5.4.2. Minimale maatregelen voor PAM

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

• IAM:

  • Sterke identificatie via de federale overheid of afgeleide gecertifieerde bron (CSAM, Itsme,…)

    • Elke identiteit krijgt een unieke identificator 

  • Authenticatie maatregelen: EID.AS (Substantial)

  • Autorisatie registratie via toegangsbeheerproces

    • Gebruikersaccounts moeten gecategoriseerd worden; 

    • Toegangsrechten moeten worden opgesplitst op basis van rol en verantwoordelijkheden; 

  •  Autorisatie validatie:

    •  Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie (SoD / toegangsautorisatie)

    • Jaarlijkse periodieke herziening van de toegangen:

    • Hervalidatie toegang mogelijk op basis van eenvoudige motivatie;

    • Maximale duurtijd van de toegangsautorisatie in theorie onbeperkt, maar verplicht af te stemmen met reële noodzaak tot toegang (least access).

• Configuration Management:

  • Generieke documentatie van de toegangen, accounts, rollen: Technisch noodzakelijke toegangen op basis van het least access principe

  • Generieke documentatie access controle baseline voor de betrokken informatieverwerkingscomponenten

    • Rollen in relatie least access principe

    • Communicatieprotocol beschrijving

    • Authenticatie protocol beschrijving

    • Configuration and data protection (Network en malware bedreigingen)

• Log informatie: 

  • Toegang logs

  • (Lokaal) Toegangsbeheer log info (OS, Middleware, applicatie)

  • Privilege elevation log

  • Memory dump log

  • Log configuratie log

  • Log informatie op de infrastructuur ter beschikking houden gedurende 3 maand

• Reporting: Operationele opvolging toegangsbeheer op de gehele informatieverwerking ketting via SIEM

  • inclusief werkstations

  • inclusief systeem-systeem interacties

• Jaarlijkse review privileged toegangen (toegangsbeheer)

• Operationeel risicobeheer toegangsconfiguratie (Minimaal om de 12 maanden):

  • Identificatie en verwijderen van privileged accounts 

    • Slapende accounts (Laatst gebruikt > 1 jaar)

    • Disabled accounts (Laatst gebruikt > 3 maand)

    • Orphan accounts

    • Orphan (wees) accounts zijn accounts zonder relatie met een fysieke identiteiten:

      • Accounts zonder geïdentificeerde eigenaar

      • Relatie met een toepassing zonder toepassingsverantwoordelijke

  • Paswoord policy opvolging interactieve accounts

  • Paswoorden ouder dan 3 maand  

Alle maatregelen van Klasse 1 / Klasse 2 +

• IAM:

  • Authenticatie

    • Er is geen permanente toegang tot de authenticatie middelen

  • Autorisatie:

    • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede persoon (SoD/ 4EYES op niveau toegangsautorisatie)

      • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder

    • Bij connectie naar endpointdevice op werkplek: notificatie en expliciete toestemming van eindgebruiker verplicht 

    • Jaarlijkse periodieke herziening van de toegangen

    • Revalidatie toegang mogelijk op basis van motivatie door hiërarchische of toepassing verantwoordelijke

• Change Management:

  • Registratie van de motivatie tot toegang door middel van volgende change specificaties zijn toegestaan:

    • Change duurtijd is gebaseerd op functionele noodzaak

    • Pre-approved changes zijn toegestaan. Reguliere operationele opvolgingstaken door de informatieverwerker hebben een maximale duurtijd van 1 jaar. Ook hier kijkt men erop toe dat de toegangen beperkt zijn tot het absolute noodzakelijke.

    • Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking

    • Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.

  • Post-mortem validatie van de validatie (Anomalie rapportering)

• Configuration Management:

  • Generieke documentatie van de toegangen, accounts, rollen, protocolgebruik

  • Auditeerbaarheid van de configuratie garanderen

  • Operationeel risicobeheer naar kwetsbaarheden

  • Operationeel risicobeheer naar proces efficiëntie: Inactieve en slapende accounts (uitgezonderd systeem accounts)

  • Bij connectie naar endpointdevice op werkplek: notificatie en expliciete toestemming van eindgebruiker verplicht 

• Log informatie:

  • Change log in context Log correlatie

  • Op de infrastructuur ter beschikking houden gedurende 1 maand

  • Log historiek verwerken via een log management systeem (SYSLOG)

  • Log correlatie in context PAM

  • Log historiek offline archiveren gedurende 1 jaar

  • Session recording (4EYES) beschikbaar houden gedurende 1 jaar

• Log Management:

  • Afgedwongen log configuratie met gegarandeerd resultaat

  • Afgedwongen log centralisatie met gegarandeerd resultaat

• Reporting: Operationele opvolging privileged toegangen

  • Opvolging motivatie tot toegang tot informatieverwerking infrastructuur,
    middleware en toepassingscomponenten

  • Opvolging atypisch gebruik van systeem credentials (via SIEM) 

  • Opvolging toegangsconfiguratie / opsporen ‘achterdeuren’

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

•  IAM:

  • Authenticatie:
    

    • Er is geen permanente toegang tot de authenticatie middelen

    • Motivatie tot gebruik van de toegang wordt gevalideerd door de informatieverwerker (4EYES op motivatie gebruik toegang)

  • Autorisatie:

    • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede en derde persoon (SoD/ 4EYES op niveau toegangsautorisatie)

    • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp én de toepassingsbeheerder

    • Periodieke herziening van de toegangen, langer dan 1 jaar zijn niet toegestaan. Nieuw toegangsverzoek noodzakelijk.

• Change Management:

  • Change duurtijd is altijd gebaseerd op functionele noodzaak

  • De functionele noodzaak is steeds gedocumenteerd in de change.

  • Onderstaande types van changes zijn toegestaan:

    • Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking.

    • Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.

  • Pre-approved changes (voor o.a. reguliere operationele opvolgingstaken door de informatieverwerker) zijn niet toegestaan (Enkel geautomatiseerde opvolging onder strikte configuratie controle)

  • 4EYES validatie van het gebruik van de toegang door operationeel verantwoordelijke op basis van aangeleverde change validatie

  • 4EYES opvolging van de activiteiten

• Log informatie:

  • Log historiek offline archiveren gedurende 3 jaar

  • Session recording (4EYES) beschikbaar houden gedurende 1 jaar  

Alle maatregelen van Klasse 1 / Klasse 2 +  Klasse 3 + Klasse 4 +

• IAM:

  • Authenticatie:

    • EID.AS (High)

    • EID.AS (Substancial toegestaan bij technische beperkingen)

  • Autorisatie:

    • Duurtijd van een toegangsverzoek beperkt tot functionele noodzaak.

    • Periodieke herziening van de toegangen niet toegestaan. Nieuw toegangsverzoek noodzakelijk.  

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

• IAM

  • Sterke identificatie via de federale overheid of afgeleide gecertifieerde bron (CSAM, Itsme,…)

    • Elke identiteit krijgt een unieke identificator 

  • Authenticatie maatregelen: EID.AS (Substantial)

  • Autorisatie registratie via toegangsbeheerproces

    • Gebruikersaccounts moeten gecategoriseerd worden; 

    • Toegangsrechten moeten worden opgesplitst op basis van rol en verantwoordelijkheden; 

  •  Autorisatie validatie:

    •  Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie (SoD / toegangsautorisatie)

    • Jaarlijkse periodieke herziening van de toegangen:

    • Hervalidatie toegang mogelijk op basis van eenvoudige motivatie;

    • Maximale duurtijd van de toegangsautorisatie in theorie onbeperkt, maar verplicht af te stemmen met reële noodzaak tot toegang (least access).

• Configuration Management:

  • Generieke documentatie van de toegangen, accounts, rollen: Technisch noodzakelijke toegangen op basis van het least access principe

  • Generieke documentatie access controle baseline voor de betrokken informatieverwerkingscomponenten

    • Rollen in relatie least access principe

    • Communicatieprotocol beschrijving

    • Authenticatie protocol beschrijving

    • Configuration and data protection (Network en malware bedreigingen)

• Log informatie: 

  • Toegang logs

  • (Lokaal) Toegangsbeheer log info (OS, Middleware, applicatie)

  • Privilege elevation log

  • Memory dump log

  • Log configuratie log

  • Log informatie op de infrastructuur ter beschikking houden gedurende 3 maand

• Reporting: Operationele opvolging toegangsbeheer op de gehele informatieverwerking ketting via SIEM

  • inclusief werkstations

  • inclusief systeem-systeem interventies

• Jaarlijkse review privileged toegangen (toegangsbeheer)

• Operationeel risicobeheer toegangsconfiguratie (Minimaal om de 12 maanden):

  • Identificatie en verwijderen van privileged accounts 

    • Slapende accounts (Laatst gebruikt > 1 jaar)

    • Disabled accounts (Laatst gebruikt > 3 maand)

    • Orphan accounts

    • Orphan (wees) accounts zijn accounts zonder relatie met een fysieke identiteiten:

      • Accounts zonder geïdentificeerde eigenaar

      • Relatie met een toepassing zonder toepassingsverantwoordelijke

  • Paswoord policy opvolging interactieve accounts

  • Paswoorden ouder dan 3 maand

Alle maatregelen van Klasse 1 / Klasse 2 +

• IAM

  • Authenticatie: Er is geen permanente toegang tot de authenticatie middelen

  • Autorisatie:

    • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede persoon (SoD/ 4EYES op niveau toegangsautorisatie)

      • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder

    • Bij connectie naar endpointdevice op werkplek: notificatie en expliciete toestemming van eindgebruiker verplicht 

    • Jaarlijkse periodieke herziening van de toegangen

    • Revalidatie toegang mogelijk op basis van motivatie door hiërarchische of toepassing verantwoordelijke

• Change Management:

  • Registratie van de motivatie tot toegang door middel van volgende change specificaties zijn toegestaan:

    • Change duurtijd is gebaseerd op functionele noodzaak

    • Pre-approved changes zijn toegestaan. Reguliere operationele opvolgingstaken door de informatieverwerker hebben een maximale duurtijd van 1 jaar. Ook hier kijkt men erop toe dat de toegangen beperkt zijn tot het absolute noodzakelijke.

    • Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking

    • Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.

  • Post-mortem validatie van de validatie (Anomalie rapportering)

• Configuration Management:

  • Generieke documentatie van de toegangen, accounts, rollen, protocolgebruik

  • Auditeerbaarheid van de configuratie garanderen

  • Operationeel risicobeheer naar kwetsbaarheden

  • Operationeel risicobeheer naar proces efficiëntie: Inactieve en slapende accounts (uitgezonderd systeem accounts)

  • Automatisch beëindigen van sessie op afstand 

• Log informatie:

  • Change log in context Log correlatie

  • Op de infrastructuur ter beschikking houden gedurende 1 maand

  • Log historiek verwerken via een log management systeem (SYSLOG)

  • Log correlatie in context PAM

  • Log historiek offline archiveren gedurende 1 jaar

  • Session recording (4EYES) beschikbaar houden gedurende 1 jaar

• Log Management:

  • Afgedwongen log configuratie met gegarandeerd resultaat

  • Afgedwongen log centralisatie met gegarandeerd resultaat

• Reporting: Operationele opvolging privileged toegangen

  • Opvolging motivatie tot toegang tot informatieverwerking infrastructuur,
    middleware en toepassingscomponenten

  • Opvolging atypisch gebruik van systeem credentials (via SIEM) 

  • Opvolging toegangsconfiguratie / opsporen ‘achterdeuren’

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

• IAM

  • Authenticatie:

    • Er is geen permanente toegang tot de authenticatie middelen

    • Motivatie tot gebruik van de toegang wordt gevalideerd door de informatieverwerker (4EYES op motivatie gebruik toegang)

    • Voor communicatie tussen systemen onderling dient MFA toegepast te worden. 

  • Autorisatie:

    • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede en derde persoon (SoD/ 4EYES op niveau toegangsautorisatie)

    • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp én de toepassingsbeheerder

    • Periodieke herziening van de toegangen, langer dan 1 jaar zijn niet toegestaan. Nieuw toegangsverzoek noodzakelijk.

• Change Management:

  • Change duurtijd is altijd gebaseerd op functionele noodzaak

  • De functionele noodzaak is steeds gedocumenteerd in de change.

  • Onderstaande types van changes zijn toegestaan:

    • Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking.

    • Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.

  • Pre-approved changes (voor o.a. reguliere operationele opvolgingstaken door de informatieverwerker) zijn niet toegestaan (Enkel geautomatiseerde opvolging onder strikte configuratie controle)

  • 4EYES validatie van het gebruik van de toegang door operationeel verantwoordelijke op basis van aangeleverde change validatie

  • 4EYES opvolging van de activiteiten

• Log informatie:

  • Log historiek offline archiveren gedurende 3 jaar

  • Session recording (4EYES) beschikbaar houden gedurende 1 jaar

Alle maatregelen van Klasse 1 / Klasse 2 +  Klasse 3 + klasse 4 +

• IAM

  • Authenticatie:

    • EID.AS (High)

    • EID.AS (Substancial toegestaan bij technische beperkingen)

    • Sterke authenticatie voor communicatie tussen systemen via TLS certificaten 

  • Autorisatie:

    • Duurtijd van een toegangsverzoek beperkt tot functionele noodzaak.

    • Periodieke herziening van de toegangen niet toegestaan.

      • Nieuw toegangsverzoek noodzakelijk

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

• Beschikbaarheid van het proces is minimaal kantooruren (5d x 10u)  

Klasse 3 + Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

• Beschikbaarheid van het proces is 24u x 7d  

Er zijn geen GDPR specifieke maatregelen voor Klasse 1.

Klasse 2 t/m Klasse 4  kennen dezelfde maatregelen:

• Gedetailleerde logging op applicatieniveau van alle toegangen tot de informatie

• Inkijken van detailinformatie

• Aanpassingen aan detailinformatie

• Verwijderen van detailinformatie  

Er zijn geen GDPR specifieke maatregelen voor klasse 5.

IC klasse 

Minimale maatregelen 

Er zijn geen NIS2 specifieke maatregelen voor Klasse1, Klasse2 en Klasse3.

Klasse 4 kent volgende maatregelen

• Uitbreiding auditcapaciteiten 

  • Geautoriseerde individuen krijgen mogelijkheid om auditcapaciteiten en analysemogelijkheden uit te breiden wanneer vereist door incidenten of relevante gebeurtenissen. 

  • Uitvoering van uitbreidingen en alle bijbehorende acties worden gelogd en gecontroleerd. 

Er zijn geen NIS2 specifieke maatregelen voor klasse 5. 

IC klasse 

Minimale maatregelen 

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: 

• Elke organisatie moet de toegang van informatiebeheerders tot informaticasystemen beperken door identificatie, authenticatie, en autorisatie (Ref. KSZ 5.6.5). 

• Voorkomen dat een enkele persoon alleen de controle zou verwerven over dit proces (in productie stelling) (Ref. KSZ 5.9.2).