Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

5.2.2.1. Minimale algemene maatregelen 

Vertrouwelijkheid

...

IC klasse 

...

Minimale maatregelen 

...

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Log informatie krijgt minimaal informatieklasse 2 voor vertrouwelijkheid toegewezen;

  • Gebruik van geprivilegieerde accounts (voor meer informatie zie pagina 5.4. Minimale maatregelen - Priviliged Access Management (PAM) );

  • Applicatie logs: cryptografische maatregelen i.v.m. log informatie zijn op hetzelfde niveau als de toepassing waaruit de log info aangemaakt wordt: zie pagina 3.1. Minimale maatregelen - Cryptografie ;

  • Logging/ auditing van gebeurtenissen i.h.k.v. vertrouwelijkheid:

    • Log policy opzetten voor alle systemen en toepassingen,

  • Logging opzetten ter ondersteuning van het event en incidentproces,

    • Type gebeurtenis,

    • Waar en wanneer de gebeurtenis plaats vond,

    • Oorzaak en gevolg van de gebeurtenis,

    • Accounts gelinkt aan de gebeurtenis.

  • Monitoring van verwijderen van loginformatie (clear log events);

  • Beschermen van audit records: vertrouwelijkheid garanderen d.m.v. fysieke beveiliging en logische toegangscontrole.

...

Alle maatregelen van Klasse 1 / Klasse 2 +

  • Log informatie krijgt minimaal informatieklasse 3 voor vertrouwelijkheid toegewezen;

  • Beschermen van audit records: vertrouwelijkheid garanderen d.m.v. cryptografische maatregelen: zie pagina 3.1. Minimale maatregelen - Cryptografie ;

  • Logging/auditing van gebeurtenissen i.h.k.v. vertrouwelijkheid:

    • Audit trail voor gebruik van systeemhulpmiddelen,

    • Audit trail voor verwerking van informatie,

    • Periodieke analyse van audit records,

    • Gebruik maken van tools voor analyse,

    • Jaarlijks de audit functie evalueren.

...

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

...

5.2.2.1. Minimale algemene maatregelen 

Vertrouwelijkheid

IC klasse 

Minimale maatregelen 

Image RemovedImage RemovedKlasse 1 en Klasse 2 kennen dezelfde maatregelen:

IC klasse 

Minimale maatregelen 

Image AddedImage Added

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Integriteit

    • Log policy opzetten voor alle systemen en toepassingen,

  • Logging opzetten ter ondersteuning van het event en incidentproces,

    • Type gebeurtenis,

    • Waar en wanneer de gebeurtenis plaats vond,

    • Oorzaak en gevolg van de gebeurtenis,

    • Accounts gelinkt aan de gebeurtenis.

  • Monitoring van verwijderen van loginformatie (clear log events);

  • Beschermen van audit records: vertrouwelijkheid garanderen d.m.v. fysieke beveiliging en logische toegangscontrole.

Image Added

Alle maatregelen van Klasse 1 / Klasse 2 +

  • Log informatie krijgt minimaal informatieklasse

2
  • 3 voor

integriteit
  • vertrouwelijkheid toegewezen;

Applicatie logs: cryptografische maatregelen i.v.m. log informatie zijn op hetzelfde niveau als de toepassing waaruit de log info aangemaakt wordt
integriteit
  • vertrouwelijkheid:

  • Log policy opzetten voor alle systemen en toepassingen,

  • Logging opzetten ter ondersteuning van het event en incidentproces:

    • Type gebeurtenis,

    • Waar en wanneer de gebeurtenis plaatsvond,

    • Oorzaak en gevolg van de gebeurtenis,

    • Accounts gelinkt aan de gebeurtenis.

  • Monitoring van clear log gebeurtenissen;

  • Beschermen van audit records: integriteit garanderen d.m.v. fysieke beveiliging en logische toegangscontrole;

  • Timestamps op audit records: kloksynchronisatie toepassen;

  • Toegang tot audit records beperken tot consultatie functie (read only).

  • Image Removed
      • Audit trail voor gebruik van systeemhulpmiddelen,

      • Audit trail voor verwerking van informatie,

      • Periodieke analyse van audit records,

      • Gebruik maken van tools voor analyse,

      • Jaarlijks de audit functie evalueren.

    Image AddedImage Added

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1 / Klasse 2

     

    + Klasse 3 +

    • Log informatie krijgt minimaal informatieklasse

    3
    • 4 voor

    integriteit
    • vertrouwelijkheid toegewezen;

  • Beschermen van audit records: integriteit garanderen d.m.v. cryptografische maatregelen: zie pagina 3.1. Minimale maatregelen - Cryptografie ;

    • Logging/auditing van gebeurtenissen i.h.k.v.

    integriteit:
    • Audit trail voor gebruik van systeemhulpmiddelen,

    • Audit trail voor verwerking van informatie,

    • Timestamps: kloksynchronisatie met goedgekeurde externe tijdsbron,

    • Periodieke analyse van audit records,

    • Gebruik maken van tools voor analyse en rapportering,

    • Jaarlijks de auditfunctie evalueren. 

    Image RemovedImage Removed

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

  • Log informatie krijgt minimaal informatieklasse 4 voor integriteit toegewezen;

  • Logging/auditing
    • vertrouwelijkheid:

      • Logging integreren met scanning en monitoring capaciteiten,

      • Event correlatie toepassen,

      • Centraal beheer van logbestanden,

      • Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie,

      • 4-ogen toepassen bij elke wijziging aan de audit functionaliteit.

    Integriteit

    IC klasse 

    Minimale maatregelen 

    Image RemovedImage RemovedKlasse 1 en Klasse 2 kennen dezelfde maatregelen:

    IC klasse 

    Minimale maatregelen 

    Image AddedImage Added

    Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

    • Log informatie krijgt minimaal informatieklasse 2 voor integriteit toegewezen;

    • Applicatie logs: cryptografische maatregelen i.v.m. log informatie zijn op hetzelfde niveau als de toepassing waaruit de log info aangemaakt wordt: zie pagina 3.1. Minimale maatregelen - Cryptografie ;

    • Logging/auditing van gebeurtenissen i.h.k.v. integriteit:

      • Logging integreren met scanning en monitoring capaciteiten,

      • Timestamps in combinatie met digitale handtekening toepassen,

      • Event correlatie toepassen.

    • Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie;

    • 4-ogen toepassen bij elke wijziging aan de audit functionaliteit. 

    Beschikbaarheid

      • Log policy opzetten voor alle systemen en toepassingen,

    • Logging opzetten ter ondersteuning van het event en incidentproces:

      • Type gebeurtenis,

      • Waar en wanneer de gebeurtenis plaatsvond,

      • Oorzaak en gevolg van de gebeurtenis,

      • Accounts gelinkt aan de gebeurtenis.

    • Monitoring van clear log gebeurtenissen;

    • Beschermen van audit records: integriteit garanderen d.m.v. fysieke beveiliging en logische toegangscontrole;

    • Timestamps op audit records: kloksynchronisatie toepassen;

    • Toegang tot audit records beperken tot consultatie functie (read only).

    Image Added

    Alle maatregelen van Klasse 1 / Klasse 2 +

    • Log informatie krijgt minimaal informatieklasse

    2 voor beschikbaarheid (omwille van kritisch bedrijfsmoment, bvb na een incident en herstel van loginformatie) toegewezen
    • 3 voor integriteit toegewezen;

    • Beschermen van audit records: integriteit garanderen d.m.v. cryptografische maatregelen: zie pagina 3.1. Minimale maatregelen - Cryptografie ;

    • Logging/auditing van gebeurtenissen i.h.k.v.

    beschikbaarheid

    ...

    Klasse 1Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

    • Event correlatie toepassen;

    • Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie;

    • 4-ogen toepassen bij elke wijziging aan de audit functionaliteit;

    • Elke toegang tot persoonsgegevens, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving:

      • Tot natuurlijke persoon herleidbare gebruikersnaam of ID, tijdsstip (datum/uur), identificatie van het werkstation of locatie, gebruikte toepassing,

      • De persoon die het object is van de handeling,

      • Het resultaat van de handeling.

    ...

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van  Klasse 1 / Klasse 2 / Klasse 3 +

    • Elke toegang tot gegevens behorende tot de bijzondere categorieën van de GDPR, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving.

    Integriteit

    IC klasse 

    Minimale maatregelen 

    Image RemovedImage RemovedImage Removed

    Klasse 1Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

  • Timestamps in combinatie met digitale handtekening toepassen;

  • Event correlatie toepassen;
    • integriteit:

    • Log policy opzetten voor alle systemen en toepassingen,

  • Logging opzetten ter ondersteuning van het event en incidentproces:

    • Type gebeurtenis,

    • Waar en wanneer de gebeurtenis plaatsvond,

    • Oorzaak en gevolg van de gebeurtenis,

    • Accounts gelinkt aan de gebeurtenis.

  • Monitoring van verwijderen van loginformatie (clear log events);

  • Retentie: log informatie lokaal bewaren;

  • Backup: log informatie opnemen in het backupschema;

  • Beschermen van audit records: beschikbaarheid garanderen d.m.v. fysieke beveiliging en logische toegangscontrole.

  • Image Removed

    Alle maatregelen van Klasse 1 / Klasse 2 +

    • Log informatie krijgt minimaal informatieklasse 3 (omwille van kritisch bedrijfsmoment, bvb na een incident en herstel van log informatie) voor beschikbaarheid toegewezen;

    • Logging/auditing van gebeurtenissen i.h.k.v. beschikbaarheid:

      • Audit trail voor gebruik van systeemhulpmiddelen,

      • Audit trail voor verwerking van informatie,

      • Periodieke analyse van audit records,

      • Gebruik maken van tools voor analyse en rapportering.

    • Centrale opslag van loginformatie;

    • Retentieperiode van lokale loginformatie beperken tot caching (tot centrale opslag geverifieerd gelukt is);

    • Backup:

      • Backups regelmatig verifiëren op succesvolle aanmaak,

      • Periodiek testen op herstelprocedures (recovery).

    • Jaarlijks de auditfunctie evalueren;

    • Alarmen genereren en opvolgen als opslagcapaciteit voor logbestanden 80% bereikt heeft;

    • Fysieke beveiliging: reserveonderdelen of redundant uitvoeren van omgeving;

    • Retentie: lange termijn bewaring/archivering van log informatie conform wet- en regelgeving.

    Image RemovedImage Removed

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

    • Log informatie krijgt minimaal informatieklasse 4 (omwille van kritisch bedrijfsmoment, bvb na een incident en herstel van log informatie) voor beschikbaarheid toegewezen.

    • Logging/auditing van gebeurtenissen i.h.k.v. beschikbaarheid:

      • Logging integreren met scanning en monitoring capaciteiten,

      • Event correlatie toepassen,

      • Centraal beheer van logbestanden,

      • Backup: rapportering over backup/recovery testen aan toepassingseigenaar, CISO/ DPO,

      • Fysieke beveiliging: redundantie inregelen en periodiek testen met rapportering aan toepassingseigenaar, CISO/ DPO,

      • Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie,

      • 4-ogen toepassen bij elke wijziging aan de audit functionaliteit.

    5.2.2.2. Minimale specifieke (GDPR) maatregelen 

    Vertrouwelijkheid 

    ...

    IC klasse 

    ...

    Minimale maatregelen 

      • Audit trail voor gebruik van systeemhulpmiddelen,

      • Audit trail voor verwerking van informatie,

      • Timestamps: kloksynchronisatie met goedgekeurde externe tijdsbron,

      • Periodieke analyse van audit records,

      • Gebruik maken van tools voor analyse en rapportering,

      • Jaarlijks de auditfunctie evalueren. 

    Image AddedImage Added

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

    • Log informatie krijgt minimaal informatieklasse 4 voor integriteit toegewezen;

    • Logging/auditing i.h.k.v. integriteit:

      • Logging integreren met scanning en monitoring capaciteiten,

      • Timestamps in combinatie met digitale handtekening toepassen,

      • Event correlatie toepassen.

    • Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie;

    • 4-ogen toepassen bij elke wijziging aan de audit functionaliteit. 

    Beschikbaarheid

    IC klasse 

    Minimale maatregelen 

    Image AddedImage Added

    Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

    • Log informatie krijgt minimaal informatieklasse 2 voor beschikbaarheid (omwille van kritisch bedrijfsmoment, bvb na een incident en herstel van loginformatie) toegewezen;

    • Logging/auditing van gebeurtenissen i.h.k.v. beschikbaarheid:

      • Log policy opzetten voor alle systemen en toepassingen,

    • Logging opzetten ter ondersteuning van het event en incidentproces:

      • Type gebeurtenis,

      • Waar en wanneer de gebeurtenis plaatsvond,

      • Oorzaak en gevolg van de gebeurtenis,

      • Accounts gelinkt aan de gebeurtenis.

    • Monitoring van verwijderen van loginformatie (clear log events);

    • Retentie: log informatie lokaal bewaren;

    • Backup: log informatie opnemen in het backupschema;

    • Beschermen van audit records: beschikbaarheid garanderen d.m.v. fysieke beveiliging en logische toegangscontrole.

    Image Added

    Alle maatregelen van Klasse 1 / Klasse 2 +

    • Log informatie krijgt minimaal informatieklasse 3 (omwille van kritisch bedrijfsmoment, bvb na een incident en herstel van log informatie) voor beschikbaarheid toegewezen;

    • Logging/auditing van gebeurtenissen i.h.k.v. beschikbaarheid:

      • Audit trail voor gebruik van systeemhulpmiddelen,

      • Audit trail voor verwerking van informatie,

      • Periodieke analyse van audit records,

      • Gebruik maken van tools voor analyse en rapportering.

    • Centrale opslag van loginformatie;

    • Retentieperiode van lokale loginformatie beperken tot caching (tot centrale opslag geverifieerd gelukt is);

    • Backup:

      • Backups regelmatig verifiëren op succesvolle aanmaak,

      • Periodiek testen op herstelprocedures (recovery).

    • Jaarlijks de auditfunctie evalueren;

    • Alarmen genereren en opvolgen als opslagcapaciteit voor logbestanden 80% bereikt heeft;

    • Fysieke beveiliging: reserveonderdelen of redundant uitvoeren van omgeving;

    • Retentie: lange termijn bewaring/archivering van log informatie conform wet- en regelgeving.

    Image AddedImage Added

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

    • Log informatie krijgt minimaal informatieklasse 4 (omwille van kritisch bedrijfsmoment, bvb na een incident en herstel van log informatie) voor beschikbaarheid toegewezen.

    • Logging/auditing van gebeurtenissen i.h.k.v. beschikbaarheid:

      • Logging integreren met scanning en monitoring capaciteiten,

      • Event correlatie toepassen,

      • Centraal beheer van logbestanden,

      • Backup: rapportering over backup/recovery testen aan toepassingseigenaar, CISO/ DPO,

      • Fysieke beveiliging: redundantie inregelen en periodiek testen met rapportering aan toepassingseigenaar, CISO/ DPO,

      • Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie

    ;
      • ,

      • 4-ogen toepassen bij elke wijziging

    aan de audit functionaliteit;
  • Elke toegang tot persoonsgegevens, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving:

    • Tot natuurlijke persoon herleidbare gebruikersnaam of ID, tijdsstip (datum/uur), identificatie van het werkstation of locatie,

    • De persoon die het object is van de handeling,

    • Het resultaat van de handeling.

  • Image RemovedImage Removed

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van  Klasse 1 / Klasse 2 / Klasse 3 +

    • Elke toegang tot gegevens behorende tot de bijzondere categorieën van de GDPR, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving.

    ...

      • aan de audit functionaliteit.

    5.2.2.2. Minimale specifieke (GDPR) maatregelen 

    Vertrouwelijkheid 

    IC klasse 

    Minimale maatregelen 

    Image RemovedImage RemovedImage RemovedImage Removed
    Image AddedImage AddedImage Added

    Klasse 1Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

    • Event correlatie toepassen;

    • Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie;

    • 4-ogen toepassen bij elke wijziging aan de audit functionaliteit;

    • Elke toegang tot persoonsgegevens, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving:

      • Tot natuurlijke persoon herleidbare gebruikersnaam of ID, tijdsstip (datum/uur), identificatie van het werkstation of locatie, gebruikte toepassing,

      • De persoon die het object is van de handeling,

      • Het resultaat van de handeling.

    Image Removed
    Image AddedImage Added

    Klasse 4 en Klasse 5 kennen dezelfde

    maatregelen:

    Alle maatregelen van  Klasse 1 / Klasse 2 / Klasse 3 +

    Elke toegang tot gegevens behorende tot de bijzondere categorieën van de GDPR

    maatregelen:

    Alle maatregelen van  Klasse 1 / Klasse 2 / Klasse 3 +

    • Elke toegang tot gegevens behorende tot de bijzondere categorieën van de GDPR, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving.

    Integriteit

    IC klasse 

    Minimale maatregelen 

    Image AddedImage AddedImage Added

    Klasse 1Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

    • Timestamps in combinatie met digitale handtekening toepassen;

    • Event correlatie toepassen;

    • Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie;

    • 4-ogen toepassen bij elke wijziging aan de audit functionaliteit;

    • Elke toegang tot persoonsgegevens, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving

    .

    5.2.2.3. Minimale specifieke (NISII) maatregelen

    In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.

    5.2.2.4. Minimale specifieke (KSZ) maatregelen

    Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van logging en monitoring toegepast worden: 

    Vertrouwelijkheid

    IC klasse 

    Minimale maatregelen 

    Image RemovedImage RemovedImage RemovedImage RemovedImage Removed

    Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

  • Logbeheer moet meegenomen worden vanaf het design tijdens de ontwikkeling of bij de bepalingen van aankoopcriteria van toepassingen of systemen om security/ privacy by design te realiseren;

  • In de specificaties van een project opnemen hoe de toegang tot en het gebruik van systemen en applicaties gelogd zal worden om bij te dragen tot de detectie van afwijkingen van de beleidslijnen informatieveiligheid en privacy;

  • Elke toegang tot persoonsgegevens
    • :

      • Tot natuurlijke persoon herleidbare gebruikersnaam of ID, tijdsstip (datum/uur), identificatie van het werkstation of locatie,

      • De persoon die het object is van de handeling,

      • Het resultaat van de handeling.

    Image AddedImage Added

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van  Klasse 1 / Klasse 2 / Klasse 3 +

    • Elke toegang tot gegevens behorende tot de bijzondere categorieën van de GDPR, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving

    :
    • Glashelder, snel en eenvoudig kunnen bepalen wie, wanneer en op welke manier toegang heeft verkregen tot welke informatie,

    • De identificatie van de aard van de informatie en de betrokkene,

    • De duidelijke identificatie van de persoon die toegang heeft gehad,

    • De raadpleging van logbestanden moet altijd het voorwerp zijn van een georganiseerde procedure binnen de organisatie met een historiek van de verzoeken die werden goedgekeurd/uitgevoerd of die werden afgekeurd,

    •  De organisatie dient een formele procedure van logbeheer op te zetten, te valideren, te communiceren en te onderhouden,

    • De organisatie moet transacties, controlewerkzaamheden, activiteiten van gebruikers, uitzonderingen en informatieveiligheid- en privacygebeurtenissen/ incidenten gestructureerd vastleggen in afzonderlijke logbestanden, zodat iedere handeling naar de brondocumenten herleid kan worden of uitgevoerde bewerking(en) gecontroleerd kan worden,

    • Zoveel als mogelijk wordt systeemgebruik automatisch gelogd, als dit niet mogelijk is kan ook gebruik gemaakt worden van een manueel logboek door systeembeheerders. 

    Integriteit

    IC klasse 

    Minimale maatregelen 

    Image RemovedImage RemovedImage RemovedImage RemovedImage Removed

    Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

  • Logbeheer moet meegenomen worden vanaf het design tijdens de ontwikkeling of bij de bepalingen van aankoopcriteria van toepassingen of systemen om security/ privacy by design te realiseren;

  • In de specificaties van een project opnemen hoe de toegang tot en het gebruik van systemen en applicaties gelogd zal worden om bij te dragen tot de detectie van afwijkingen van de beleidslijnen informatieveiligheid en privacy;

  • Elke toegang tot persoonsgegevens moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving:

    • Glashelder, snel en eenvoudig kunnen bepalen wie, wanneer en op welke manier toegang heeft verkregen tot welke informatie,

    • De identificatie van de aard van de informatie en de betrokkene,

    • De duidelijke identificatie van de persoon die toegang heeft gehad.

  • De raadpleging van logbestanden moet altijd het voorwerp zijn van een georganiseerde procedure binnen de organisatie met een historiek van de verzoeken die werden goedgekeurd/uitgevoerd of die werden afgekeurd;

  • De organisatie dient een formele procedure van logbeheer op te zetten, te valideren, te communiceren en te onderhouden;

  • De organisatie moet transacties, controlewerkzaamheden, activiteiten van gebruikers, uitzonderingen en informatieveiligheid- en privacygebeurtenissen/ incidenten gestructureerd vastleggen in afzonderlijke logbestanden, zodat iedere handeling naar de brondocumenten herleid kan worden of uitgevoerde bewerking(en) gecontroleerd kan worden;

  • Zoveel als mogelijk wordt systeemgebruik automatisch
    • .

    Beschikbaarheid

    IC klasse 

    Minimale maatregelen 

    Image AddedImage AddedImage Added

    Klasse 1Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

    • Event correlatie toepassen;

    • Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie;

    • 4-ogen toepassen bij elke wijziging aan de audit functionaliteit;

    • Elke toegang tot persoonsgegevens, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving:

      • Tot natuurlijke persoon herleidbare gebruikersnaam of ID, tijdsstip (datum/uur), identificatie van het werkstation of locatie, gebruikte toepassing,

      • De persoon die het object is van de handeling,

      • Het resultaat van de handeling.

    Image Added

    Image Added

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van  Klasse 1 / Klasse 2 / Klasse 3 +

    • Elke toegang tot gegevens behorende tot de bijzondere categorieën van de GDPR, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving.

    5.2.2.3. Minimale specifieke (NISII) maatregelen

    In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.

    5.2.2.4. Minimale specifieke (KSZ) maatregelen

    Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van logging en monitoring toegepast worden: 

    Beschikbaarheid, Vertrouwelijkheid en integriteit

    IC klasse 

    Minimale maatregelen 

    Image AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage Added
    • Elke organisatie moet:  

      • Een formele procedure van logbeheer opzetten, valideren, communiceren en onderhouden.  

      • Transacties, controlewerkzaamheden, activiteiten van gebruikers, uitzonderingen en informatieveiligheid- en privacy-gebeurtenissen/incidenten gestructureerd vastleggen in afzonderlijke logbestanden, zodat iedere handeling naar de brondocumenten herleid kan worden of de uitgevoerde bewerking(en) gecontroleerd kan(kunnen) worden.  

      • Logbeheer moet meegenomen worden vanaf het design tijdens de ontwikkeling of bij de bepalingen van aankoopcriteria van toepassingen of systemen om “security/privacy by design” te realiseren.   

      • Elke toegang tot persoonlijke en vertrouwelijke gegevens die sociaal of medisch van aard zijn, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving.  

      • De interne klokken van alle informatiesystemen van de organisatie moeten gesynchroniseerd worden met een overeengekomen nauwkeurige tijdsbron zodat een betrouwbare analyse van logbestanden op verschillende informatiesystemen altijd mogelijk is.  

      • De noodzakelijke tools moeten beschikbaar zijn of ontwikkeld worden om log gegevens te kunnen laten analyseren door de geautoriseerde personen. 

      • Systeemgebruik moet zoveel als mogelijk automatisch worden gelogd, als dit niet mogelijk is kan ook gebruik gemaakt

    worden van een manueel logboek door systeembeheerders;
  • De kwaliteit van de privacy log dient een gepast antwoord te bieden om het gebruik te rechtvaardigen (al dan niet gebaseerd op een voorafgaandelijke autorisatie of machtiging). De log dient per verwerking een aanduiding te bevatten van wie wanneer over wie welke persoonsgegevens heeft verwerkt voor welke doeleinden en met welk resultaat (OK,NOK).

  • Beschikbaarheid

    IC klasse 

    Minimale maatregelen 

    Image RemovedImage RemovedImage RemovedImage RemovedImage Removed

    Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

    Logbeheer moet meegenomen worden vanaf het design tijdens de ontwikkeling of bij de bepalingen van aankoopcriteria van toepassingen of systemen om security/ privacy by design te realiseren;
      • worden van een manueel logboek door systeembeheerders.  

      • Logbestanden moeten beschermd worden tegen inzage door onbevoegden, wijzigingen en verwijderingen.  

      • De logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoeken en controles en in overeenstemming met wetgeving en regelgeving.  

      • De raadpleging van logbestanden moet altijd het voorwerp zijn van een georganiseerde procedure binnen de organisatie met een historiek van de verzoeken die werden goedgekeurd/uitgevoerd of die werden afgekeurd.  

      • Het resultaat van logbeheer moet regelmatig geanalyseerd, gerapporteerd en beoordeeld worden (Ref. KSZ 5.9.5). 

    • Elke organisatie moet:  

      • Elke toegang tot persoonlijke en vertrouwelijke gegevens die sociaal of medisch van aard zijn, loggen in overeenstemming met de beleidslijnen “logging” en de toepasselijke wetgeving en regelgeving (Ref. KSZ 5.11.7 a). 

      • In de specificaties van een project opnemen hoe de toegang tot en het gebruik van systemen en applicaties gelogd zal worden om bij te dragen

    tot de detectie van afwijkingen van de beleidslijnen informatieveiligheid en privacy;
  • Elke toegang tot persoonsgegevens moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving:

    • Glashelder, snel en eenvoudig kunnen bepalen wie, wanneer en op welke manier toegang heeft verkregen tot welke informatie,

    • De identificatie van de aard van de informatie en de betrokkene,

    • De duidelijke identificatie van de persoon die toegang heeft gehad.

  • De raadpleging van logbestanden moet altijd het voorwerp zijn van een georganiseerde procedure binnen de organisatie met een historiek van de verzoeken die werden goedgekeurd/uitgevoerd of die werden afgekeurd;

  • De organisatie dient een formele procedure van logbeheer op te zetten, te valideren, te communiceren en te onderhouden;

  • De organisatie moet transacties, controlewerkzaamheden, activiteiten van gebruikers, uitzonderingen en informatieveiligheid- en privacygebeurtenissen/ incidenten gestructureerd vastleggen in afzonderlijke logbestanden, zodat iedere handeling naar de brondocumenten herleid kan worden of uitgevoerde bewerking(en) gecontroleerd kan worden;

  • Zoveel als mogelijk wordt systeemgebruik automatisch gelogd, als dit niet mogelijk is kan ook gebruik gemaakt worden van een manueel logboek door systeembeheerders;

  • De logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoeken en controles en in overeenstemming met wetgeving en regelgeving. In het bijzonder dienen de privacy logs minstens 10 jaar bewaard worden;
      • tot de detectie van afwijkingen van de beleidslijnen informatieveiligheid en privacy. Het logbeheer moet minimaal beantwoorden aan de volgende doelstellingen:  

        • a. Glashelder, snel en eenvoudig kunnen bepalen wie, wanneer en op welke manier toegang heeft verkregen tot welke informatie  

        • b. De identificatie van de aard van de geraadpleegde informatie  

        • c. De duidelijke identificatie van de persoon (Ref. KSZ 5.11.7 b). 

      • Rekening houden met reeds bestaande logbeheersystemen bij de evaluatie van logbehoeften in het kader van het project (Ref. KSZ 5.11.7 c). 

      • De noodzakelijke tools ter beschikking hebben of ontwikkelen om toe te laten deze log gegevens uit te baten door de geautoriseerde personen (Ref. KSZ 5.11.7 d). 

      • De algemene regel toepassen dat de transactionele/functionele log gegevens minimaal 10 jaar en de technische/infrastructurele log gegevens minimaal 2 jaar moeten bewaard blijven (Ref. KSZ 5.11.7 e).