3.3.2. Minimale maatregelen voor netwerken
De minimale maatregelen voor netwerken hebben enkel betrekking op de netwerkcomponenten. We onderscheiden:
- Passieve componenten: deze componenten hebben geen elektrische stroom nodig om te kunnen functioneren, voorbeelden zijn een netwerkkabel, connector of patch-panelen;
- Actieve componenten: deze netwerkcomponenten kunnen enkel werken als ze voorzien zijn van elektrische stroom (aan het net geschakeld of via een batterij), voorbeelden zijn switches, routers, hubs, repeaters.
- Intelligente actieve componenten: dit zijn alle componenten met ingebouwde rekencapaciteit, een processor zeg maar, waardoor ze geprogrammeerd kunnen worden om bepaalde taken uit te voeren. Deze categorie omvat de meeste hedendaagse netwerkcomponenten.
- Niet-intelligente actieve componenten: deze componenten hebben geen processor en dus geen interne rekencapaciteit, voorbeelden zijn (niet-intelligente) hubs en repeaters.
- Intelligente actieve componenten waarop een security policy wordt afgedwongen: deze componenten nemen acties op basis van een security policy, een set paramaters, vaak aangestuurd door een centrale policy server die bepaalt hoe de component handelt, voorbeelden zijn (next gen) firewalls, antimalware.
- Componenten voor beheerstaken: dit zijn componenten, vaak geïnstalleerd op servers van waaruit centraal een aantal netwerk toestellen worden beheerd. Dit houdt taken in zoals configureren, uitvoeren van wijzigingen, opstellen en verspreiden van policies, beheren van loginformatie, installeren van patches en nieuwe versies, enz.
De minimale maatregelen in volgende hoofdstukken gelden dus enkel voor deze netwerkcomponenten, en niet voor de andere apparatuur die deel uitmaakt van een netwerk (gebruikersapparatuur zoals desktops en laptops, servers met zakelijke en andere toepassingen, enz.), behalve wanneer het gaat over de plaatsing van deze apparatuur in het netwerk of wanneer dit uitdrukkelijk is vermeld.
We onderscheiden publieke en niet-publieke netwerken:
- Publieke netwerken: deze netwerken bevatten datastromen die niet onder het beleid van de organisatie vallen. Voorbeelden zijn het internet, publieke cloud-netwerken, partner-netwerken. Het beheer van zulke netwerken kan eventueel uitbesteed worden; en
- Niet-publieke netwerken: deze netwerken vallen volledig onder het beleid van de organisatie, en enkel datastromen conform dit beleid zijn toegelaten. De organisatie is dan ook verantwoordelijk en aansprakelijk voor deze netwerken.
Deze Confluencepagina's beschrijven enkel de maatregel voor netwerk, ICT-systemen en gebruikersapparatuur zitten niet in de scope van deze pagina's.
Classificatie netwerkcomponenten
Onafhankelijk van de classificatie van de informatie die doorheen de netwerkcomponent getransporteerd wordt, kunnen de componenten zelf ook in een klasse onderverdeeld worden:
Netwerkcomponent | Voorbeelden | Minimale klasse vertrouwelijkheid | Minimale klasse integriteit |
---|---|---|---|
Passieve componenten | Netwerkkabel, connector, patch-panelen | 1 | 1 |
Niet-intelligente actieve componenten | Hub, repeater | 1 | 1 |
Intelligente actieve componenten in eenzelfde zone | Switches en routers zonder policies of rapportering Switches of routers in IoT of bezoekersnetwerk | 1 | 2 |
Intelligente actieve componenten die voor connectiviteit zorgen tussen verschillende zones | Firewalls en routers met policy en rapportering | 3 | 3 |
Intelligente actieve componenten waarop een security policy wordt afgedwongen | Firewall, IPS, antimalware, SDN, Kubernetes | 3 | 3 |
Componenten metSSL-inspectie/ SSL- offloading | NextGen Firewall | 4 | 4 |
Componenten voor beheerstaken | SDN console, Kubernetes console | 3 | 4 |
Hypervisor | Virtuele machines | 4 | 4 |
Uiteraard moet ook nog de classificatie van de informatie die over de netwerkcomponent gaat, in rekening gebracht worden. De hoogste klasse is dan ook bepalend: indien informatie van klasse 3 over een netwerkcomponent van klasse 1 gaat, zal de netwerkcomponent automatisch ook tot klasse 3 gerekend worden.