Skip to end of metadata
Go to start of metadata
You are viewing an old version of this page. View the current version.
Compare with Current
View Page History
« Previous
Version 3
Next »
Vertrouwelijkheid
IC klasse | Minimale maatregelen |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Netwerkzonering: Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden; Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ; Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken; Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst; Least privilege wordt toegepast voor datastromen van en naar de DMZ; en DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook document ‘Vo Informatieclassificatie – minimale maatregelen – fysische maatregelen’).
Transportbeveiliging: IDS: Inbraakpreventie: Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
Filteren op basis van type datastromen; Beperken of blokkeren van bepaalde datastromen; Stateful inspection of gelijkwaardige technologie; Werken vanuit default deny-principe; Werken vanuit centraal opgestelde regels (ruleset); en Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);
IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.
Antimalware: Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; Gecentraliseerd beheer; Altijd actief; Mogelijkheid tot real-time scanning; Niet-intrusief: de gebruiker minimaal belasten; Automatische updates van de signature database; Beveiliging tegen zero-day aanvallen; en Genereren van alarmen naar de antimalware-beheerders.
Content/URL filtering: SSL-inspectie: Logging: |
| Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + Netwerkzonering: Transportbeveiliging: Binnen de DMZ wordt enkel gebruik gemaakt van versleutelde protocollen. Cloud-omgeving: Sleutelbeheer buiten de cloud provider (eigen organisatie of trusted partner); Geen cloud provider kiezen zonder vestiging in de EU; en Auditeerbaarheid contractueel afdwingen.
Content/URL filtering: Logging: |
Integriteit
IC klasse | Minimale maatregelen |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Netwerkzonering: Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden; Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ; Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken; Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst; Least privilege wordt toegepast voor datastromen van en naar de DMZ; en DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook document ‘Vo Informatieclassificatie – minimale maatregelen – fysische maatregelen’).
Transportbeveiliging: IDS: Inbraakpreventie: Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
Filteren op basis van type datastromen; Beperken of blokkeren van bepaalde datastromen; Stateful inspection of gelijkwaardige technologie; Werken vanuit default deny-principe; Werken vanuit centraal opgestelde regels (ruleset); en Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);
IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.
Antimalware: Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; Gecentraliseerd beheer; Altijd actief; Mogelijkheid tot real-time scanning; Niet-intrusief: de gebruiker minimaal belasten; Automatische updates van de signature database; Beveiliging tegen zero-day-aanvallen; en Genereren van alarmen naar de antimalware-beheerders.
Content/URL filtering: SSL-inspectie: Logging en monitoring: |
| Alle maatregelen van Klasse 1 / Klasse 2 + Netwerkzonering: Transportbeveiliging: Cloud-omgeving: Sleutelbeheer buiten de cloud provider (eigen organisatie of trusted partner); Geen cloud provider kiezen zonder vestiging in de EU; en Auditeerbaarheid contractueel afdwingen.
Logging en monitoring: |
IC klasse | Minimale maatregelen |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Netwerkzonering: Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden; Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ; Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken; Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst; Least privilege wordt toegepast voor datastromen van en naar de DMZ; en DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook document ‘Vo Informatieclassificatie – minimale maatregelen – fysische maatregelen’).
IDS: Inbraakpreventie: Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
Filteren op basis van type datastromen; Beperken of blokkeren van bepaalde datastromen; Stateful inspection of gelijkwaardige technologie; Werken vanuit default deny-principe; Werken vanuit centraal opgestelde regels (ruleset); en Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);
IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.
Antimalware: Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd nop kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; Gecentraliseerd beheer; Altijd actief; Mogelijkheid tot real-time scanning; Niet-intrusief: de gebruiker minimaal belasten; Automatische updates van de signature database; Beveiliging tegen zero-day-aanvallen; en Genereren van alarmen naar de antimalware-beheerders.
Content/URL filtering: SSL-inspectie: Logging en monitoring: High-availability: Cloud-omgeving: |
| Alle maatregelen van Klasse 1 / Klasse 2 + Netwerkzonering: Logging en monitoring in het kader van beschikbaarheid: High-availability: |
| Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Cloud provider: |