Excerpt | ||
---|---|---|
| ||
Infrastructuurbeveiliging omvat richtlijnen met betrekking tot de bescherming van de verschillende infrastructuurcomponenten zoals het netwerk, servers en storage. |
Het beleid voor infrastructuurbeveiliging omvat richtlijnen en procedures die de organisatie volgt om infrastructuurcomponenten, zoals netwerken, servers en opslagsystemen, adequaat te beveiligen. Het doel van dit beleid is het waarborgen van de integriteit, beschikbaarheid en vertrouwelijkheid van deze componenten. Dit omvat het beschermen tegen ongeautoriseerde toegang, cyberaanvallen, en andere potentiële bedreigingen die de stabiliteit en veiligheid van de organisatie kunnen ondermijnen.
DOELSTELLINGENHet beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:
|
DREIGINGENHet beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:
|
Wat valt binnen het domein van infrastructuur
Onder infrastructuur worden de volgende componenten en systemen verstaan:
Hardware verwijst naar fysieke onderdelen die de kern van de IT-infrastructuur vormen. Hiertoe behoren mainframe computers, servers, opslagmedia en allerlei randapparatuur.
Software verwijst naar de programma's en besturingssystemen die op de fysieke onderdelen draaien om deze te beheren en diensten leveren. Hiertoe behoren eveneens virtuele hardware componenten.
Netwerk componenten omvatten de fysieke componenten die communicatie en gegevensuitwisseling tussen apparaten en gebruikers binnen een netwerk mogelijk maken. Netwerkapparatuur omvat routers, schakelaars, hubs, repeaters, gateways, bridges en modems.
Faciliteiten zijn de fysieke en virtuele omgevingen waarin de apparatuur en netwerkcomponenten zijn ondergebracht. Hiertoe behoren datacenters en ook stroomtoevoer, koeling en communicatie voor licht, stroom voor computers en telefoons en koeling om apparatuur koel te houden en mensen een comfortabele omgeving te bieden.
Tijd en klokvoorzieningen als facilitair systeem om een consistente synchronisatie te waarborgen.
Info |
---|
Infrastructuur staat vaak niet meer op locatie maar is vervangen door cloud infrastructuur. Hiervoor is het beleid vastgelegd in Cloudbeveiliging. |
Administratie van infrastructuur assets
panelImplementatiemaatregel
Veranderingen (dus in ieder geval ook het toevoegen) van infrastructuur componenten MOETEN geregistreerd worden conform IT Service management.
|
---|
panelIconId | 9e6f15e6-c999-4552-9c6b-2582a2016b24 |
---|---|
panelIcon | :icon_beleidslijnen: |
panelIconText | :icon_beleidslijnen: |
bgColor | #F4F5F7 |
|
---|
Beveiliging van back-up van informatie
panelImplementatiemaatregel
Het implementeren van back-up faciliteiten MOET gebaseerd zijn op de continuïteitseisen van de organisatie zoals gedefinieerd in het ICT-continuïteit beleid.
|
---|
panelIconId | 9e6f15e6-c999-4552-9c6b-2582a2016b24 |
---|---|
panelIcon | :icon_beleidslijnen: |
panelIconText | :icon_beleidslijnen: |
bgColor | #F4F5F7 |
|
---|
Het beveiligen van back-up-voorzieningen en -media richt zich er op om gegevens te herstellen op een betrouwbare manier. Dit wordt bereikt door back-upvoorzieningen op een niveau te beveiligen dat overeenkomt met hun classificatie, zodat ze een betrouwbare bron van herstelgegevens vormen.
Onder back-up voorzieningen verstaan we systemen, procedures en andere middelen die gebruikt worden om regelmatig kopieën of duplicaten van gegevens, bestanden, programma's of andere essentiële informatie te maken en op te slaan. Dat kan handmatig, maar bij voorkeur geautomatiseerd. Het primaire doel van een back-up voorziening is om een herstelpunt te creëren waarmee gegevens kunnen worden hersteld in het geval van gegevensverlies, corruptie, onopzettelijke verwijdering, systeemstoringen, rampen of andere onvoorziene gebeurtenissen.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET een dreigings- en risicoanalyse uitvoeren om de beveiligingsmaatregelen voor back-upvoorzieningen en -media vast te stellen die in verhouding staan tot de waarde en de gevoeligheid van de informatie en de informatiesystemen. |
Onder de te overwegen beveiligingsmaatregelen verstaan we in ieder geval:
Het gebruik van encryptie om de geback-upte informatie te beschermen.
Het gebruik van digitale handtekeningen om de integriteit van de informatie te beschermen.
Fysieke en omgevingsbeveiliging.
Toegangsmaatregelen.
Methoden van doorvoer naar en van externe locaties (bijv. door geautoriseerde koeriers, door versleutelde elektronische overdracht).
Opslag van media volgens de aanbevelingen van de fabrikant voor opslagomstandigheden en maximale houdbaarheid.
Externe opslag van back-upmedia op voldoende afstand om te ontsnappen aan eventuele schade door een ramp op de hoofdlocatie.
Beveiliging van netwerkdiensten
Onder netwerkdiensten worden de volgende elementen verstaan binnen de organisatie:
Netwerkbeheer en onderhoud: Het uitvoeren van regelmatig onderhoud aan netwerkapparatuur, zoals routers en switches, en het toepassen van beveiligingsupdates om bekende kwetsbaarheden te verminderen.
Toegangscontrole: Implementatie van strikte toegangscontrolemechanismen om ongeautoriseerde toegang tot netwerkbronnen te voorkomen. Dit omvat het beheren van gebruikersrechten en privileges.
Netwerkmonitoring: Continue monitoring van netwerkactiviteiten om verdachte patronen of afwijkingen te identificeren. Hierbij maken we gebruik van geavanceerde tools om real-time inzicht te verkrijgen en proactief te reageren op potentiële bedreigingen.
Beheer van fysieke infrastructuur: Regelmatige inspectie, onderhoud en beheer van routers, switches en andere netwerkapparatuur om een optimale werking te waarborgen en kwetsbaarheden te minimaliseren.
Firewall- en Inbraak preventie diensten: Het implementeren van firewalls en intrusion prevention-systemen om het netwerk te beschermen tegen ongeautoriseerde toegang, malware en andere bedreigingen.
Intrusion Prevention Systems (IPS): Integratie van IPS-mechanismen om actief kwaadaardige activiteiten te detecteren en te blokkeren, waardoor de integriteit van het netwerk wordt gehandhaafd.
Configuratie van Firewalls: Implementatie van firewall-regels en -configuraties om ongeautoriseerd verkeer te blokkeren en de organisatorische grenzen te beschermen tegen externe bedreigingen.
Virtual private networks (VPN): Gebruik van VPN-technologieën om een veilige, versleutelde communicatie tussen geografisch verspreide locaties en externe gebruikers te faciliteren.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET beschikken over een complete set van netwerk diagrammen en documentatie. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET beveiligingsmaatregelen implementeren om de veiligheid van informatie in netwerken te waarborgen en aangesloten diensten tegen onbevoegde toegang te beschermen. |
Onder de beveiliging van informatie binnen netwerkdiensten wordt vooral verstaan:
Verantwoordelijkheden en procedures voor het beheer van netwerkcomponenten en apparaten;
Actuele documentatie onderhouden, waaronder netwerkschema's en configuratiebestanden van apparatuur (bijv. routers, switches);
De operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten met de ICT-systemen, volgens functiescheiding zoals gestipuleerd in het toegangsbeleid;
Beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen;
Netwerkbeheer-activiteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast;
Systemen op het netwerk authenticeren: Ieder netwerkcomponent ongeacht de sensitiviteit van positie en data doorstroom dient geauthenticeerd en geautoriseerd te zijn wanneer aangesloten op het netwerk. Zonder deze validatie moet een apparaat niet kunnen worden aangesloten;
De verbinding van apparatuur en apparaten met het netwerk detecteren, beperken en authenticeren;
Kritieke subnetwerken tijdelijk isoleren (bijv. met 'drawbridges' (ophaalbruggen)) als het netwerk wordt aangevallen;
Kwetsbare netwerkprotocollen uitschakelen. In het bijzonder protocollen die zonder versleuteling authenticatie details versturen.
Gebruik van speciale systeemhulpmiddelen
Speciale systeemhulpmiddelen zijn hulpmiddelen die gebruikt worden ter configuratie, monitoring of beheer van systemen en niet binnen het normale toegangsbeheer vallen.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET een proces implementeren en onderhouden voor het beheer en gebruik van toegestane speciale systeemhulpmiddelen. |
Onder speciale systeemhulpmiddelen wordt onder andere verstaan:
Systeem- en netwerk- monitoring en -diagnose software;
Configuratiebeheer hulpmiddelen;
Beveiligingshulpmiddelen:
Systeemlogboek en -audit applicaties;
Opslagbeheer software;
Netwerkhulpmiddelen.
panelIconId | 9e6f15e6-c999-4552-9c6b-2582a2016b24 |
---|---|
panelIcon | :icon_beleidslijnen: |
panelIconText | :icon_beleidslijnen: |
bgColor | #F4F5F7 |
Implementatiemaatregel
Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, MOETEN de volgende maatregelen te worden gehandhaafd door de organisatie:
Additioneel op het beleid voor toegangsbeveiliging:
Beperken van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde gebruikers dat praktisch haalbaar is;
Het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen, met inbegrip van de unieke identificatie van de persoon die het systeemhulpmiddel gebruikt;
Het definiëren en documenteren van autorisatieniveaus voor systeemhulpmiddelen;
Autorisatie voor ad-hoc gebruik van systeemhulpmiddelen;
Het niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot toepassingen op systemen waarbij functiescheiding vereist is;
Het verwijderen of onbruikbaar maken van alle onnodige systeemhulpmiddelen;
Beperken van de beschikbaarheid van systeemhulpmiddelen (bijv. voor de duur van een geautoriseerde wijziging);
Een goede strategie voor back-ups is de 3-2-1-1-0 regel:
3 | Bewaar minimaal 3 kopieën van uw gegevens |
2 | Bewaar de back-ups op 2 verschillende soorten opslag mediums |
1 | Bewaar minimaal 1 van de exemplaren op een externe locatie |
1 | Bewaar minimaal 1 van de exemplaren offline |
0 | Zorg ervoor dat u geverifieerde back-ups hebt zonder fouten |
|
---|
Onder de te overwegen beveiligingsmaatregelen verstaan we in ieder geval:
Het gebruik van encryptie om de geback-upte informatie te beschermen.
Het gebruik van digitale handtekeningen om de integriteit van de informatie te beschermen.
Fysieke en omgevingsbeveiliging.
Toegangsmaatregelen.
Methoden van doorvoer naar en van externe locaties (bijv. door geautoriseerde koeriers, door versleutelde elektronische overdracht).
Opslag van media volgens de aanbevelingen van de fabrikant voor opslagomstandigheden en maximale houdbaarheid.
Externe opslag van back-upmedia op voldoende afstand om te ontsnappen aan eventuele schade door een ramp op de hoofdlocatie.
Offline opslag (geen verbinding met internet of bedrijfsnetwerk)
Beveiliging van netwerkdiensten
Onder netwerkdiensten worden de volgende elementen verstaan binnen de organisatie:
Netwerkbeheer en onderhoud: Het uitvoeren van regelmatig onderhoud aan netwerkapparatuur, zoals routers en switches, en het toepassen van beveiligingsupdates om bekende kwetsbaarheden te verminderen.
Toegangscontrole: Implementatie van strikte toegangscontrolemechanismen om ongeautoriseerde toegang tot netwerkbronnen te voorkomen. Dit omvat het beheren van gebruikersrechten en privileges.
Netwerkmonitoring: Continue monitoring van netwerkactiviteiten om verdachte patronen of afwijkingen te identificeren. Hierbij maken we gebruik van geavanceerde tools om real-time inzicht te verkrijgen en proactief te reageren op potentiële bedreigingen.
Beheer van fysieke infrastructuur: Regelmatige inspectie, onderhoud en beheer van routers, switches en andere netwerkapparatuur om een optimale werking te waarborgen en kwetsbaarheden te minimaliseren.
Firewall- en Inbraak preventie diensten: Het implementeren van firewalls en intrusion prevention-systemen om het netwerk te beschermen tegen ongeautoriseerde toegang, malware en andere bedreigingen.
Intrusion Prevention Systems (IPS): Integratie van IPS-mechanismen om actief kwaadaardige activiteiten te detecteren en te blokkeren, waardoor de integriteit van het netwerk wordt gehandhaafd.
Configuratie van Firewalls: Implementatie van firewall-regels en -configuraties om ongeautoriseerd verkeer te blokkeren en de organisatorische grenzen te beschermen tegen externe bedreigingen.
Virtual private networks (VPN): Gebruik van VPN-technologieën om een veilige, versleutelde communicatie tussen geografisch verspreide locaties en externe gebruikers te faciliteren.
|
---|
Onder de beveiliging van informatie binnen netwerkdiensten wordt vooral verstaan:
Verantwoordelijkheden en procedures voor het beheer van netwerkcomponenten en apparaten;
Actuele documentatie onderhouden, waaronder netwerkschema's en configuratiebestanden van apparatuur (bijv. routers, switches);
De operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten met de ICT-systemen, volgens functiescheiding zoals gestipuleerd in het toegangsbeleid;
Beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen;
Netwerkbeheer-activiteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast;
Systemen op het netwerk authenticeren: Ieder netwerkcomponent ongeacht de sensitiviteit van positie en data doorstroom dient geauthenticeerd en geautoriseerd te zijn wanneer aangesloten op het netwerk. Zonder deze validatie moet een apparaat niet kunnen worden aangesloten;
De verbinding van apparatuur en apparaten met het netwerk detecteren, beperken en authenticeren;
Kritieke subnetwerken tijdelijk isoleren (bijv. met 'drawbridges' (ophaalbruggen)) als het netwerk wordt aangevallen;
Kwetsbare netwerkprotocollen uitschakelen. In het bijzonder protocollen die zonder versleuteling authenticatie details versturen.
Gebruik van speciale systeemhulpmiddelen
Speciale systeemhulpmiddelen zijn hulpmiddelen die gebruikt worden ter configuratie, monitoring of beheer van systemen en niet binnen het normale toegangsbeheer vallen.
|
---|
Onder speciale systeemhulpmiddelen wordt onder andere verstaan:
Systeem- en netwerk- monitoring en -diagnose software;
Configuratiebeheer hulpmiddelen;
Beveiligingshulpmiddelen:
Systeemlogboek en -audit applicaties;
Opslagbeheer software;
Netwerkhulpmiddelen.
|
---|
Vanuit een informatieveiligheidsperspectief moet netwerksegmentatie worden toegepast op verschillende niveaus binnen een organisatie. Hier zijn enkele belangrijke gebieden waar netwerksegmentatie van toepassing zou moeten zijn:
Op perimeter gebaseerde segmentatie: Deze laag bevindt zich aan de rand van het netwerk en scheidt interne systemen van externe bronnen. Het beschermt tegen externe bedreigingen en helpt ongeautoriseerde toegang tot het netwerk te voorkomen.
Interne segmentatie: Segmentatie binnen het interne netwerk is essentieel om de verspreiding van bedreigingen te beperken. Het verdeelt het netwerk in verschillende zones op basis van functie, afdeling of gevoeligheid van gegevens.
Applicatiesegmentatie: Het segmenteren van applicaties is belangrijk om de communicatie tussen verschillende applicaties te beheersen. Dit helpt bij het voorkomen van laterale beweging van aanvallers binnen het netwerk.
IoT-segmentatie: Als er Internet of Things (IoT)-apparaten aanwezig zijn, moeten deze in aparte segmenten worden geplaatst om te voorkomen dat compromittering van deze apparaten de rest van het netwerk beïnvloedt.
Beheersegmentatie: Het scheiden van netwerkbeheersegmenten van reguliere gebruikerssegmenten helpt bij het voorkomen van ongeautoriseerde toegang tot beheerfuncties.
Het implementeren van netwerksegmentatie op deze verschillende niveaus draagt bij aan een gelaagde beveiligingsaanpak en vermindert het risico op ongeautoriseerde toegang en verspreiding van bedreigingen binnen het netwerk.
panelImplementatiemaatregel
De organisatie MOET tenminste een logische segmentatie tussen systeemhulpmiddelen en toepassingssoftware implementeren. Indien mogelijk, de netwerkcommunicatie voor dergelijke systeemhulpmiddelen van het toepassingenverkeer scheiden.
Netwerken dienen niet via dezelfde netwerkverbindingen beheert en gebruikt te worden. Een duidelijke scheiding MOET worden aangebracht op netwerken door een configuratienetwerk te opereren voor netwerk onderhoud.
|
---|
panelIconId | 9e6f15e6-c999-4552-9c6b-2582a2016b24 |
---|---|
panelIcon | :icon_beleidslijnen: |
panelIconText | :icon_beleidslijnen: |
bgColor | #F4F5F7 |
|
---|
Installeren van software op operationele systemen
Onder operationele systemen worden “operationele systemen” vallen alle systemen die voor eindgebruikers bereikbaar zijn.
panelPanel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelBij beslissingen om te upgraden naar een nieuwe versie MOET rekening worden gehouden met de bedrijfseisen die gelden voor de verandering en de veiligheid van de versie, nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van kwetsbaarheden die zich bij de huidige versie voordoen). Softwarepatches behoren toegepast te worden als ze kunnen bijdragen aan het verwijderen of verminderen van kwetsbaarheden. |
Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijv. softwareprogramma's met modules die op externe locaties worden gehost).
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelExtern geleverde software en pakketten MOETEN worden gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot kwetsbaarheden in de informatiebeveiliging kunnen leiden. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelSoftware van leveranciers die in productiesystemen wordt gebruikt, MOET worden onderhouden op een niveau dat door de leverancier wordt ondersteund. Na verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversies. De organisatie MOET de risico's van het gebruiken van niet-ondersteunde software overwegen. In operationele systemen toegepaste opensourcesoftware behoort op de stand van de meest recente geschikte uitgave van de software te worden onderhouden. Het is mogelijk dat opensource-code na verloop van tijd niet meer wordt onderhouden, maar nog steeds beschikbaar is in een opensource softwarebewaarplaats. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET ook rekening te houden met de risico's van het in operationele systemen gebruiken van opensourcesoftware die niet meer wordt onderhouden. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelWanneer leveranciers betrokken zijn bij het installeren of updaten van software, MOET fysieke of logische toegang alleen worden verleend wanneer dat nodig is en met passende autorisatie. De activiteiten van de leverancier behoren te worden gemonitord. |
Kloksynchronisatie
Kloksynchronisatie verwijst naar het proces van coördineren en afstemmen van de tijd tussen verschillende klokken of systemen binnen een netwerk, zodat ze een gemeenschappelijke en nauwkeurige tijdsreferentie delen. Het doel van kloksynchronisatie is ervoor te zorgen dat verschillende apparaten in een netwerk een consistente tijd weergeven, wat belangrijk is voor diverse toepassingen en systemen.
Voor het synchroniseren van klokken worden de volgende tijdsprotocollen toegepast:
NTP, of het Network Time Protocol, is een protocol dat wordt gebruikt om klokken op computersystemen in een netwerk te synchroniseren. Het werd ontwikkeld om de tijd op computers en netwerken nauwkeurig te coördineren. NTP maakt gebruik van een hiërarchie van tijdbronnen, waarbij sommige servers als tijdsreferentie dienen en andere systemen hun klokken synchroniseren met deze bronnen. Het protocol compenseert voor variaties in netwerklatentie en zorgt voor een consistente en nauwkeurige tijdweergave tussen apparaten. NTP wordt vaak gebruikt in bredere netwerken zoals het internet;
PTP, of het Precision Time Protocol, is een protocol voor kloksynchronisatie, maar het is ontworpen voor toepassingen waar een zeer nauwkeurige synchronisatie vereist is, zoals in industriële automatisering en telecommunicatienetwerken. PTP is gestandaardiseerd als IEEE 1588. In tegenstelling tot NTP, dat de tijd met seconden nauwkeurig synchroniseert, streeft PTP naar submicroseconde-nauwkeurigheid. Het maakt gebruik van een master-slave architectuur, waarbij één apparaat fungeert als de tijdsbron (meester) en andere apparaten (slaven) hun klokken synchroniseren met deze meester. PTP wordt vaak gebruikt in omgevingen waar tijdsynchronisatie van cruciaal belang is, zoals in industriële automatisering, financiële handelssystemen en audio/video-toepassingen waar strakke synchronisatie vereist is.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET de systeemklokken van infrastructuurcomponenten synchroniseren met een erkende referentieklok. De referentieklok fungeert als een consistente, vertrouwde bron voor de datum en tijd om nauwkeurige tijdstempels te garanderen voor logsystemen. Daarbij dient de Belgische datum- en tijdsnotatie te worden gebruikt om misinterpretatie tussen verschillende formaten te vermijden. Externe en interne eisen voor weergave, betrouwbare synchronisatie en nauwkeurigheid van tijd MOETEN worden gedocumenteerd en geïmplementeerd. Zulke eisen kunnen voortvloeien uit wet- en regelgeving, statuten, overeenkomsten, normen en IT interne monitoringbehoeften. Er behoort een standaardreferentietijd voor gebruik binnen de organisatie te worden gedefinieerd en in aanmerking te worden genomen voor alle systemen, met inbegrip van gebouwbeheersystemen, in- en uitgangssystemen en andere systemen die ter ondersteuning van onderzoeken kunnen worden gebruikt. Protocollen zoals netwerktijdprotocol (ntp) of 'precision time protocol' (ptp) MOETEN worden gebruikt om klokken in een computernetwerk gesynchroniseerd te houden met een referentieklok. De organisatie kan twee externe tijdsbronnen tegelijk gebruiken om de betrouwbaarheid van externe klokken te verbeteren en naar behoren om te gaan met eventuele afwijkingen. In het geval van afwijkende klokken MOET de organisatie de klok van elke dienst te controleren en het verschil te worden geregistreerd om risico's als gevolg van verschillen te verkleinen. |
Netwerksegmentatie
Netwerksegmentatie is een beveiligingspraktijk waarbij een groot computer- of communicatienetwerk wordt opgedeeld in kleinere, geïsoleerde eenheden genaamd segmenten. Het hoofddoel van netwerksegmentatie is het verbeteren van de beveiliging door het beperken van de communicatie en toegang tussen verschillende delen van het netwerk.
Elk segment binnen het netwerk bevat een specifieke groep apparaten of systemen die vergelijkbare functies of beveiligingsvereisten hebben. Door het implementeren van barrières, zoals firewalls of virtuele LANs (VLANs), tussen deze segmenten, kan de verspreiding van aanvallen worden beperkt en kunnen gevoelige gegevens beter worden beschermd.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET netwerken verdelen in gesegmenteerde netwerkdomeinen, deze netwerken dienen te worden geselecteerd op basis van betrouwbaarheids-, kritikaliteits- en gevoeligheidsniveaus (bijv. publiek domein, werkplek domein, server domein, systemen met laag of hoog risico), op basis van organisatieafdelingen (bijv. personeelszaken, financiën, marketing) of een combinatie ervan (bijv. serverdomein verbonden met meerdere afdelingen van de organisatie). |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe kriticiteit en informatieclassificatie MOET op ieder segment worden vastgesteld en te worden gehanteerd in het vaststellen van toegangsbehoefte volgens het beleid voor toegangsbeveiliging. |
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET de volgende basis beleidsregels toepassen bij het segmenteren van netwerken:
|
Draadloze netwerken
Een draadloos netwerk is een communicatienetwerk waarbij gegevens worden overgedragen tussen apparaten, zoals computers, smartphones, en andere verbonden apparaten, zonder de noodzaak van fysieke bekabeling. Het maakt gebruik van draadloze technologieën is in dit beleid beperkt tot wifi.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelOm te voorkomen dat gegevens die verstuurd worden over een draadloos netwerk worden onderschept, MOETEN de volgende regels worden geïmplementeerd:
|
Demilitarized Zone (DMZ)
Een DMZ, wat staat voor "Demilitarized Zone," is een netwerksegment dat wordt gebruikt om een extra beveiligingslaag te bieden tussen het interne netwerk van een organisatie en externe, niet veilige netwerken, zoals het internet. De DMZ fungeert als een bufferzone waarin organisaties diensten en resources kunnen plaatsen die beperkte toegang tot het interne netwerk hebben. Het doel van de DMZ is om de aanvalsoppervlakte te verminderen en de beveiliging van kritieke interne systemen te versterken.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET regels op te stellen voor toegang tot de DMZ met op zijn minst een administratie van rechtvaardiging voor de toegang voor de persoon, systeem of proces. De organisatie MOET tijdstip, locatie en andere attributen van de toegang tot deze DMZ netwerken vast te leggen en te monitoren. |
Redundantie van informatieverwerkende faciliteiten
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET de infrastructuur zo ontwerpen en ontwikkelen dat kritieke bedrijfsmiddelen met redundantie worden uitgerold. |
Zie het beleid voor ICT-continuïteit voor specifieke eisen rond redundantie en het beleid Veilig ontwerpen en ontwikkelen voor de regels rondom ontwerp en redundantie.
Toepassing van webfilters
Webfilters zijn beveiligingsmaatregelen die worden toegepast om het veilige en gepaste gebruik van online bronnen te waarborgen. Ze omvatten regels en beperkingen voor het blokkeren van ongewenste of ongepaste websites en internetgebaseerde toepassingen. Deze regels moeten actueel worden gehouden en kunnen onder andere de toegang tot websites met uploadfuncties, kwaadaardige websites, command-and-controlservers en websites met illegale inhoud beperken. Uitzonderingen kunnen worden toegestaan op basis van motivatie, maar deze gebruikersaccounts kunnen worden onderworpen aan verhoogde bewaking en aanvullende maatregelen om de bedrijfsmiddelen van de organisatie te beschermen. Daarnaast kunnen webfilters ook IP-filtering op basis van geografische filters en blocklists toepassen om de bereikbaarheid van bedrijfsinfrastructuur te beperken. Het beleid voor webfilters moet ervoor zorgen dat online bronnen veilig en gepast worden gebruikt.
De volgende types van webfiltering worden normaliter overwogen of en toegepast:
URL-filtering: Het proces van URL-filtering omvat het analyseren van de URL's van websites waartoe gebruikers toegang proberen te krijgen. Deze URL's worden vergeleken met een database van bekende categorieën, zoals sociale media, gokken, enzovoort. Op basis van deze classificatie kan het webfilter beslissen of de toegang tot de website moet worden toegestaan of geblokkeerd;
Content Filtering: Content filtering richt zich op de inhoud van webpagina's. Het kan woorden, zinnen of specifieke inhoudstypen identificeren en filteren op basis van vooraf gedefinieerde regels. Hiermee kan het webfilter ongepaste of niet-zakelijke inhoud blokkeren;
Applicatie-identificatie en -beheer: Webfilters kunnen het gebruik van specifieke webapplicaties en diensten beheren. Dit omvat het identificeren van applicaties, zoals instant messaging, peer-to-peer-bestandsdeling of streamingdiensten, en het toepassen van beleidsregels om hun toegang te beperken;
Malware- en Phishingdetectie: Dit proces omvat het scannen van websites en hun inhoud op de aanwezigheid van malware en phishing-elementen. Het webfilter kan bekende patronen en handtekeningen gebruiken om schadelijke inhoud te identificeren en te blokkeren;
SSL-inspectie: Sommige webfilters ondersteunen SSL-inspectie om versleuteld HTTPS-verkeer te kunnen analyseren. Hiermee kunnen ze de inhoud van versleuteld verkeer inspecteren en filteren om beveiligde verbindingen te beheren;
Tijd- en Bandbreedtebeheer: Webfilters kunnen tijd- en bandbreedtebeheerprocessen hebben om de toegang tot bepaalde websites tijdens specifieke periodes te beperken en het gebruik van netwerkbronnen te optimaliseren;
Gebruikersauthenticatie en -toewijzing: Authenticatieprocessen stellen het webfilter in staat om gebruikers te identificeren en toe te wijzen aan specifieke beveiligingsgroepen of beleidsregels. Dit maakt gepersonaliseerd beheer van internettoegang mogelijk;
Logging en Rapportage: Het webfilter houdt logbestanden bij van internetactiviteiten, inclusief bezochte websites, geblokkeerde inhoud en waarschuwingen. Rapportagefunctionaliteiten bieden beheerders inzicht in het internetgebruik binnen het netwerk;
Whitelisting en Blacklisting: Webfilters kunnen whitelists en blacklists gebruiken om specifieke websites toe te staan of te blokkeren op basis van aangepaste beleidsregels. Whitelists bevatten goedgekeurde websites, terwijl blacklists sites bevatten die zijn verboden;
Updates en Threat Intelligence: Webfilters moeten regelmatig worden bijgewerkt met de nieuwste URL-classificaties, malware-handtekeningen en threat intelligence. Deze updates zorgen ervoor dat het webfilter effectief blijft bij het identificeren en blokkeren van nieuwe bedreigingen.
panelIconId | 9e6f15e6-c999-4552-9c6b-2582a2016b24 |
---|---|
panelIcon | :icon_beleidslijnen: |
panelIconText | :icon_beleidslijnen: |
bgColor | #F4F5F7 |
Implementatiemaatregel
De organisatie MOET regels opstellen voor veilig en gepast gebruik van online bronnen, met inbegrip van een eventuele beperking van ongewenste of ongepaste websites en internet-gebaseerde toepassingen. De regels behoren actueel te worden gehouden.
De organisatie MOET identificeren tot welke soorten websites haar personeel wel of niet toegang behoort te hebben. De organisatie behoort te overwegen de toegang tot de volgende soorten websites te blokkeren:
Websites met een functie voor het uploaden van informatie, tenzij dit om geldige zakelijke redenen is toegestaan;
Websites waarvan bekend is of die ervan verdacht worden kwaadaardig te zijn (bijvoorbeeld websites die malware of phishing verspreiden);
Command- and-controlservers;
Websites die volgens informatie en analyses over dreigingen kwaadaardig zijn;
Websites die illegale inhoud delen.
Uitzonderingen kunnen op verzoek worden toegestaan op basis van motivatie. Gebruikersaccounts waarvoor uitzonderingen worden toegestaan, kunnen worden onderworpen aan verhoogde bewaking en aanvullende maatregelen om de bedrijfsmiddelen van de organisatie te beschermen.
De organisatie MOET restricties toepassen op de bereikbaarheid van de voor gebruikers beschikbare bedrijfsinfrastructuur in de vorm van IP-filtering op basis van:
Geografische filters (Geo blocking);
|
---|
panelIconId | 9e6f15e6-c999-4552-9c6b-2582a2016b24 |
---|---|
panelIcon | :icon_beleidslijnen: |
panelIconText | :icon_beleidslijnen: |
bgColor | #F4F5F7 |
Implementatiemaatregel
Bij het installeren van software op operationele systemen MOETEN de volgende regels gevolgd worden:
Updates van operationele software alleen laten uitvoeren door daartoe opgeleide beheerders;
De organisatie past passende beheerdersrechten toe;
Garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of operationele systemen wordt geïnstalleerd;
Software pas installeren en updaten na uitgebreide en geslaagde tests;
Alle bijbehorende programmabronbibliotheken updaten;
Een configuratiebeheerssysteem gebruiken om alle operationele software en systemen te beheersen;
Een roll-backstrategie definiëren alvorens wijzigingen te implementeren;
Een auditlogbestand bijhouden van alle updates van operationele software;
Oude versies van software, samen met alle vereiste informatie, parameters en configuratiedetails archiveren en software als noodmaatregel ondersteunen zolang dit nodig is om gearchiveerde gegevens te lezen of te verwerken.
|
---|
Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijv. softwareprogramma's met modules die op externe locaties worden gehost).
Kloksynchronisatie
Kloksynchronisatie verwijst naar het proces van coördineren en afstemmen van de tijd tussen verschillende klokken of systemen binnen een netwerk, zodat ze een gemeenschappelijke en nauwkeurige tijdsreferentie delen. Het doel van kloksynchronisatie is ervoor te zorgen dat verschillende apparaten in een netwerk een consistente tijd weergeven, wat belangrijk is voor diverse toepassingen en systemen.
Voor het synchroniseren van klokken worden de volgende tijdsprotocollen toegepast:
NTP, of het Network Time Protocol, is een protocol dat wordt gebruikt om klokken op computersystemen in een netwerk te synchroniseren. Het werd ontwikkeld om de tijd op computers en netwerken nauwkeurig te coördineren. NTP maakt gebruik van een hiërarchie van tijdbronnen, waarbij sommige servers als tijdsreferentie dienen en andere systemen hun klokken synchroniseren met deze bronnen. Het protocol compenseert voor variaties in netwerklatentie en zorgt voor een consistente en nauwkeurige tijdweergave tussen apparaten. NTP wordt vaak gebruikt in bredere netwerken zoals het internet;
PTP, of het Precision Time Protocol, is een protocol voor kloksynchronisatie, maar het is ontworpen voor toepassingen waar een zeer nauwkeurige synchronisatie vereist is. PTP is gestandaardiseerd als IEEE 1588. In tegenstelling tot NTP, dat de tijd met seconden nauwkeurig synchroniseert, streeft PTP naar submicroseconde-nauwkeurigheid. Het maakt gebruik van een master-slave architectuur, waarbij één apparaat fungeert als de tijdsbron (meester) en andere apparaten (slaven) hun klokken synchroniseren met deze meester. PTP wordt vaak gebruikt in omgevingen waar tijdsynchronisatie van cruciaal belang is, zoals in industriële automatisering, financiële handelssystemen, telecommunicatienetwerken en audio/video-toepassingen waar strakke synchronisatie vereist is.
|
---|
Netwerksegmentatie
Netwerksegmentatie is een beveiligingspraktijk waarbij een groot computer- of communicatienetwerk wordt opgedeeld in kleinere, geïsoleerde eenheden genaamd segmenten. Het hoofddoel van netwerksegmentatie is het verbeteren van de beveiliging door het beperken van de communicatie en toegang tussen verschillende delen van het netwerk.
Elk segment binnen het netwerk bevat een specifieke groep apparaten of systemen die vergelijkbare functies of beveiligingsvereisten hebben. Door het implementeren van barrières, zoals firewalls of virtuele LANs (VLANs), tussen deze segmenten, kan de verspreiding van aanvallen worden beperkt en kunnen gevoelige gegevens beter worden beschermd. Het Zero Trust concept is een holistisch beveiligingsmodel dat strikte identiteitsverificatie vereist van elk individu of device die andere devices in een netwerk proberen te benaderen. Er zijn vele technische oplossingen om Zero Trust te realiseren.
|
---|
Draadloze netwerken
Een draadloos netwerk is een communicatienetwerk waarbij gegevens worden overgedragen tussen apparaten, zoals computers, smartphones, en andere verbonden apparaten, zonder de noodzaak van fysieke bekabeling. Het gebruik van draadloze technologieën is in dit beleid beperkt tot wifi.
|
---|
Demilitarized Zone (DMZ)
Een DMZ, wat staat voor "Demilitarized Zone," is een netwerksegment dat wordt gebruikt om een extra beveiligingslaag te bieden tussen het interne netwerk van een organisatie en externe, niet veilige netwerken, zoals het internet. De DMZ fungeert als een bufferzone waarin organisaties diensten en resources kunnen plaatsen die beperkte toegang tot het interne netwerk hebben. Het doel van de DMZ is om de aanvalsoppervlakte te verminderen en de beveiliging van kritieke interne systemen te versterken.
|
---|
Redundantie van informatieverwerkende faciliteiten
|
---|
Zie het beleid voor ICT-continuïteit voor specifieke eisen rond redundantie en het beleid Veilig ontwerpen en ontwikkelen voor de regels rondom ontwerp en redundantie.
Toepassing van webfilters
Webfilters zijn beveiligingsmaatregelen die worden toegepast om het veilige en gepaste gebruik van online bronnen te waarborgen. Ze omvatten regels en beperkingen voor het blokkeren van ongewenste of ongepaste websites en internetgebaseerde toepassingen. Deze regels moeten actueel worden gehouden en kunnen onder andere de toegang tot websites met uploadfuncties, kwaadaardige websites, command-and-controlservers en websites met illegale inhoud beperken. Uitzonderingen kunnen worden toegestaan op basis van motivatie, maar deze gebruikersaccounts kunnen worden onderworpen aan verhoogde bewaking en aanvullende maatregelen om de bedrijfsmiddelen van de organisatie te beschermen. Daarnaast kunnen webfilters ook IP-filtering op basis van geografische filters en blocklists toepassen om de bereikbaarheid van bedrijfsinfrastructuur te beperken. Het beleid voor webfilters moet ervoor zorgen dat online bronnen veilig en gepast worden gebruikt.
De volgende types van webfiltering worden normaliter overwogen en/of toegepast:
URL-filtering: Het proces van URL-filtering omvat het analyseren van de URL's van websites waartoe gebruikers toegang proberen te krijgen. Deze URL's worden vergeleken met een database van bekende categorieën, zoals sociale media, gokken, enzovoort. Op basis van deze classificatie kan het webfilter beslissen of de toegang tot de website moet worden toegestaan of geblokkeerd;
Content Filtering: Content filtering richt zich op de inhoud van webpagina's. Het kan woorden, zinnen of specifieke inhoudstypen identificeren en filteren op basis van vooraf gedefinieerde regels. Hiermee kan het webfilter ongepaste of niet-zakelijke inhoud blokkeren;
Applicatie-identificatie en -beheer: Webfilters kunnen het gebruik van specifieke webapplicaties en diensten beheren. Dit omvat het identificeren van applicaties, zoals instant messaging, peer-to-peer-bestandsdeling of streamingdiensten, en het toepassen van beleidsregels om hun toegang te beperken;
Malware- en Phishingdetectie: Dit proces omvat het scannen van websites en hun inhoud op de aanwezigheid van malware en phishing-elementen. Het webfilter kan bekende patronen en handtekeningen gebruiken om schadelijke inhoud te identificeren en te blokkeren;
SSL-inspectie: Sommige webfilters ondersteunen SSL-inspectie om versleuteld HTTPS-verkeer te kunnen analyseren. Hiermee kunnen ze de inhoud van versleuteld verkeer inspecteren en filteren om beveiligde verbindingen te beheren;
Tijd- en Bandbreedtebeheer: Webfilters kunnen tijd- en bandbreedtebeheerprocessen hebben om de toegang tot bepaalde websites tijdens specifieke periodes te beperken en het gebruik van netwerkbronnen te optimaliseren;
Gebruikersauthenticatie en -toewijzing: Authenticatieprocessen stellen het webfilter in staat om gebruikers te identificeren en toe te wijzen aan specifieke beveiligingsgroepen of beleidsregels. Dit maakt gepersonaliseerd beheer van internettoegang mogelijk;
Logging en Rapportage: Het webfilter houdt logbestanden bij van internetactiviteiten, inclusief bezochte websites, geblokkeerde inhoud en waarschuwingen. Rapportagefunctionaliteiten bieden beheerders inzicht in het internetgebruik binnen het netwerk;
Allow-listing en deny-listing: Webfilters kunnen toegangslijsten gebruiken om specifieke websites toe te staan of te blokkeren op basis van aangepaste beleidsregels. Allow-lijsten bevatten goedgekeurde websites, terwijl deny-lijsten sites bevatten die zijn verboden;
Updates en Threat Intelligence: Webfilters moeten regelmatig worden bijgewerkt met de nieuwste URL-classificaties, malware-handtekeningen en threat intelligence. Deze updates zorgen ervoor dat het webfilter effectief blijft bij het identificeren en blokkeren van nieuwe bedreigingen.
|
---|
Regelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
Page Properties Report | ||||||||
---|---|---|---|---|---|---|---|---|
|
Informatieveiligheidsstrategie van de Vlaamse overheid (L2)
Zie 3.2. Minimale maatregelen - ICT en 3.3. Minimale maatregelen - Netwerken voor meer informatie.
Titel | Auteur | Datum | Versie | Status | Opmerkingen | ||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Beleid voor infrastructuurbeveiliging | Bart Breunesse | 14/05/2023/2024 | 1.0 |
| |||||||
Beleid voor infrastructuurbeveiliging | Bart Breunesse | 14/06/2024 | 1.0 |
| feedback verwerkt van reviewers |
Page Properties | ||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||
Document status (Metadata)Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister
status opties:
status eveneens aanpassen bovenaan deze pagina |