5.1.1.1. Minimale algemene maatregelen
Vertrouwelijkheid
IC klasse | Minimale maatregelen |
---|---|
| |
Alle maatregelen van Klasse 1 +
| |
Alle maatregelen van Klasse 1 + Klasse 2 +
| |
Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +
| |
Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +
|
Integriteit
IC klasse | Minimale maatregelen |
---|---|
| |
Alle maatregelen van Klasse 1 +
| |
Alle maatregelen van Klasse 1 + Klasse 2 +
| |
Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +
| |
Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +
|
Beschikbaarheid
IC klasse | Minimale maatregelen |
---|---|
Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:
|
5.1.1.2. Minimale specifieke (GDPR) maatregelen
De minimale algemene maatregelen voor IAM moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk: 'minimale algemene maatregelen). Er zijn geen specifieke GDPR maatregelen voor IAM.
5.1.1.3. Minimale specifieke (NISII) maatregelen
In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.
5.1.1.4. Minimale specifieke (KSZ) maatregelen
Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van IAM toegepast worden:
TBA
5.1.1.5. Overzicht en integratie van de maatregelen
Onderstaande tabellen geven overzicht van de integratie van de verschillende maatregelen. De maatregelen moet je combineren. Elke toepassing heeft én een klasse voor Vertrouwelijkheid én een klasse voor Integriteit. Je moet de controles voor beide kwaliteitskenmerken implementeren.
Gerelateerd aan Vertrouwelijkheid
Gerelateerd aan Integriteit
Gerelateerd aan Beschikbaarheid
Afscherming van informatie
We gebruiken de onderstaande basisprincipes
(1) Permissief: Er worden geen specifieke maatregelen genomen om toegang tot informatie af te schermen of te controleren voor geprivilegieerde accounts. Het least access principe blijft altijd gerespecteerd.
(2) Restrictief: Er worden steeds maatregelen genomen om toegang tot informatie af te schermen voor niet geautoriseerde toegangen. (ACL-hygiëne) Voor geprivilegieerde toegangen worden een aantal bijkomende maatregelen geïmplementeerd, waaronder encryptie maatregelen, en controlemaatregelen zoals
PAM, Audit trailing, …
Het least access principe is altijd bevestigd in de risicoanalyse.
Minimaal identificatie niveau
Zie identificatie
Minimaal authenticatie niveau
Zie eIDAS
Minimaal autorisatie niveau
We gebruiken lidmaatschap van organisatie (incl. technische organisatorische maatregelen) als basis voor toegang tot publieke informatie.
Bij alle andere informatietypes groeperen we het criteria onder de term ‘functioneel’. Deze behoefte (criteria) is niet alleen een beveiligingsmaatregel, gekend als het least access principe, maar het is ook expliciet opgelegd door de toepasbare regelgeving
Functionele relatie met de informatie, zie criteria GDPR Art. 5.
(3) Functioneel: De gebruiker motiveert zijn toegang tot informatie op basis van een functionele behoefte met betrekking tot verwerking van de betrokken informatie.
(4) Strikt functioneel: De gebruiker motiveert zijn tijdelijke toegang tot informatie op basis van een functionele behoefte met betrekking tot verwerking van de betrokken informatie en deze behoefte wordt bevestigd door minimaal één geïdentificeerde en geautoriseerde individu. De betrokken eindgebruiker is uitgesloten in het validatie proces. Het beperken van de duur van de toegangen wordt sterk geadviseerd om het least access principe te versterken. Toegangen worden minimaal jaarlijks herzien
(5) Hoofdelijk: De gebruiker motiveert zijn tijdelijke toegang tot informatie op basis van een functionele behoefte met betrekking tot verwerking van de betrokken informatie en deze behoefte wordt bevestigd door minimaal twee geïdentificeerde en geautoriseerde individuen. De betrokken eindgebruiker is uitgesloten in het validatie proces.
De duur van de toegangen worden beperkt tot de functionele behoefte en worden minimaal jaarlijks herzien