Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Vertrouwelijkheid en integriteit

IC klasse 

Minimale maatregelen

image-20241029-102153.pngimage-20241029-102211.png

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering

  • Er moet een logische scheiding zijn tussen toestellen-, gebruikers- en applicatiezone;

  • Er moet een logische scheiding zijn tussen toestellenzones en publieke gebruikerszones (bv. guest);

  • Per locatie wordt een aparte netwerkzone voorzien

  • Outbound web-datastromen worden ontsloten via proxyservers waarbij de proxy controleert op juist protocolgebruik;

  • Inbound datastromen worden enkel ontsloten via een mitigerende component (bv. proxyserver)

  • Bijkomende maatregelen moeten worden genomen op niveau apparatuur.  

Toegangscontrole

  • Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers):

    • Toegang gebaseerd op IP-adres en/of MAC adres

    • Toegang gebaseerd op gebruikersauthenticatie afhankelijk van risicobeoordeling.  

Transportbeveiliging:  

  • Versleutelde transportprotocollen (bv. https, sftp) zijn verplicht voor informatie die ontsloten is naar het internet. 

Datastroominspectie:  

  • Datastromen tussen de toestellenzone en applicatiezones of publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken, zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

  • Filteren op basis van type datastromen;

    • Beperken of blokkeren van bepaalde datastromen;

      • TLS inspectie van alle datastromen met data loss prevention (DLP)

      • Whitelist op toestellenniveau voor uitgaande datastromen.

    • Stateful inspection of gelijkwaardige technologie;

    • Werken vanuit default deny-principe;

    • Werken vanuit centraal opgestelde regels (ruleset);

  • IDS wordt actief ingezet voor monitoring (detectie, rapportering) van abnormaal gedrag op alle datastromen van en naar de toestellenzone.

  • IPS wordt op ingezet voor monitoring (detectie, rapportering) van abnormaal gedrag Cop alle datastromen van en naar de toestellenzone. Ingeval van mogelijke onderbrekingen met verstrekkende gevolgen dient een risicoanalyse uitgevoerd te worden om een eventuele expliciete beslissing tot het niet-implementeren van deze maatregel te onderbouwen.

  • Web- en emailfilters moeten worden ingezet voor controle van web- en email verkeer.

  • Alle datastromen van en naar de toestellenzone worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

    • Optreden tegen alle aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Scanning van bijlagen;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Beveiliging tegen zero-day-aanvallen (heuristic scanning);

    • Genereren van alarmen naar de antimalware-beheerders.. 

Draadloos netwerk:  

  • Zo instellen dat SSID (Service Set Identifier) niet wordt uitgezonden;

  • Wifi protected access toepassen: minstens WPA-2 met AES encryptie;

  • Verbinding met onbekende of onbeveiligde gast draadloze netwerken enkel via VPN. 

Logging en monitoring:

  • Toegang van en naar de applicatiezone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

  •  Actieve controle op ongewenste patronen in datastromen;

  • Toegang voor toestellenbeheer moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar;

  • Event logging op kritische netwerktoestellen in de toestellenzone (o.a. up/down gaan van switch-poorten);

  • In geval van hosting bij externe bedrijven: auditeerbaarheid van logging contractueel afdwingen.

  • Alle data geanalyseerd, indien aanwezig via een SIEM oplossing

  • Voor logging van toegangsbeheer: zie document ‘Vo informatieclassificatie – minimale maatregelen – PAM

  • Zie ook document ‘Vo informatieclassificatie – minimale maatregelen – SIEM’.

Beheer:

  • Versleutelde transportprotocollen of VPN moeten worden toegepast voor beheerstaken

  • Versleutelde transportprotocollen of VPN moeten worden toegepast voor write access vanuit andere netwerkzones.

image-20241029-102233.png

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

Transportbeveiliging:  

  • Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone. 

IDS:  

  • Aanwezig op alle datastromen van en naar IoT-zone. 

Inbraakpreventie:  

  • IPS aanwezig op alle datastromen van en naar IoT-zone. 

Content/URL filtering:  

  • Inspectie op uitgaand datastromen. 

Logging en monitoring: 

  • Event logging op alle netwerktoestellen; en 

  • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

image-20241029-102254.png

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3

Transportbeveiliging:

  • Enkel gebruik van versleutelde protocollen van en naar de betrokken component

image-20241029-102310.png

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:  

  • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

Transportbeveiliging:  

  • Voor transport buiten de zone toegang enkel toegestaan over VPN. 

SSL-inspectie:  

  • Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is. 

Beschikbaarheid - idem als vertrouwelijkheid +

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

High-availability:

  • Het voorzien van reserve-onderdelen en reservecomponenten volstaat.

Anti-DDoS:

  • Rate limiting: het beperken van het aantal verzoeken dat een gebruiker kan doen binnen een bepaalde tijd om overbelasting te voorkomen.

Alle maatregelen van Klasse 1 / Klasse 2 +

High-availability 

  • High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …).  

Anti-DDoS:

  • Voor toestellen die verbonden zijn met het internet:

    • Web Application Firewall (WAF) - Bescherming tegen applicatielaag-aanvallen door verdacht en malafide verkeer te filteren

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:

  • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

  • No labels