5.2.2.1. Minimale algemene maatregelen
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
 | Inrichten, documenteren, valideren en regelmatig reviewen van een veiligheidslogging en event proces: Documenteren, goedkeuren, onderhouden en testen (effectiviteit) van een veiligheidslogging en event proces; Automatisch melden van events in een centraal register; Analyse en monitoring van deze events; Detectie en uitsturen van waarschuwingen ingeval van anomalieën; Opstarten van incidentbeheer ingeval van afwijkende events die moeten onderzocht worden; Validatie van genomen maatregelen ingeval van een incidentafhandeling; Rapportering van de geregistreerde kwetsbaarheid; Uitvoeren van lessons learned voor het veiligheidslogging en event proces met het oog op het verkrijgen van inzichten in procesoptimalisaties.
|
      | Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen: Log informatie Krijgt minimaal dezeldfe informatieklasse 3 voor vertrouwelijkheid toegewezen als de informatieklasse voor vertrouwelijkheid van de data die verwerkt worden. Applicatie logs: cryptografische maatregelen i.v.m. log informatie zijn op hetzelfde niveau als de toepassing waaruit de log info aangemaakt wordt: zie pagina 3.1. Minimale maatregelen - Cryptografie ; Logging opzetten ter ondersteuning van het event en incidentproces Gebruikersactiviteit op alle endpoints binnen de organisatie meenemen Type gebeurtenis, Waar en wanneer de gebeurtenis plaats vond, Oorzaak en gevolg van de gebeurtenis, Accounts gelinkt aan de gebeurtenis.
Monitoring van verwijderen van loginformatie (clear log events); Beschermen van audit records: vertrouwelijkheid garanderen d.m.v.
Audit Trail & Monitoring Audit trail voor gebruik van systeemhulpmiddelen voor verwerking van informatie Voor gebruikersactiviteit op alle endpoints en access points binnen de organisatie
Monitoring Real-time analyse van audit records. Gebruik maken van tools voor analyse en rapportering Jaarlijks de auditfunctie evalueren.
Privileged Access Management Log Policy SIEM en IDS/IPS integratie |
| PAS TOE OF LEG UIT |
    | Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Audit Trail & Monitoring Logging integreren met scanning en monitoring capaciteiten. Event correlatie toepassen Centraal beheer van logbestanden 4-ogen principe toepassen bij elke wijziging aan de audit functionaliteit. Automatische real-time alarmen genereren en incident creëren bij detectie van onregelmatigheden (inclusief detectie van auditlogfouten en ongeautoriseerde lokale, netwerk- of externe verbindingen) met passende prioriteit Systematisch onderzoeken van alarmen Proces voor onderzoek naar meldingen, analyse en te ondernemen acties als gevolg van dit onderzoek Mappen van dreigingen op gekende aanvalsmethodes Volledige implicaties van een incident begrijpen Proces van continue verbetering als gevolg van monitoring toepassen
Regelmatig testen, verbeteren en valideren van de detectieregels Rapporteren van trends en KRI’s op relevante processen
SIEM en IDS/IPS Integratie |
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
  | Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen: Log informatie Audit Trail & Monitoring Backups Log informatie opnemen in het back-up schema. Back-ups regelmatig verifiëren op succesvolle aanmaak (in lijn met de criticiteit van de applicatie). Periodiek testen op herstelprocedures (recovery), in lijn met de criticiteit van de applicatie.
Log Policy Retentieperiode van lokale loginformatie beperken tot caching (totdat centrale opslag succesvol is geverifieerd). Retentie: lange termijn bewaring/archivering van loginformatie conform wet- en regelgeving.
SIEM en IDS/IPS integratie |
| PAS TOE OF LEG UIT |
  | Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Log Policy Centraal beheer van logbestanden Backup: rapportering over backup/recovery testen aan toepassingseigenaar, CISO/ DPO, Fysieke beveiliging: redundantie inregelen en periodiek testen met rapportering aan toepassingseigenaar, CISO/ DPO,
|
5.2.2.2. Minimale specifieke (GDPR) maatregelen
De minimale algemene maatregelen voor logging en monitoring moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').
Vertrouwelijkheid
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
| Er zijn geen GDPR specifieke maatregelen voor Klasse 2 |
| Klasse 3 maatregelen: Event correlatie toepassen. Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie. 4-ogen toepassen bij elke wijziging aan de audit functionaliteit. Elke toegang tot persoonsgegevens, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving: Tot natuurlijke persoon herleidbare gebruikersnaam of ID, tijdsstip (datum/uur), identificatie van het werkstation of locatie, gebruikte toepassing. De persoon die het object is van de handeling Het resultaat van de handeling
|
| PAS TOE OF LEG UIT |
 | Klasse 4 maatregelen: Alle maatregelen van Klasse 3 + |
 | Er zijn geen GDPR specifieke maatrgelen voor Klasse 5. |
Integriteit
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
| Er zijn geen GDPR specifieke maatregelen voor Klasse 2. |
 | Klasse 3 maatregelen: Timestamps in combinatie met digitale handtekening toepassen; Event correlatie toepassen; Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie; 4-ogen toepassen bij elke wijziging aan de audit functionaliteit; Elke toegang tot persoonsgegevens, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving: Tot natuurlijke persoon herleidbare gebruikersnaam of ID, tijdsstip (datum/uur), identificatie van het werkstation of locatie, De persoon die het object is van de handeling, Het resultaat van de handeling.
|
| PAS TOE OF LEG UIT |
 | Klasse 4 maatregelen: Alle maatregelen van Klasse 3 + |
| Er zijn geen GDPR specifieke maatregelen voor Klasse 5. |
Beschikbaarheid
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
 | Er zijn geen GDPR specifieke maatregelen voor Klasse 2. |
 | Klasse 3 maatregelen: Event correlatie toepassen; Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie; 4-ogen toepassen bij elke wijziging aan de audit functionaliteit; Elke toegang tot persoonsgegevens, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving: Tot natuurlijke persoon herleidbare gebruikersnaam of ID, tijdsstip (datum/uur), identificatie van het werkstation of locatie, gebruikte toepassing, De persoon die het object is van de handeling, Het resultaat van de handeling.
|
| PAS TOEF OF LEG UIT |
 | Klasse 4 maatregelen: Alle maatregelen van Klasse 3 + |
 | Er zijn geen GDPR specifieke maatregelen voor Klasse 5. |
5.2.2.3. Minimale specifieke (NIS2) maatregelen
NIS2 is een Europese richtlijn bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.
Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).
Afhankelijk van het CyFun zekerheidsniveau van de entiteit moet het proces voldoen aan volgende vereisten:
CyFun basis: zijn opgenomen in de klasse-onafhankelijke maatregelen;
CyFun belangrijk: de basisvereisten, aangevuld met automatisatie en toezicht van het proces;
CyFun essentieel: de vereisten voor ‘belangrijk’, aangevuld met integratie van het proces met andere processen waar nodig.
Daarnaast zijn volgende specifieke maatregelen van kracht:
Vertrouwelijkheid & Integriteit
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
  | Er zijn geen NIS2 specifieke maatregelen voor Klasse 1, Klasse 2, Klasse 3 en Klasse 4. |
| PAS TOE OF LEG UIT |
| Voor Klasse 5 gelden volgende maatregelen: SIEM en IDS/IPS Integratie |
Beschikbaarheid
Er zijn geen specifieke NIS2-maatregelen gedefinieerd rond beschikbaarheid.
5.2.2.4. Minimale specifieke (KSZ) maatregelen
Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van logging en monitoring toegepast worden:
Beschikbaarheid, Vertrouwelijkheid en integriteit
IC klasse | Minimale maatregelen |
|---|
            | Elke organisatie moet: Een formele procedure van logbeheer opzetten, valideren, communiceren en onderhouden. Transacties, controlewerkzaamheden, activiteiten van gebruikers, uitzonderingen en informatieveiligheid- en privacy-gebeurtenissen/incidenten gestructureerd vastleggen in afzonderlijke logbestanden, zodat iedere handeling naar de brondocumenten herleid kan worden of de uitgevoerde bewerking(en) gecontroleerd kan(kunnen) worden. Logbeheer moet meegenomen worden vanaf het design tijdens de ontwikkeling of bij de bepalingen van aankoopcriteria van toepassingen of systemen om “security/privacy by design” te realiseren. Elke toegang tot persoonlijke en vertrouwelijke gegevens die sociaal of medisch van aard zijn, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving. De interne klokken van alle informatiesystemen van de organisatie moeten gesynchroniseerd worden met een overeengekomen nauwkeurige tijdsbron zodat een betrouwbare analyse van logbestanden op verschillende informatiesystemen altijd mogelijk is. De noodzakelijke tools moeten beschikbaar zijn of ontwikkeld worden om log gegevens te kunnen laten analyseren door de geautoriseerde personen. Systeemgebruik moet zoveel als mogelijk automatisch worden gelogd, als dit niet mogelijk is kan ook gebruik gemaakt worden van een manueel logboek door systeembeheerders. Logbestanden moeten beschermd worden tegen inzage door onbevoegden, wijzigingen en verwijderingen. De logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoeken en controles en in overeenstemming met wetgeving en regelgeving. De raadpleging van logbestanden moet altijd het voorwerp zijn van een georganiseerde procedure binnen de organisatie met een historiek van de verzoeken die werden goedgekeurd/uitgevoerd of die werden afgekeurd. Het resultaat van logbeheer moet regelmatig geanalyseerd, gerapporteerd en beoordeeld worden (Ref. KSZ 5.9.5).
Elke organisatie moet: Elke toegang tot persoonlijke en vertrouwelijke gegevens die sociaal of medisch van aard zijn, loggen in overeenstemming met de beleidslijnen “logging” en de toepasselijke wetgeving en regelgeving (Ref. KSZ 5.11.7 a). In de specificaties van een project opnemen hoe de toegang tot en het gebruik van systemen en applicaties gelogd zal worden om bij te dragen tot de detectie van afwijkingen van de beleidslijnen informatieveiligheid en privacy. Het logbeheer moet minimaal beantwoorden aan de volgende doelstellingen: a. Glashelder, snel en eenvoudig kunnen bepalen wie, wanneer en op welke manier toegang heeft verkregen tot welke informatie b. De identificatie van de aard van de geraadpleegde informatie c. De duidelijke identificatie van de persoon (Ref. KSZ 5.11.7 b).
Rekening houden met reeds bestaande logbeheersystemen bij de evaluatie van logbehoeften in het kader van het project (Ref. KSZ 5.11.7 c). De noodzakelijke tools ter beschikking hebben of ontwikkelen om toe te laten deze log gegevens uit te baten door de geautoriseerde personen (Ref. KSZ 5.11.7 d). De algemene regel toepassen dat de transactionele/functionele log gegevens minimaal 10 jaar en de technische/infrastructurele log gegevens minimaal 2 jaar moeten bewaard blijven (Ref. KSZ 5.11.7 e).
|
