Page Comparison

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering: 

• Er moet een logische scheiding zijn tussen de bezoekerszone en alle andere gedefinieerde netwerkzones, dit geldt ook voor draadloze netwerken (bvb bezoekerswifi);

• Om de netwerkintegriteit van kritieke systemen te beschermen, mogen deze systemen niet in de bezoekerszone geplaatst worden,

• Per locatie wordt een aparte bezoekers netwerkzone voorzien;

• Outbound web-datastromen worden ontsloten via proxyservers waarbij de proxy controleert een mitigerende component waarbij minimaal gecontroleerd wordt op juist protocolgebruik;

• Inbound datastromen zijn niet toegestaan;

• Any to any datastromen in de bezoekerszone zijn niet toegestaan.   

Datastroominspectie:  

• Datastromen tussen de bezoekerszone en publieke netwerken worden geleid via een NextGen firewall, die voldoet aan goede praktijken, zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

  • Beperken of blokkeren van bepaalde datastromen;

    • TLS inspectie van alle datastromen

      • Processen met de nodige acties ingeval van detecties

    • Gebruik van content- en reputatiefilters

  • Stateful inspection of gelijkwaardige technologie;

  • Werken vanuit default deny-principe;

  • Werken vanuit centraal opgestelde regels (ruleset);

• Rechtstreeks Rechtstreekse datastromen tussen de bezoekerszone en andere interne zones zijn niet toegestaan, deze moeten verlopen via publieke netwerken.

• IDS/IPS wordt actief ingezet voor monitoring (detectie, rapportering) van abnormaal gedrag op alle datastromen van en naar de gebruikerszone. Het is verplicht de IDS/IPS systemen to onboarden op het SIEM platform. 

•  Web- en emailfilters (inclusief controle op SPF en DKIM) moeten worden ingezet voor controle van web- en email verkeer.

• Alle datastromen van en naar de bezoekerszone worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

  • Optreden tegen alle aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Scanning van bijlagen;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day-aanvallen (heuristic scanning);

  • Genereren van alarmen naar de antimalware-beheerders. 

Draadloos netwerk:  

• Zo instellen dat SSID (Service Set Identifier) niet wordt uitgezonden;

• Wifi protected access toepassen: minstens WPA-2 met AES encryptie;

• Verbinding met onbekende of onbeveiligde gast draadloze netwerken enkel via VPN. 

Logging en monitoring:

• Toegang van en naar bezoekerszone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Toegang van server-beheer en beheer netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar;

• Voor logging van toegangsbeheer: zie document ‘Vo informatieclassificatie – minimale maatregelen – PAM’; enZie ook document ‘Vo informatieclassificatie – minimale maatregelen – SIEM' https://vlaamseoverheid.atlassian.net/wiki/x/BpIHpwE en

• Zie ook https://vlaamseoverheid.atlassian.net/wiki/x/VZAHpwE.

Klasse 3, Klasse 4 en Klasse 5 zijn niet toegestaan in de bezoekerszone.

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

High-availability:

• Het voorzien van reserve-onderdelen en reservecomponenten volstaat.

De bezoekerszone kent geen Klasse 3, Klasse 4 of Klasse 5.