Page Comparison

PAS TOE

Image Added

Inrichten, documenteren, valideren en regelmatig reviewen van een veiligheidslogging en event proces: 

• Documenteren, goedkeuren, onderhouden en testen (effectiviteit) van een veiligheidslogging en event proces;  

• Automatisch melden van events in een centraal register; 

• Analyse en monitoring van deze events;

• Detectie en uitsturen van waarschuwingen ingeval van anomalieën;

• Opstarten van incidentbeheer ingeval van afwijkende events die moeten onderzocht worden;

• Validatie van genomen maatregelen ingeval van een incidentafhandeling; 

• Rapportering van de geregistreerde kwetsbaarheid; 

• Uitvoeren van lessons learned voor het veiligheidslogging en event proces met het oog op het verkrijgen van inzichten in procesoptimalisaties.

PAS TOE

Klasse 1, Klasse 2 enKlasse 3 kennen dezelfde maatregelen:

Log informatie

• Krijgt minimaal dezeldfe informatieklasse 3 voor vertrouwelijkheid toegewezen als de informatieklasse voor vertrouwelijkheid van de data die verwerkt worden. 

• Applicatie logs: cryptografische maatregelen i.v.m. log informatie zijn op hetzelfde niveau als de toepassing waaruit de log info aangemaakt wordt: zie pagina 3.1. Minimale maatregelen - Cryptografie ;

• Logging opzetten ter ondersteuning van het event en incidentproces

  • Gebruikersactiviteit op alle endpoints binnen de organisatie meenemen

  • Type gebeurtenis, 

  • Waar en wanneer de gebeurtenis plaats vond, 

  • Oorzaak en gevolg van de gebeurtenis, 

  • Accounts gelinkt aan de gebeurtenis. 

• Monitoring van verwijderen van loginformatie (clear log events);

• Beschermen van audit records: vertrouwelijkheid garanderen d.m.v.

  • Fysieke beveiliging en logische toegangscontrole.

  • Cryptografische maatregelen: zie 3.1. Minimale maatregelen - Cryptografie

Audit Trail & Monitoring

• Audit trail

  • voor gebruik van systeemhulpmiddelen

  • voor verwerking van informatie

  • Voor gebruikersactiviteit op alle endpoints en access points binnen de organisatie

• Monitoring

  • Real-time analyse van audit records. 

    • Alarmen genereren en opvolgen bij detectie van ongeautoriseerde end point devices 

  • Gebruik maken van tools voor analyse en rapportering 

  • Jaarlijks de auditfunctie evalueren. 

Privileged Access Management

• Gebruik van geprivilegieerde accounts (voor meer informatie zie https://vlaamseoverheid.atlassian.net/wiki/x/BpIHpwE)

Log Policy 

• Log policy opzetten voor alle systemen en toepassingen, 

• Voor kritische applicaties  

  • Logbestanden dienen gereviewed te worden 

  • Logbestanden dienen voor een bepaalde periode bijgehouden te worden 

SIEM en IDS/IPS integratie 

• Een SIEM platform voor de verwerking van de logging informatie moet voorzien worden 

  • Alle IDS en IPS systemen moeten op het SIEM platform geïntegreerd worden.  

  • De nodige capaciteit voor communicatie, opslag en verwerking dient voorzien te worden 

PAS TOE OF LEG UIT

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Audit Trail & Monitoring 

• Logging integreren met scanning en monitoring capaciteiten. 

• Event correlatie toepassen

• Centraal beheer van logbestanden 

• 4-ogen principe toepassen bij elke wijziging aan de audit functionaliteit. 

• Automatische real-time alarmen genereren en incident creëren bij detectie van onregelmatigheden (inclusief detectie van auditlogfouten en ongeautoriseerde lokale, netwerk- of externe verbindingen) met passende prioriteit 

• Systematisch onderzoeken van alarmen 

  • Proces voor onderzoek naar meldingen, analyse en te ondernemen acties als gevolg van dit onderzoek 

  • Mappen van dreigingen op gekende aanvalsmethodes 

  • Volledige implicaties van een incident begrijpen 

  • Proces van continue verbetering als gevolg van monitoring toepassen 

• Regelmatig testen, verbeteren en valideren van de detectieregels 

• Rapporteren van trends en KRI’s op relevante processen 

SIEM en IDS/IPS Integratie 

• Proces van continue verbetering als gevolg van monitoring toepassen 

  • Regelmatige evaluatie van detectieregels om de nauwkeurigheid en effectiviteit te waarborgen. 

  • Aanpassingen van processen en procedures op basis van analyses van incidenten en trends. 

  • Structurele aanpak van false positives door geavanceerde filtering en fine-tuning van detectieregels. 

  • Periodieke audits om te controleren of aanpassingen aan monitoringprocessen de gewenste impact hebben gehad. 

• Opvolging van systeemaccounts

PAS TOE

Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

Log informatie  

• Alarmen genereren en opvolgen als opslagcapaciteit voor logbestanden 80% bereikt heeft. 

Audit Trail & Monitoring 

• Backups 

• Log informatie opnemen in het back-up schema. 

• Back-ups regelmatig verifiëren op succesvolle aanmaak (in lijn met de criticiteit van de applicatie). 

• Periodiek testen op herstelprocedures (recovery), in lijn met de criticiteit van de applicatie. 

Log Policy 

• Retentieperiode van lokale loginformatie beperken tot caching (totdat centrale opslag succesvol is geverifieerd). 

• Retentie: lange termijn bewaring/archivering van loginformatie conform wet- en regelgeving. 

SIEM en IDS/IPS integratie 

• Fysieke beveiliging: reserveonderdelen of redundant uitvoeren van de omgeving. 

PAS TOE OF LEG UIT

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Log Policy

• Centraal beheer van logbestanden

• Backup: rapportering over backup/recovery testen aan toepassingseigenaar, CISO/ DPO,

• Fysieke beveiliging: redundantie inregelen en periodiek testen met rapportering aan toepassingseigenaar, CISO/ DPO,

PAS TOE

Er zijn geen NIS2 specifieke maatregelen voor Klasse 1, Klasse 2, Klasse 3 en Klasse 4.

PAS TOE OF LEG UIT

Voor Klasse 5 gelden volgende maatregelen:

SIEM en IDS/IPS Integratie 

• Wijzigingen die niet geautoriseerd zijn in change management dienen te worden geëscaleerd naar incidentbeheer, waar de nodige verdere acties dienen gedefinieerd te zijn