Versions Compared

Version Old Version 1 New Version Current
Changes made by

Kenzo Vertenten (VO)

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

Vertrouwelijkheid

...

IC klasse

...

Minimale maatregelen

...

...

  • Versleuteling vindt plaats conform Common practices, crypto-algoritmes en protocollen: open standaarden.

  • DIM
    Terminatie op de perimeter van het beveiligde netwerk; en

    • Technische standaard:
      TLS-protocol: forward secrecy verplicht indien technisch mogelijk.

  • DIU

  • Mitigerende maatregelen na risicoanalyse.

...

...

Alle maatregelen van Klasse 1 +

  • DAR

    • Encryptie niet verplicht. Afscherming op niveau van organisatie d.m.v. fysieke en/of logische toegangsmaatregelen. 

...

...

Alle maatregelen van Klasse 1 + Klasse 2 +

  • DAR

    • In een beschermde omgeving (d.w.z. een omgeving waar het veiligheidsbeheer onder Vo-controle is of de genomen maatregelen gekend zijn en als afdoende geacht worden door de Vo): afscherming op niveau functionele behoefte d.m.v. fysieke afscherming, logische toegangsbeveiliging. Enkel encryptie na risicoanalyse; en

    • In een onbeschermde omgeving (fysieke en logische toegangsmaatregelen niet afdoende en/of beveiligingsbeheer niet onder Vo-controle): encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, back-up, ...

  • DIM

    • Veilige export buiten de toepassing (application layer, database, ...): fysieke beveiliging, logische toegangsbeveiliging (incl. interapp/intralayer transport);

    • Veilige export buiten de organisatie (Veiligheidsbeheer niet onder controle
      van de Vo): encryptie op niveau transport indien netwerk niet beschermd is
      en terminatie op niveau vertrouwde infrastructuur (bv. in DMZ); en

    • Technische standaard:

    • Transport (TLS) protocol (system-to-system): wederzijdse authenticatie (2-way TLS);

    • Transport (TLS) protocol (client-server): wederzijdse authenticatie;

      • 2-way TLS of;

      • 1-way TLS + eIDAS substantiële authenticatie

    • Certificaten en sleutels implementatiecriteria

      • Controle op gebruik sterke versleuteling verplicht; en

      • Implementatie CAA en DNSSEC op DNS CAA-records. 

...

...

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +

  • DAR

    • Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, backup, ...

  • DIM

    • Transport context-onafhankelijk (zowel binnen als buiten de organisatie); en

    • Technische standaard:

      • Gebruik van recentste versie TLS en forward secrecy verplicht

...

...

  • DIM

    • Encryptie op zowel berichtniveau als transportniveau (tunnel)

Integriteit

...

IC klasse

...

Minimale maatregelen

...

...

  • Versleuteling vindt plaats conform Common practices, crypto-algoritmes en protocollen: open standaarden.

    • DIM

      • Terminatie op de perimeter van het beveiligde netwerk; en

      • Technische standaard:

        • TLS-protocol: forward secrecy verplicht indien technisch mogelijk.

    • DIU

      • Mitigerende maatregelen na risicoanalyse.

...

...

Alle maatregelen van Klasse 1 +

  • DAR

    • Encryptie niet verplicht. Afscherming op niveau van organisatie d.m.v.fysieke en/of logische toegangsmaatregelen. 

...

Alle maatregelen van Klasse 1 + Klasse 2 +

DAR

...

In een beschermde omgeving (d.w.z. een omgeving waar het veiligheidsbeheer onder Vo-controle is of de genomen maatregelen gekend zijn en als afdoende geacht worden door de Vo): afscherming op niveau functionele behoefte d.m.v. fysieke afscherming, logische toegangsbeveiliging. Enkel encryptie na risicoanalyse; en

...

Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

3.1.1.1.1. Minimale algemene maatregelen

Vertrouwelijkheid & Integriteit (kennen dezelfde maatregelen)

IC klasse

Minimale maatregelen

PAS TOE

Image AddedImage AddedImage AddedImage AddedImage AddedImage Added

  • Versleuteling vindt plaats conform Common practices, crypto-algoritmes en protocollen: open standaarden.

  • Encryptie van DIM en DAR is verplicht 

  • Controle op gebruik sterke versleutelingis verplicht 

  • DAR 

    • Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, back-up

, ...

DIM

Veilige export buiten de toepassing (application layer, database, ...): fysieke beveiliging

    • ,

logische toegangsbeveiliging (incl. interapp/ intralayer transport);Veilige export buiten de organisatie (Veiligheidsbeheer niet onder controle van de Vo): encryptie op niveau transport indien netwerk niet beschermd is en terminatie op niveau vertrouwde infrastructuur (bv. in DMZ)

  • DIM
    Terminatie op de perimeter van het beveiligde netwerk; en

    • Technische standaard:
      TLS-protocol: recentste versie met forward secrecy verplicht indien technisch mogelijk.

    • Transport (TLS) protocol (system-to-system): wederzijdse authenticatie (2-wayTLS); 

    • Transport (TLS) protocol (client-server): wederzijdse authenticatie; 

      • 2-wayTLS of; 

      • 1-wayTLS + eIDAS substantiële authenticatie

Certificaten en sleutels implementatiecriteria

Controle op gebruik sterke versleuteling verplicht; en

    • Certificaten en sleutels implementatiecriteria 

      • Implementatie CAA en DNSSEC op DNS CAA-records

Image Removed

    • encryptie op niveau transport en terminatie op niveau vertrouwde infrastructuur (bv. in DMZ); 

  • DIU

    • Zolang er geen werkbare homomorfe oplossing beschikbaar is, worden hiervoor geen algemene maatregelen gedefinieerd 

    • Mitigerende maatregelen na risicoanalyse.

PAS TOE OF LEG UIT

Image AddedImage Added

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +

DAR

Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, backup, ...

  • DIM

    • Transport context-onafhankelijk (zowel binnen als buiten de organisatie); en

Image Removed
Image AddedImage Added

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +Klasse 4 +

  • DIM

    • Encryptie op zowel berichtniveau als transportniveau (tunnel)

Beschikbaarheid

IC klasse

Minimale maatregelen

PAS TOE

Klasse 1 + Klasse 2 kennen dezelfde maatregelen:

  • Reserve-onderdelen en -componenten voorzien

PAS TOE OF LEG UIT

Klasse 3 + Klasse 4 + klasse 5 kennen dezelfde maatregelen: 

Alle maatregelen van  Klasse 1 + Klasse 2 +

3.1.1.1.2. Minimale specifieke (GDPR) maatregelen

Vertrouwelijkheid

IC klasse

Minimale maatregelen

PAS TOE

Image Removed

Er zijn geen GDPR-maatregelen voor klasse 1 en klasse 2.

Klasse 3 en Klasse 4 kennen dezelfde maatregelen:  

  • DAR 

    • Advies VTC 02/2018 d.d. 18 april 2018 

      • Encryptie toepassen bij centrale opslag (datacenter) in een beschermde omgeving (d.w.z. omgeving waar het veiligheidsbeheer onder Vo-controle is of de genomen maatregelen gekend zijn en als afdoende geacht worden door de Vo): afscherming op niveau functionele behoefte d.m.v. fysieke afscherming, logische toegangsbeveiliging; en 

      • In een onbeschermde omgeving (fysieke en logische toegangsmaatregelen niet afdoende en/of beveiligingsbeheer niet onder Vo-controle): Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, back-up, ... 

  • DIM 

    • Tunnel- of berichtencryptie 

Er zijn geen GDPR-maatregelen voor klasse 5. 

Integriteit

IC klasse

Minimale maatregelen

PAS TOE

Image Removed

Er zijn geen GDPR-maatregelen voor klasse 1 en klasse 2.

Klasse 3 en Klasse 4 kennen dezelfde maatregelen:  

  • DAR 

    • Advies VTC 02/2018 d.d. 18 april 2018 

      • Encryptie toepassen bij centrale opslag (datacenter) in een beschermde omgeving (d.w.z. omgeving waar het veiligheidsbeheer onder Vo-controle is of de genomen maatregelen gekend zijn en als afdoende geacht worden door de Vo): afscherming op niveau functionele behoefte d.m.v. fysieke afscherming, logische toegangsbeveiliging; en 

      • In een onbeschermde omgeving (fysieke en logische toegangsmaatregelen niet afdoende en/of beveiligingsbeheer niet onder Vo-controle): Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, back-up, ... 

  • DIM 

    • Tunnel- of bericht encryptie

Er zijn geen GDPR-maatregelen voor klasse 5. 

Beschikbaarheid

Er zijn geen specifieke GDPR-maatregelen voor beschikbaarheid.

3.1.1.1.3. Minimale specifieke (

...

NIS2) maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelenNIS2 is een Europese richtlijn  bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.

 Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).

3.1.1.4. Minimale specifieke (KSZ) maatregelen

De minimale algemene maatregelen voor sleutelbeheer moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk ‘minimale algemene maatregelen’). 

...

IC klasse

Minimale maatregelen

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: 

  • De organisatie dient een formeel beleid voor het gebruik van cryptografische controles op te zetten, te valideren, te communiceren en te onderhouden. Hierbij moet ze gebruik maken van de ‘Richtlijnen rond het gebruik van cryptografische controles’ zoals opgesomd in de bijlage C van de beleidslijn ‘vercijferen’ (Ref. KSZ 5.7.1).

  • KSZ Bijlage C “Richtlijnen rond het gebruik van cryptografische controles”:

    • Maatregelen moeten bepaald worden op basis van een duidelijke formele risico-analyse waarbij antwoord wordt gegeven op de volgende vragen:

      • Hoe wordt omgegaan met data die opgeslagen wordt op verwijderbare media?

      • Waar wordt data opgeslagen of verwerkt?

      • Hoe wordt de Cryptografische vertrouwelijkheid, integriteit of authenticiteit van de data gewaarborgd?

      • Hoe wordt de onweerlegbaarheid van een activiteit gewaarborgd?

    • Wanneer cryptografie vereist is, moet steeds zo sterk mogelijke cryptografische maatregel gebruikt worden.

    • De organisatie moet een overzicht bijgehouden waarin terug te vinden is waar cryptografische maatregelen worden toegepast, welke cryptografische maatregelen worden toegepast en wie hiervoor verantwoordelijk is.

    • De gebruikte cryptografische maatregelen moeten door onafhankelijke betrouwbare deskundige getoetst worden.

    • De ICT veiligheids-verantwoordelijke moet bepalen welke cryptografische maatregelen in welke gevallen toegepast moeten worden, gelet op de huidige goede praktijken.

    • De toepassing en gepastheid van cryptografische oplossingen en maatregelen moet periodiek beoordeeld worden.

    • Versleutelde data van derden die binnenkomen op het netwerk van de organisatie moeten eerst gedecrypteerd worden om gescand te worden op virussen en andere malware.

...