3.1.1.1. Minimale maatregelen - Cryptografie

• Versleuteling vindt plaats conform Common practices, crypto-algoritmes en protocollen: open standaarden.

• DIM
  Terminatie op de perimeter van het beveiligde netwerk; en

  • Technische standaard:
    TLS-protocol: forward secrecy verplicht indien technisch mogelijk.

• DIU

• Mitigerende maatregelen na risicoanalyse.

Alle maatregelen van Klasse 1 +
DAR

• Encryptie niet verplicht. Afscherming op niveau van organisatie d.m.v. fysieke en/of logische toegangsmaatregelen. 

Alle maatregelen van Klasse 1 + Klasse 2 +

• DAR

  • In een beschermde omgeving (d.w.z. een omgeving waar het veiligheidsbeheer onder Vo-controle is of de genomen maatregelen gekend zijn en als afdoende geacht worden door de Vo): afscherming op niveau functionele behoefte d.m.v. fysieke afscherming, logische toegangsbeveiliging. Enkel encryptie na risicoanalyse; en

  • In een onbeschermde omgeving (fysieke en logische toegangsmaatregelen niet afdoende en/of beveiligingsbeheer niet onder Vo-controle): encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, back-up, ...

• DIM

  • Veilige export buiten de toepassing (application layer, database, ...): fysieke beveiliging, logische toegangsbeveiliging (incl. interapp/intralayer transport);

  • Veilige export buiten de organisatie (Veiligheidsbeheer niet onder controle
    van de Vo): encryptie op niveau transport indien netwerk niet beschermd is
    en terminatie op niveau vertrouwde infrastructuur (bv. in DMZ); en

  • Technische standaard:

  • Transport (TLS) protocol (system-to-system): wederzijdse authenticatie (2-way TLS);

  • Transport (TLS) protocol (client-server): wederzijdse authenticatie;

    • 2-way TLS of;

    • 1-way TLS + eIDAS substantiële authenticatie

  • Certificaten en sleutels implementatiecriteria

    • Controle op gebruik sterke versleuteling verplicht; en

    • Implementatie CAA en DNSSEC op DNS CAA-records. 

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +

• DAR

  • Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, backup, ...

• DIM

  • Transport context-onafhankelijk (zowel binnen als buiten de organisatie); en

  • Technische standaard:

    • Gebruik van recentste versie TLS en forward secrecy verplicht

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

• DIM

  • Encryptie op zowel berichtniveau als transportniveau (tunnel)

• Versleuteling vindt plaats conform Common practices, crypto-algoritmes en protocollen: open standaarden.

• DIM

  • Terminatie op de perimeter van het beveiligde netwerk; en

  • Technische standaard:

    • TLS-protocol: forward secrecy verplicht indien technisch mogelijk.

• DIU

  • Mitigerende maatregelen na risicoanalyse.

Alle maatregelen van Klasse 1 +

• DAR

  • Encryptie niet verplicht. Afscherming op niveau van organisatie d.m.v.fysieke en/of logische toegangsmaatregelen. 

Alle maatregelen van Klasse 1 + Klasse 2 +

• DAR

  • In een beschermde omgeving (d.w.z. een omgeving waar het veiligheidsbeheer onder Vo-controle is of de genomen maatregelen gekend zijn en als afdoende geacht worden door de Vo): afscherming op niveau functionele behoefte d.m.v. fysieke afscherming, logische toegangsbeveiliging. Enkel encryptie na risicoanalyse; en

  • In een onbeschermde omgeving (fysieke en logische toegangsmaatregelen niet afdoende en/of beveiligingsbeheer niet onder Vo-controle): encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, back-up, ...

• DIM

  • Veilige export buiten de toepassing (application layer, database, ...): fysieke beveiliging, logische toegangsbeveiliging (incl. interapp/ intralayer transport);

  • Veilige export buiten de organisatie (Veiligheidsbeheer niet onder controle van de Vo): encryptie op niveau transport indien netwerk niet beschermd is en terminatie op niveau vertrouwde infrastructuur (bv. in DMZ); en

  • Technische standaard:

  • Transport (TLS) protocol (system-to-system): wederzijdse authenticatie (2- way TLS);

  • Transport (TLS) protocol (client-server): wederzijdse authenticatie;

    • 2-way TLS of;

    • 1-way TLS + eIDAS substantiële authenticatie

  • Certificaten en sleutels implementatiecriteria

    • Controle op gebruik sterke versleuteling verplicht; en

    • Implementatie CAA en DNSSEC op DNS CAA-records. 

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +

• DAR

  • Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, backup, ...

• DIM

  • Transport context-onafhankelijk (zowel binnen als buiten de organisatie)

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

• DIM

  • Encryptie op zowel berichtniveau als transportniveau (tunnel)

Klasse 1 + Klasse 2 kennen dezelfde maatregelen:

• Reserve-onderdelen en -componenten voorzien

Klasse 3 + Klasse 4 + klasse 5 kennen dezelfde maatregelen: 

Alle maatregelen van  Klasse 1 + Klasse 2 +

• High-availability-infrastructuur implementeren (zie ‘Vo informatieclassificatie – minimale maatregelen – netwerken').

Er zijn geen GDPR maatregelen voor klasse 1 

Klasse 2 t/m Klasse 5 kennen dezelfde maatregelen:  

• DAR
  

  • Advies VTC 02/2018 d.d. 18 april 2018

    • Encryptie toepassen bij centrale opslag (datacenter) in een beschermde omgeving (d.w.z. omgeving waar het veiligheidsbeheer onder Vo-controle is of de genomen maatregelen gekend zijn en als afdoende geacht worden door de Vo): afscherming op niveau functionele behoefte d.m.v. fysieke afscherming, logische toegangsbeveiliging; en

    • In een onbeschermde omgeving (fysieke en logische toegangsmaatregelen niet afdoende en/of beveiligingsbeheer niet onder Vo-controle): Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, back-up, ...

• DIM

  • Tunnel of bericht encryptie.