d.m.v. bijvoorbeeld host-based firewall, VLAN/

• security zone, security-groepen, …). 

Transportbeveiliging:  

• Voor transport buiten de zone toegang enkel toegestaan over VPN

• . 

TLS-inspectie:  

• Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat

• TLS-inspectie niet wenselijk is. 

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

• Toepassingen worden niet rechtstreeks ontsloten naar publieke netwerken (zoals het internet, derde partijen, …), enkel via een mitigerende component (reverse proxy-functionaliteit) in de DMZ waarbij minimaal gecontroleerd wordt op juist protocol gebruik; 

• Er zijn geen proxy (forward & reverse) en mail relays toegelaten in deze zone (moeten in de DMZ geplaatst worden); 

• Least privilege wordt toegepast voor datastromen van en naar de datazone; en 

• Datazone wordt in fysiek gescheiden locaties geplaatst met toegangscontrole en fysieke beveiliging (zie ook 6.1. Minimale maatregelen - Fysische maatregelen )

Transportbeveiliging:

• Versleutelde transportprotocollen of VPN worden toegepast voor beheerstaken die buiten de datazone worden uitgevoerd. 

Inbraakpreventie:

• Datastromen tussen de datazone en publieke netwerken worden geleid via een firewall in de DMZ, die voldoet aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria: 

  • Filteren op basis van type datastromen; 

  • Beperken of blokkeren van bepaalde datastromen; 

  • Stateful inspection of gelijkwaardige technologie; 

  • Werken vanuit default deny-principe; 

  • Werken vanuit centraal opgestelde regels (ruleset); en 

  • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer); 

• IPS wordt actief ingezet op alle datastromen van en naar de datazone. 

Antimalware:

• Alle datastromen van en naar de datazone worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria: 

  • Optreden tegen alle aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; 

  • Gecentraliseerd beheer; 

  • Altijd actief; 

  • Mogelijkheid tot real-time scanning; 

  • Niet-intrusief: de gebruiker minimaal belasten; 

  • Automatische updates van de signature database; 

  • Beveiliging tegen zero-day-aanvallen; en 

  • Genereren van alarmen naar de antimalware-beheerders. 

SSL-inspectie:

• IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging in het kader van beschikbaarheid:

• Toegang van en naar de datazone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip); 

• Toegang van server-beheer en beheer van netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar; 

• Event logging op kritische netwerktoestellen in de datazone (o.a. up/down gaan van switch-poorten); 

• Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM) ; en

• Zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM)

High-availability:  

• Het voorzien van reserve-onderdelen en reservecomponenten volstaat. 

Cloudanti-omgevingDDos:  

• Auditeerbaarheid contractueel afdwingen; en 

• Exit procedure (opnemen in contract).Rate limiting: het beperken van het aantal verzoeken dat een gebruiker kan doen binnen een bepaalde tijd om overbelasting te voorkomen. 

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Out-of-Band opzetten voor beheerstaken.

IDS:

Inbraakpreventie:

•  IPS aanwezig op alle datastromen van en naar de datazone.

Logging en monitoring in het kader van beschikbaarheid:

• Event logging op alle netwerktoestellen; en

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

High-availability:

• ‘High-availability'-infrastructuur implementeren (loadbalancing, clustering, safe failover, …). 

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:  

• Zonering per toepassing (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

IDS:  

• Aanwezig op alle datastromen van en naar de betrokken servers. 

Inbraakpreventie:  

• IPS aanwezig op alle datastromen van en naar de betrokken servers. 

Antimalware:  

• Aanwezig op alle datastromen van en naar de betrokken servers. 

• Back-up van data bij een andere partij dan de cloud provider (om vendor lock-in te vermijden). 

Image Removed

Anti-DDoS:

• Web Application Firewall (WAF) - Bescherming tegen applicatielaag-aanvallen door verdacht en malafide verkeer te filteren.

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:

Data backup:

•  Backup van data op een andere fysieke locatie dan waar de data gehost zijn (cloud provider of private data center).