Versions Compared

Old Version 2

changes.mady.by.user Yentl Goossens

Saved on

compared with

New Version Current

changes.mady.by.user Yentl Goossens

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Vertrouwelijkheid

IC klasse 

Minimale maatregelen

Image ModifiedImage Modified

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering: 

  • Least privilege toepassen voor datastromen van en naar de IoT-zone; 

  • Logische scheiding met gebruikerszone; 

  • Indien DMZ aanwezig: proxy verplichten;

en

  • en 

  • Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver).  

Transportbeveiliging: 

  • Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet; 

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd;

en

  • en 

  • Versleutelde transportprotocollen voor write access vanuit gebruikerszone.

 

  •   

Inbraakpreventie:  

  • Filtering op basis van IP-adressen en protocollen. 

Antimalware:  

  • Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software. 

Content/URLfiltering:  

  • Whitelist op toepassing voor uitgaand datastromen naar internet. 

SSL-inspectie:  

  • IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints. 

Logging en monitoring:

  • Toegang van en naar

DMZ

  • netwerkzone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

  • Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

    • Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

    •  

    • Toegang van server-beheer en beheer netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar; 

    • Voor logging van toegangsbeheer: zie

    document ‘Vo informatieclassificatie – minimale maatregelen – PAM’‘Vo informatieclassificatie – minimale maatregelen – SIEM’
    ook document
    Image Modified

    Alle maatregelen van Klasse 1 / Klasse 2 +

    Netwerkzonering:

    • Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie

    document ‘Vo informatieclassificatie – minimale maatregelen – fysische maatregelen’

    Transportbeveiliging:  

    • Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone. 

    IDS:  

    • Aanwezig op alle datastromen van en naar IoT-zone. 

    Inbraakpreventie:  

    • IPS aanwezig op alle datastromen van en naar IoT-zone. 

    Content/URLfiltering:  

    • Inspectie op uitgaand datastromen. 

    Logging en monitoring: 

    • Event logging op alle netwerktoestellen;

    en

    • en 

    • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

    Image Modified

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3

    Transportbeveiliging:

    • Enkel gebruik van versleutelde protocollen van en naar de betrokken component

    Image Modified

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

    Netwerkzonering:  

    • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

    Transportbeveiliging:  

    • Voor transport buiten de zone toegang enkel toegestaan over VPN. 

    SSL-inspectie:  

    • Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is

    Integriteit

    IC klasse 

    Minimale maatregelen

    Image Removed
    Image AddedImage Modified

    Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

    Netwerkzonering: 

    • Least privilege toepassen voor datastromen van en naar de IoT-zone; 

    • Logische scheiding met gebruikerszone; 

    • Indien DMZ aanwezig: proxy verplichten;

    en

    • en 

    • Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver)

    Transportbeveiliging: 

    • Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet (integriteitsbewaking); 

    • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd (integriteitsbewaking);

    en

    • en 

    • Versleutelde transportprotocollen voor write access vanuit gebruikerszone (integriteitsbewaking)

    Inbraakpreventie:  

    • Filtering op basis van IP-adressen en protocollen. 

    Antimalware:  

    • Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software. 

    SSL-inspectie:  

    • IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints. 

    Logging en monitoring:

    • Toegang van en naar

    DMZ

    • netwerkzone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

  • Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

    • Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

    •  

    • Toegang van server-beheer en beheer netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar; 

    • Voor logging van toegangsbeheer: zie

    document ‘Vo informatieclassificatie – minimale maatregelen – PAM’
    ook document ‘Vo informatieclassificatie – minimale maatregelen – SIEM’. Vo informatieclassificatie – minimale maatregelen – fysische maatregelen’)
    Image Modified

    Alle maatregelen van Klasse 1 / Klasse 2 +

    Netwerkzonering:

    • Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie

    document ‘

    Transportbeveiliging:  

    • Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone (integriteitsbewaking). 

    IDS:  

    • Aanwezig op alle datastromen van en naar IoT-zone. 

    Inbraakpreventie:  

    • IPS aanwezig op alle datastromen van en naar IoT-zone. 

    Logging en monitoring: 

    • Event logging op alle netwerktoestellen;

    en

    • en 

    • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM

    Image Modified

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

    Transportbeveiliging:

    • Enkel gebruik van versleutelde protocollen van en naar de betrokken component (integriteitsbewaking)

    Image Modified

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

    Netwerkzonering:  

    • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

    Transportbeveiliging:  

    • Voor transport buiten de zone toegang enkel toegestaan over VPN (integriteitsbewaking). 

    SSL-inspectie:  

    • Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is

    Beschikbaarheid

    IC klasse 

    Minimale maatregelen

    Image ModifiedImage Modified

    Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

    Netwerkzonering:

    • Least privilege toepassen voor datastromen van en naar de IoT-zone; 

    • Logische scheiding met gebruikerszone; 

    • Indien DMZ aanwezig: proxy verplichten;

    en

    • en 

    • Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver).  

    Transportbeveiliging: 

    • Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet; 

    • Versleutelde transportprotocollen of

    VPN voor

    • VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd;

    en

    • en 

    • Versleutelde transportprotocollen voor write access vanuit gebruikerszone. 

    Inbraakpreventie:  

    • Filtering op basis van IP-adressen en protocollen. 

    Antimalware:  

    • Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software. 

    SSL-inspectie:  

    • IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL

    -

    • offloading of op de endpoints. 

    Logging en monitoring:

    • Toegang van en naar

    DMZ

    • netwerkzone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

  • Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

    • Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

    •  

    • Toegang van server-beheer en beheer netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar; 

    • Voor logging van toegangsbeheer: zie

    document ‘Vo informatieclassificatie – minimale maatregelen – PAM’‘Vo informatieclassificatie – minimale maatregelen – SIEM’.
    ook document

    High-availability:

    • Het voorzien van reserve-onderdelen en reservecomponenten volstaat

    Image Modified

    Alle maatregelen van Klasse 1 / Klasse 2 +

    Netwerkzonering:

    • Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie

    document ‘Vo informatieclassificatie – minimale maatregelen – fysische maatregelen’).

    IDS:  

    • Aanwezig op alle datastromen van en naar IoT-zone. 

    Inbraakpreventie:  

    • IPS aanwezig op alle datastromen van en naar IoT-zone. 

    Logging

    en monitoring:

    in het kader van beschikbaarheid:  

    • Event logging op alle netwerktoestellen;

    en

    • en 

    • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM

    High-availability:  

    • High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …).

     

    •   

    Image ModifiedImage Modified

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

    Netwerkzonering:

    • Segmentatie per component (d.m.v.

    )

    • bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).