Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 6 Next »

Vertrouwelijkheid

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Patching en hardening:

  • Besturingssystemen van ICT-systemen moeten up-to-date zijn (dus niet kwetsbaar voor gekende kwetsbaarheden ondersteund door leverancier);

  • Beveiligingsupdates dienen zo snel mogelijk geïnstalleerd te worden;

  • Er worden alleen protocollen gebruikt die nodig zijn voor de benodigde functionaliteit, andere protocollen worden verwijderd of disabled;

  • Alle onnodige services dienen uitgezet te worden;

  • Toepassen van een goedgekeurd en up-to-date paswoordbeleid voor systeemaccounts en voor geprivilegieerde accounts, dit houdt o.a. in dat alle paswoorden ingesteld door derden (bv. leveranciers) dienen te worden gewijzigd;

  • Voor het beheer van ICT-systemen zijn geprivilegieerde accounts nodig, beheer van deze accounts moet via PAM-proces: zie ook pagina ‘Vo Informatieclassificatie – minimale maatregelen – PAM’; en

  • Indien IDS/ IPS/ antimalware-oplossingen aanwezig zijn, dienen deze periodiek updates te ontvangen via een automatisch proces.

Detectie:

  • Host-based IDS inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based IDS versleutelde trafiek te inspecteren.

Inbraakpreventie:

  • Host-based firewall inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based firewall versleutelde trafiek te inspecteren.

  • Host-based IPS inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren.

Antimalware:

  •  Alle datastromen die het ICT-systeem binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig,
    rekening houdende met volgende criteria:

    • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Tegen zero-day-aanvallen; en

    • Genereren van alarmen naar de antimalware-beheerders.

Logging:

Alle maatregelen van Klasse 1 / Klasse 2 +

Interne controle op kwetsbaarheden:

  • Zie document ‘Vo informatieclassificatie – minimale maatregelen – veiligheidstesten’.

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Interne controle op kwetsbaarheden:

Logging:

  • Event logging wordt opgezet voor alle ICT-systemen; en

  • IDS/ IPS-use cases moeten beschikbaar zijn voor SIEM

Integriteit

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Patching en hardening:

  • Besturingssystemen van ICT-systemen moeten up-to-date zijn (dus niet kwetsbaar voor gekende kwetsbaarheden ondersteund door leverancier);

  • Beveiligingsupdates dienen zo snel mogelijk geïnstalleerd te worden;

  • Er worden alleen protocollen gebruikt die nodig zijn voor de benodigde functionaliteit, andere protocollen worden verwijderd of disabled;

  • Alle onnodige services dienen uitgezet te worden;

  • Toepassen van een goedgekeurd en up-to-date paswoordbeleid voor systeemaccounts en voor geprivilegieerde accounts, dit houdt o.a. in dat alle paswoorden ingesteld door derden (bv. leveranciers) dienen te worden gewijzigd;

  • Voor het beheer van ICT-systemen zijn geprivilegieerde accounts nodig, beheer van deze accounts moet via PAM-proces: zie ook document ‘Vo Informatieclassificatie – minimale maatregelen – PAM’; en

  • Indien IDS/ IPS/ antimalware-oplossingen aanwezig zijn, dienen deze periodiek updates te ontvangen via een automatisch proces.

Detectie:

  • Host-based IDS inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based IDS versleutelde trafiek te inspecteren.

Inbraakpreventie:

  • Host-based firewall inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based firewall versleutelde trafiek te inspecteren.

  • Host-based IPS inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren.

Antimalware:

  •  Alle datastromen die het ICT-systeem binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig,
    rekening houdende met volgende criteria:

    • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Beveiliging tegen zero-day-aanvallen; en

    • Genereren van alarmen naar de antimalware-beheerders.

Logging:

Alle maatregelen van Klasse 1 / Klasse 2 +

Interne controle op kwetsbaarheden:

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Interne controle op kwetsbaarheden:

Logging:

  • Event logging wordt opgezet voor alle ICT-systemen; en

  • IDS/ IPS-use cases moeten beschikbaar zijn voor SIEM

Beschikbaarheid

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Detectie:

  • Host-based IDS inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based IDS versleutelde trafiek te inspecteren.

Inbraakpreventie:

  • Host-based firewall inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based firewall versleutelde trafiek te inspecteren.

  • Host-based IPS inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren.

Antimalware:

  •  Alle datastromen die het ICT-systeem binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig,
    rekening houdende met volgende criteria:

    • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Beveiliging tegen zero-day-aanvallen; en

    • Genereren van alarmen naar de antimalware-beheerders.

Logging:

High-availability

  • Het voorzien van reserve-onderdelen en reservecomponenten volstaat. 

Alle maatregelen van Klasse 1 / Klasse 2 +

Interne controle op kwetsbaarheden:

High-availability

  • High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …)

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Interne controle op kwetsbaarheden:

  • No labels