Page Comparison

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden;

• Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ;

• Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken;

• Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst;

• Least privilege wordt toegepast voor datastromen van en naar de DMZ; en

• DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook 6.1. Minimale maatregelen - Fysische maatregelen https://vlaamseoverheid.atlassian.net/wiki/x/HZcHpwE ).

Toegangscontrole

• Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie 5.1. Minimale maatregelen - Identity en Access Management (IAM) https://vlaamseoverheid.atlassian.net/wiki/x/PY8HpwE )

  • Toegang gebaseerd op geografische situering afhankelijk van risico beoordeling

  • Enkel toegang tot data via applicaties toegestaan.

Transportbeveiliging:

• Versleutelde transportprotocollen (bv. https, sftp) voor alle informatiestromen

• Gebruikte transportprotocollen moeten in het huidige encryptielandschap als veilig beschouwd worden. Zie pagina 3.1. Minimale maatregelen - Cryptografie 3.0

• Sleutelbeheer van de transport certificaten altijd binnen de eigen organisatie of bij een trusted partner.

Datastroominspectie:

• Datastromen tussen DMZ en publieke netwerken worden geleid via een next gen firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

  • Filteren op basis van type datastromen;

  • Beperken of blokkeren van bepaalde datastromen;

    • TLS inspectie van alle datastromen met data loss prevention (DLP)

      • Processen met de ndoige acties ingeval van detecties

    • Whitelist op serverniveau voor uitgaande datastromen.

    • Gebruik van content- en reputatiefilters

  • Stateful inspection of gelijkwaardige technologie;

  • Werken vanuit default deny-principe;

  • Werken vanuit centraal opgestelde regels (ruleset); en

  • IDS/IPS wordt ingezet op alle datastromen van en naar de DMZ voor monitoring (detectie, rapportering) van abnormaal gedrag.

  • Web- en emailfilters (inclusief controle op SPF en DKIM) moeten worden ingezet voor controle van web- en email verkeer. 

• Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

  • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Scanning van bijlagen;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day-aanvallen; en

  • Genereren van alarmen naar de antimalware-beheerders.

Draadloos netwerk: 

• Zo instellen dat SSID (Service Set Identifier) niet wordt uitgezonden; 

• Wifi protected access toepassen: minstens WPA-2 met AES encryptie; 

• Verbinding met onbekende of onbeveiligde gast draadloze netwerken niet toegestaan. 

 Logging en monitoring:

• Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

• Toegang van serverbeheer en beheer van netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar

• Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

• Ingeval van hosting bij externe bedrijven: auditeerbaarheid en logging contractueel afdwingenAlle data geanalyseerd indien aanwezig via een SIEM oplossing

• Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM) https://vlaamseoverheid.atlassian.net/wiki/x/BpIHpwE ;

• Zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM) https://vlaamseoverheid.atlassian.net/wiki/x/VZAHpwE .

Beheer:

• Versleutelde transportprotocollen of VPN moeten worden toegepast voor beheerstaken

• Gevalideerd proces noodzakelijk voor machine naar machine connecties

• In geval van hosting bij externe bedrijven: exit proces of procedure contractueel opnemen)

Klasse 3, en Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• DMZ zones moeten binnen de EU gelokaliseerd zijn.

Toegangscontrole:

• Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie 5.1. Minimale maatregelen - Identity en Access Management (IAM) https://vlaamseoverheid.atlassian.net/wiki/x/PY8HpwE).

• Toegang gebaseerd op sterke gebruikersauthenticatie (multi factor authenticatie)

Datastroominspectie:

• TLS inspectie van alle datastromen met Data Loss Prevention maatregelen.

Logging en monitoring:

• Event logging wordt opgezet voor alle netwerktoestellen.

Beheer:

• Out-of-Band opzetten voor beheerstaken.

PAS TOE OF LEG UIT

en Klasse 5 kent volgende maatregelen:

Klasse 1 / Klasse 2 / Klasse 3 / Klasse 4 +

Datastroominspectie:  

• Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is. 

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

High-availability:

• Het voorzien van reserve-onderdelen en reservecomponenten volstaat.

Anti-DDoS:

• Rate limiting: beperken van het aantal verzoeken dat een gebruiker kan doen binnen een bepaalde tijd om overbelasting te voorkomen. 

Alle maatregelen van Klasse 1 / Klasse 2 +

High-availability:

• High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …).

Anti DDos:

• Web Application Firewall (WAF) - bescherming tegen applicatielaag-aanvallen door verdacht en malafide verkeer te filteren.

PAS TOE OF LEG UIT

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Data backup:

• Back-up van data op een andere fysieke locatie dan waar de data gehost zijn (cloud provider of private data center).