Onder dit onderwerp vallen onderstaande Confluence-pagina's:
3.2.3.1. Categorisatie van maatregelen
3.2.3.2. Patching en hardening als maatregel
3.2.3.3. Interne controles op kwetsbaarheden als maatregel
3.2.3.4. Inbraakpreventie als maatregel
3.2.3.5. Host-based intrusion detection als maatregel
3.2.3.6. Host-based versus network-based
3.2.3.7. Antimalware als maatregel
3.2.3.8. Logging als maatregel
3.2.3.9. High-availability als maatregelDe minimale maatregelen voor netwerken hebben enkel betrekking op de netwerkcomponenten. We onderscheiden:
- Passieve componenten: deze componenten hebben geen elektrische stroom nodig om te kunnen functioneren, voorbeelden zijn een netwerkkabel, connector of patch-panelen;
- Actieve componenten: deze netwerkcomponenten kunnen enkel werken als ze voorzien zijn van elektrische stroom (aan het net geschakeld of via een batterij), voorbeelden zijn switches, routers, hubs, repeaters.
- Intelligente actieve componenten: dit zijn alle componenten met ingebouwde rekencapaciteit, een processor zeg maar, waardoor ze geprogrammeerd kunnen worden om bepaalde taken uit te voeren. Deze categorie omvat de meeste hedendaagse netwerkcomponenten.
- Niet-intelligente actieve componenten: deze componenten hebben geen processor en dus geen interne rekencapaciteit, voorbeelden zijn (niet-intelligente) hubs en repeaters.
- Intelligente actieve componenten waarop een security policy wordt afgedwongen: deze componenten nemen acties op basis van een security policy, een set paramaters, vaak aangestuurd door een centrale policy server die bepaalt hoe de component handelt, voorbeelden zijnfirewalls,antimalware.
- Componenten voor beheerstaken: dit zijn componenten, vaak geïnstalleerd op servers van waaruit centraal een aantal netwerk toestellen worden beheerd. Dit houdt taken in zoals configureren, uitvoeren van wijzigingen, opstellen en verspreiden van policies, beheren van loginformatie, installeren vanpatchesen nieuwe versies, enz.
De minimale maatregelen in volgende hoofdstukken gelden dus enkel voor deze netwerkcomponenten, en niet voor de andere apparatuur die deel uitmaakt van een netwerk (gebruikersapparatuur zoals desktops en laptops, servers met zakelijke en andere toepassingen, enz.), behalve wanneer het gaat over de plaatsing van deze apparatuur in het netwerk of wanneer dit uitdrukkelijk is vermeld.
We onderscheiden publieke en niet-publieke netwerken:
- Publieke netwerken:deze netwerken bevatten datastromen die niet onder het beleid van de organisatie vallen. Voorbeelden zijn het internet, publieke cloud-netwerken, partner-netwerken. Het beheer van zulke netwerken kan eventueel uitbesteed worden; en
- Niet-publieke netwerken:deze netwerken vallen volledig onder het beleid van de organisatie, en enkel datastromen conform dit beleid zijn toegelaten. De organisatie is dan ook verantwoordelijk en aansprakelijk voor deze netwerken.
Deze Confluencepagina's beschrijven enkel de maatregel voor netwerk, ICT-systemen en gebruikersapparatuur zitten niet in de scope van deze pagina's.
Classificatie netwerkcomponenten
Onafhankelijk van de classificatie van de informatie die doorheen de netwerkcomponent getransporteerd wordt, kunnen de componenten zelf ook in een klasse onderverdeeld worden:
Netwerkcomponent | Voorbeelden | ||
|---|---|---|---|
| Passieve componenten | Netwerkkabel, connector, patch-panelen | 1 | 1 |
| Niet-intelligente actieve componenten | Hub, repeater | 1 | 1 |
| Intelligente actieve componenten in eenzelfde zone | Switches en routers zonder policies of rapportering Switches of routers in IoT of bezoekersnetwerk | 1 | 2 |
| Intelligente actieve componenten die voor connectiviteit zorgen tussen verschillende zones | 3 | 3 | |
| Intelligente actieve componenten waarop een security policy wordt afgedwongen | Firewall,IPS, antimalware | 3 | 3 |
| Componenten metSSL-inspectie/ SSL- offloading | 4 | 4 | |
| Componenten voor beheerstaken | 3 | 4 | |
| Hypervisor | Virtuele machines | 4 | 4 |
Uiteraard moet ook nog de classificatie van de informatie die over de netwerkcomponent gaat, in rekening gebracht worden. De hoogste klasse is dan ook bepalend: indien informatie van klasse 3 over een netwerkcomponent van klasse 1 gaat, zal de netwerkcomponent automatisch ook tot klasse 3 gerekend worden.