3.4.2.5. Minimale maatregelen in de bezoekerszone

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering: 

• Er moet een logische scheiding zijn tussen de bezoekerszone en alle andere gedefinieerde netwerkzones, dit geldt ook voor draadloze netwerken (bvb bezoekerswifi);

• Om de netwerkintegriteit van kritieke systemen te beschermen, mogen deze systemen niet in de bezoekerszone geplaatst worden,

• Per locatie wordt een aparte bezoekers netwerkzone voorzien;

• Outbound web-datastromen worden ontsloten via proxyservers waarbij de proxy controleert op juist protocolgebruik;

• Inbound datastromen zijn niet toegestaan;

• Any to any datastromen in de bezoekerszone zijn niet toegestaan.   

Datastroominspectie:  

• Datastromen tussen de bezoekerszone en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken, zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

  • Beperken of blokkeren van bepaalde datastromen;

    • TLS inspectie van alle datastromen

  • Stateful inspection of gelijkwaardige technologie;

  • Werken vanuit default deny-principe;

  • Werken vanuit centraal opgestelde regels (ruleset);

• Rechtstreeks datastromen tussen de bezoekerszone en andere interne zones zijn niet toegestaan, deze moeten verlopen via publieke netwerken.

•  Web- en emailfilters moeten worden ingezet voor controle van web- en email verkeer.

• Alle datastromen van en naar de bezoekerszone worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

  • Optreden tegen alle aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Scanning van bijlagen;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day-aanvallen (heuristic scanning);

  • Genereren van alarmen naar de antimalware-beheerders. 

Draadloos netwerk:  

• Zo instellen dat SSID (Service Set Identifier) niet wordt uitgezonden;

• Wifi protected access toepassen: minstens WPA-2 met AES encryptie;

• Verbinding met onbekende of onbeveiligde gast draadloze netwerken enkel via VPN. 

Logging en monitoring:

• Toegang van en naar bezoekerszone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Toegang van server-beheer en beheer netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar;

• Voor logging van toegangsbeheer: zie document ‘Vo informatieclassificatie – minimale maatregelen – PAM’; en

• Zie ook document ‘Vo informatieclassificatie – minimale maatregelen – SIEM'.

Klasse 3, Klasse 4 en Klasse 5 zijn niet toegestaan in de bezoekerszone.

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

High-availability:

• Het voorzien van reserve-onderdelen en reservecomponenten volstaat.

De bezoekerszone kent geen Klasse 3, Klasse 4 of Klasse 5.