Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Vertrouwelijkheid

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Least privilege toepassen voor datastromen van en naar de IoT-zone;

  • Logische scheiding met gebruikerszone;

  • Indien DMZ aanwezig: proxy verplichten; en

  • Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver)

Transportbeveiliging:

  • Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet;

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd; en

  • Versleutelde transportprotocollen voor write access vanuit gebruikerszone. 

Inbraakpreventie:

  • Filtering op basis van IP-adressen en protocollen. 

Antimalware:

  • Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software.

Content/URL filtering:

  • Whitelist op toepassing voor uitgaand datastromen naar internet. 

SSL-inspectie:

  • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

  • Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie document ‘Vo informatieclassificatie – minimale maatregelen – fysische maatregelen’).

Transportbeveiliging:

  • Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone.

IDS:

  • Aanwezig op alle datastromen van en naar IoT-zone.

Inbraakpreventie:

  • IPS aanwezig op alle datastromen van en naar IoT-zone.

Content/URL filtering:

  • Inspectie op uitgaand datastromen.

Logging en monitoring:

  • Event logging op alle netwerktoestellen; en

  • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3

Transportbeveiliging:

  • Enkel gebruik van versleutelde protocollen van en naar de betrokken component

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:

  • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

Transportbeveiliging:

  • Voor transport buiten de zone toegang enkel toegestaan over VPN.

SSL-inspectie:

  • Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is

Integriteit

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Least privilege toepassen voor datastromen van en naar de IoT-zone;

  • Logische scheiding met gebruikerszone;

  • Indien DMZ aanwezig: proxy verplichten; en

  • Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver)

Transportbeveiliging:

  • Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet (integriteitsbewaking);

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd (integriteitsbewaking); en

  • Versleutelde transportprotocollen voor write access vanuit gebruikerszone (integriteitsbewaking)

Inbraakpreventie:

  • Filtering op basis van IP-adressen en protocollen. 

Antimalware:

  • Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software.

SSL-inspectie:

  • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

Transportbeveiliging:

  • Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone (integriteitsbewaking). 

IDS:

  • Aanwezig op alle datastromen van en naar IoT-zone.

Inbraakpreventie:

  • IPS aanwezig op alle datastromen van en naar IoT-zone.

Logging en monitoring:

  • Event logging op alle netwerktoestellen; en

  • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Transportbeveiliging:

  • Enkel gebruik van versleutelde protocollen van en naar de betrokken component (integriteitsbewaking)

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:

  • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

Transportbeveiliging:

  • Voor transport buiten de zone toegang enkel toegestaan over VPN (integriteitsbewaking).

SSL-inspectie:

  • Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is

Beschikbaarheid

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Least privilege toepassen voor datastromen van en naar de IoT-zone;

  • Logische scheiding met gebruikerszone;

  • Indien DMZ aanwezig: proxy verplichten; en

  • Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver)

Transportbeveiliging:

  • Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet;

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd; en

  • Versleutelde transportprotocollen voor write access vanuit gebruikerszone. 

Inbraakpreventie:

  • Filtering op basis van IP-adressen en protocollen. 

Antimalware:

  • Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software.

SSL-inspectie:

  • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL-offloading of op de endpoints.

Logging en monitoring:

High-availability:

  • Het voorzien van reserve-onderdelen en reservecomponenten volstaat

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

IDS:

  • Aanwezig op alle datastromen van en naar IoT-zone.

Inbraakpreventie:

  • IPS aanwezig op alle datastromen van en naar IoT-zone.

Logging en monitoring:

  • Event logging op alle netwerktoestellen; en

  • IDS/ IPS-use cases moeten beschikbaar zijn voor SIEM

High-availability:

  • High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …). 

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:

  • Segmentatie per component (d.m.v.) bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

  • No labels