Versions Compared

Version Old Version 1 New Version Current
Changes made by

Kenzo Vertenten (VO)

Tom De Cubber

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Aanpassingen ICR3 - update links - toevoeging Warning Banner
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

5.4.3.1. Het onderscheid tussen IAM en PAM

n een operationele context is het essentieel om Identity and Access Management (IAM) en Privileged Access Management (PAM) te scheiden om de veiligheid en efficiëntie van onze IT-systemen te waarborgen.  

  • IAM (Identity and Access Management): Richt zich op de identificatie en toegangscontrole van alle gebruikers, inclusief persoonlijke accounts. Het doel is om toegang te geven op basis van de minimale rechten die nodig zijn voor dagelijkse taken. 

  • PAM (Privileged Access Management): Beheert geprivilegieerde accounts die toegang hebben tot kritieke systemen. PAM biedt extra beveiligingsmaatregelen zoals sessiemonitoring, opname en gedetailleerde toegangslogs. Dit is essentieel voor compliance, zoals NIS2. 

 Unieke identificatie 

Een vereiste vanuit NIS2 is het gebruik van unieke identificatoren voor elke gebruiker, elk apparaat en elk proces om volledige traceerbaarheid te garanderen. 

5.4.3.2. Gebruik van de maatregelen in operationele context

We onderscheiden drie implementatieniveaus van de minimale maatregel PAM. Elk van deze niveaus laat de gebruiker toe om zowel de functionele behoeften bij de beheersactiviteiten in te vullen én als tegemoet te komen aan de informatieverwerkingseisen die we terugvinden in de implementatiecriteria.

Het laagste niveau van implementatie van de PAM maatregel bevat:

...

Toegangsbeheer

...

Laag niveau

In dit niveau kan, bij niet-afname van de bouwsteen PAMaaS, het PAM-proces

...

Dit is een minimale voorwaarde om toegang te verlenen tot het PAM-proces

...

Sterke authenticatie laat toe om de identiteit achter alle operationele activiteiten te controleren

volledig manueel verlopen. 

  • Toegangsbeheer 

    • Elke toegang is geautoriseerd door de toegangsbeheerder en minstens jaarlijks valideert de toepassingseigenaar de

    toegangsrechten.

    • toegangsrechten 

    • Er is een permanente, gemonitorde toegang tot het target account waarmee de privileged toegangen worden

    verworven

    • verworven 

  • Change, configuratie en release management 

    • Motivatie van de gebruiker om toegang te krijgen tot het target is niet

    verplicht.

    • verplicht 

    • Er is geen verplichte integratie van change

    managementinformatie

    • managementinformatie 

  • Auditeerbaarheid is gebaseerd  

    • Gebaseerd op documentatie en

    punctuele

    • ad hoc audits van zowel de operationele processen als de informatie verwerkende configuraties (Basis ISO27001/-2 dekt de generieke verwerkingscontext af) 

  • Toepassingsgebied 

    • Dit toepassingsniveau is geschikt voor beheer van componenten die algemene informatie verwerk tot en met

    [

    • Informatieklasse 3

    ]

    • en dit voor zowel Vertrouwelijkheid als Integriteit. 

    • Dit toepassingsniveau is niet

    geschikt

    • geschikt voor de verwerking van

    persoonsgegevens

In dit niveau kan, bij niet-afname van de bouwsteen PAMaaS, het PAM-proces volledig manueel verlopen.

Het middelste niveau van implementatie van de PAM maatregel bevat:

  • Toegangsbeheer

  • Sterke identificatie

    • persoonsgegevens 

Middel niveau

Vanaf dit niveau is een automatische invulling van PAM verplicht. Het afnemen van PAMaaS is echter niet verplicht – entiteiten kunnen dit ook zelf invullen. 

  • Toegangsbeheer 

    • Sterke identificatie en authenticatie van de gebruiker van het PAM-

    proces

  • Dit is een minimale voorwaarde om toegang te verlenen tot het PAM-proces

  • Sterke authenticatie laat toe om de identiteit achter alle operationele activiteiten te controleren

    • proces 

      • Ook voor identificatie en authenticatie van geprivilegieerde systeemaccounts voor communicatie tussen systemen onderling dient MFA toegepast te worden 

    • Elke toegang is geautoriseerd door de toegangsbeheerder en minstens jaarlijks valideert de toepassingseigenaar de

    toegangsrechten

    • toegangsrechten 

    • Er is een permanente gemonitorde en gemotiveerde toegang tot het target account waarmee de privileged toegangen worden

    verworven

    • verworven 

    • Alle activiteiten tijdens de uitvoering van de privileged toegang worden

    geregistreerd.

    • geregistreerd 

      • Session recording, ook manueel, maakt dat de activiteiten in real-time en uitgesteld kunnen bekeken worden. 

      • Bij connectie naar endpointdevice of werkplek is een notificatie en expliciete toestemming van de eindgebruiker verplicht 

      • Automatisch beëindigen van sessie op afstand is geïmplementeerd vanaf informatie [Klasse 3] en dit voor zowel Vertrouwelijkheid als Integriteit. 

  • Change, configuratie en release management 

    • Er gebeurt een verplichte

    validatie

    • validatie van de motivatie van de gebruiker. 

    • Er is geen dubbele controle van de toegang op voorhand noodzakelijk. Periodieke controle gebeurt ‘post-mortem’ op basis van correlatie van logs die voortkomen uit de processen Change en Release Management en de logs van PAM

    zelf 

    • zelf. 

      • Als je de veiligheidsbouwsteen PAMaaS afneemt, is dit een standaard rapportage.

...

  • Auditeerbaarheid is gebaseerd op volgende risicorapportering 

      •  

  • Auditeerbaarheid  

    • Periodieke risico rapportering dekt zowel de operationele processen als de informatie verwerkende configuratie 

      • Procescontrole: werd elke toegang correct afgedekt door een geregistreerde activiteit (change) 

      • Pre-approved changes en operationele activiteiten (Changes) met een maximale duurtijd tot één jaar zijn toegestaan voor operationele

      teams

    Periodieke risicorapportering dekt zowel de operationele processen als de informatie verwerkende configuratie

      • teams 

    • Alle activiteiten van de gebruiker van het PAM-proces worden geregistreerd. Dit is de implementatie van het controleprincipe op basis van manueel logboek registratie of geautomatiseerde session recording in combinatie met de log informatie

  • Toepassingsgebied 

    • Dit toepassingsniveau is geschikt voor beheer van componenten die algemene informatie verwerk tot en met [Informatieklasse 4] en dit voor zowel Vertrouwelijkheid als Integriteit. 

    • Dit toepassingsniveau isgeschikt bij de verwerking van persoonsgegevens tot en met [Informatieklasse 3] en dit enkel voor

    Vertrouwelijkheid

In dit niveau is een automatische invulling van PAM verplicht. Het afnemen van PAMaaS is echter niet verplicht – entiteiten kunnen dit ook zelf invullen.   

Het hoogste niveau van implementatie van de PAM maatregel bevat:

  • Toegangsbeheer

  • Sterke identificatie

    • Vertrouwelijkheid 

Hoog niveau

  • Toegangsbeheer 

    • Sterke identificatie en authenticatie van de gebruiker van het PAM-

    proces

  • Dit is een minimale voorwaarde om toegang te verlenen tot het PAM-proces

  • Sterke authenticatie laat toe om de identiteit achter alle operationele activiteiten te controleren

    • proces 

      • Sterke authenticatie voor communicatie tussen systemen via TLS certificaten is verplicht. 

    • Elke toegang is geautoriseerd via toegangsbeheer op basis van functionele noodzaak. Denk hierbij aan een interventie in kader van een incident. 

    • Er is geen permanente toegang tot het account met privileged toegangen binnen de

    informatieverwerking

    • informatieverwerking 

    • Er is een permanente gemonitorde en gemotiveerde toegang tot het target account waarmee de privileged toegangen worden

    verworven

    • verworven 

    • Alle activiteiten tijdens de uitvoering van de privileged toegang worden

    geregistreerd

    • geregistreerd 

      • Session recording, ook manueel, maakt dat de activiteiten in realtime en uitgesteld kunnen bekeken worden

      • Bij connectie naar endpointdevice of werkplek is een notificatie en expliciete toestemming van de eindgebruiker verplicht 

      • Automatisch beëindigen van sessie op afstand is geïmplementeerd vanaf informatie [Klasse 3] en dit voor zowel Vertrouwelijkheid als Integriteit. 

  • Change, configuratie en release management 

    • Er gebeurt een verplichte validatie van de motivatie van de gebruiker. 

    • Er is een dubbele controle voorzien op de aangeleverde motivatie vooraleer toestemming kan gegeven worden voor de toegang. 

    • De periodieke controle gebeurt net als bij de medium implementatie van het PAM-proces

    ‘postmortem’

    • ‘post-mortem’ op basis van logs die voortkomen uit de processen Change en Release Management en de logs van PAM zelf

    Auditeerbaarheid is gebaseerd op volgende risicorapportering

  • Auditeerbaarheid  

    • Periodieke risico rapportering dekt zowel de operationele processen als de informatie verwerkende configuratie 

      • Procescontrole: werd elke toegang correct afgedekt door een geregistreerde activiteit (change) 

      • Pre-approved changes en operationele activiteiten (Changes) zijn beperkt tot de reële functionele duurtijd van de

    activiteitenPeriodieke risicorapportering dekt zowel de operationele processen als de informatie verwerkende configuratie

      • activiteiten 

    • Alle activiteiten van de gebruiker van het PAM-proces worden geregistreerd. 

      • Dit is de implementatie van het 4EYES principe op basis van manueel logboek registratie of geautomatiseerde session recording in combinatie met de log

    informatie

      • informatie 

  • Toepassingsgebied 

    • Dit toepassingsniveau is geschikt voor beheer van alle componenten in de informatie verwerken, en dit dus vanzelfsprekend voor zowel Vertrouwelijkheid als

    Integriteit

    • Integriteit 

5.4.3.

...

3. Rapportering in functie PAM  

Proces anomalieën

Proces anomalieën worden opgespoord op basis van de correlaties van informatie uit verschillende processen of hun ondersteunende technische platformen in real-time via SIEM

  • Doel :

    • Operationele toegang tot informatieverwerking infrastructuur verantwoorden door gebruik te maken van de change managementprocessen 

    • Niet geautoriseerde toegangen opsporen en corrigerende maatregelen initiëren 

  • Input:

    • Change log (Bron: Wijzigingsbeheer)

    • PAM log (Bron: Operationeel beheer informatieverwerking)

  • Output:

    • Niet-gemotiveerde toegangen op basis van het ontbreken van een change record

    • Niet-gemotiveerde toegangen op basis van een ongeldig change record

    • Toegang buiten het gevalideerde change venster (tijdframe)

    • Toegang op basis van een niet gevalideerde change.

    • Tijd van toestemming wordt gebruikt om antidatering te detecteren.

  • Doel:

    • Operationele toegang tot informatieverwerking infrastructuur verantwoorden door gebruik te maken van de change managementprocessen

    • Niet geautoriseerde toegangen opsporen en corrigerende maatregelen initiëren

Configuratie anomalieën

Configuratie anomalieën worden opgespoord op basis van de correlaties van informatie uit het PAM proces en de technische log uit de informatieverwerkingscomponenten

  • Doel :

    • Efficiëntie van het PAM proces aantonen door het actief opsporen van achterdeur toegangen 

    • Niet geautoriseerde toegangen opsporen en corrigerende maatregelen initiëren 

  • Input:

    • PAM log (Bron: Operationeel beheer informatieverwerking)

    • Target log (Bron: Configuratie beheer van de technische component; Voorbeeld: security log host, middleware of toepassing)

  • Output:

    • Identificatie van toegangen tot de informatieverwerking die buiten het PAM proces verlopen

     Doel:

    • Efficiëntie van het PAM proces aantonen door het actief opsporen van achterdeur toegangen

    • Niet geautoriseerde toegangen opsporen en corrigerende maatregelen initiëren