Versions Compared

Version Old Version 3 New Version Current
Changes made by

Tom De Cubber

Tom De Cubber

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Vertrouwelijkheid en integriteit

IC klasse 

Minimale maatregelen

image-20241029-102153.pngimage-20241029-102211.png

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering

  • Er moet een logische scheiding zijn tussen toestellen-, gebruikers- en applicatiezone;

  • Er moet een logische scheiding zijn tussen toestellenzones en publieke gebruikerszones (bv. guest);

  • Per locatie wordt een aparte netwerkzone voorzien

  • Outbound web-datastromen worden ontsloten via proxyservers waarbij de proxy controleert op juist protocolgebruik;

  • Inbound datastromen worden enkel ontsloten via een mitigerende component (bv. proxyserver)

  • Bijkomende maatregelen moeten worden genomen op niveau apparatuur.  

Toegangscontrole

  • Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers):

    • Toegang gebaseerd op IP-adres en/of MAC adres

    • Toegang gebaseerd op gebruikersauthenticatie afhankelijk van risicobeoordeling.  

Transportbeveiliging:  

  • Versleutelde transportprotocollen (bv. https, sftp) zijn verplicht voor informatie die ontsloten is naar het internet. 

Datastroominspectie:  

  • Datastromen tussen de toestellenzone en applicatiezones of publieke netwerken worden geleid via een NextGen firewall, die voldoet aan goede praktijken, zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

  • Filteren op basis van type datastromen;

    • Beperken of blokkeren van bepaalde datastromen;

      • TLS inspectie van alle datastromen met data loss prevention (DLP)

        • Processen met de nodige acties ingeval van detecties

      • Whitelist op toestellenniveau voor uitgaande datastromen.

      • Gebruik van conent- en reputatiefilters

    • Stateful inspection of gelijkwaardige technologie;

    • Werken vanuit default deny-principe;

    • Werken vanuit centraal opgestelde regels (ruleset);

  • IDS wordt actief ingezet voor monitoring (detectie, rapportering) van abnormaal gedrag op alle datastromen van en naar de toestellenzone.

  • IPS wordt op ingezet voor monitoring (detectie, rapportering) van abnormaal gedrag Cop alle datastromen van en naar de toestellenzone. Ingeval van mogelijke onderbrekingen met verstrekkende gevolgen dient een risicoanalyse uitgevoerd te worden om een eventuele expliciete beslissing tot het niet-implementeren van deze maatregel te onderbouwen.

  • Het is verplicht de IDS/IPS systemen to onboarden op het SIEM platform. 

  • Web- en emailfilters moeten worden ingezet voor controle van web- en email verkeer.

  • Alle datastromen van en naar de toestellenzone worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

    • Optreden tegen alle aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Scanning van bijlagen;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Beveiliging tegen zero-day-aanvallen (heuristic scanning);

    • Genereren van alarmen naar de antimalware-beheerders.. 

Draadloos netwerk:  

  • Zo instellen dat SSID (Service Set Identifier) niet wordt uitgezonden;

  • Wifi protected access toepassen: minstens WPA-2 met AES encryptie;

  • Verbinding met onbekende of onbeveiligde gast draadloze netwerken enkel via VPN. 

Logging en monitoring:

  • Toegang van en naar de applicatiezone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

  • Toegang voor toestellenbeheer moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar;

  • Event logging op kritische netwerktoestellen in de toestellenzone (o.a. up/down gaan van switch-poorten);

  • In geval van hosting bij externe bedrijven: auditeerbaarheid van logging contractueel afdwingen.

  • Voor logging van toegangsbeheer: zie https://vlaamseoverheid.atlassian.net/wiki/x/BpIHpwE

  • Zie ook https://vlaamseoverheid.atlassian.net/wiki/x/VZAHpwE

Beheer:

  • Versleutelde transportprotocollen of VPN moeten worden toegepast voor beheerstaken

  • Versleutelde transportprotocollen of VPN moeten worden toegepast voor write access vanuit andere netwerkzones.

image-20241029-102233.png

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

Toegangscontrole 

  • Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook https://vlaamseoverheid.atlassian.net/wiki/x/PY8HpwE)

  • Toegang gebaseerd op sterke gebruikersauthenticatie (multi factor authenticatie), afhankelijk van risicobeoordeling 

Logging en monitoring: 

  • Event logging op alle netwerktoestellen

image-20241029-102254.png

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3

Toegangscontrole 

  • Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook https://vlaamseoverheid.atlassian.net/wiki/x/PY8HpwE

  • Apparaat toegang gebaseerd op authenticatie via een apparaat gebonden certificaat afhankelijk van risicobeoordeling 

 Transportbeveiliging:

  • Enkel gebruik van versleutelde protocollen van en naar de betrokken component is toegestaan

image-20241029-102310.png

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:  

  • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

Transportbeveiliging:  

  • Voor transport buiten de zone toegang enkel toegestaan over VPN. 

SSL-inspectie:  

  • Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is. 

Beschikbaarheid - idem als vertrouwelijkheid +

IC klasse 

Minimale maatregelen

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

High-availability:

  • Het voorzien van reserve-onderdelen en reservecomponenten volstaat.

Anti-DDoS:

  • Rate limiting: het beperken van het aantal verzoeken dat een gebruiker kan doen binnen een bepaalde tijd om overbelasting te voorkomen.

Alle maatregelen van Klasse 1 / Klasse 2 +

High-availability 

  • High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …).  

Anti-DDoS:

  • Voor toestellen die verbonden zijn met het internet:

    • Web Application Firewall (WAF) - Bescherming tegen applicatielaag-aanvallen door verdacht en malafide verkeer te filteren

PAS TOE OF LEG UIT

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:

  • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).