5.4.3. Aanvullende informatie over de maatregelen (PAM)

5.4.3.1. Gebruik van de maatregelen in operationele context

We onderscheiden drie implementatieniveaus van de minimale maatregel PAM. Elk van deze niveaus laat de gebruiker toe om zowel de functionele behoeften bij de beheersactiviteiten in te vullen én tegemoet te komen aan de informatieverwerkingseisen die we terugvinden in de implementatiecriteria.

Het laagste niveau van implementatie van de PAM maatregel bevat:

• Toegangsbeheer

• Sterke identificatie van de gebruiker van het PAM-proces

• Dit is een minimale voorwaarde om toegang te verlenen tot het PAM-proces

• Sterke authenticatie laat toe om de identiteit achter alle operationele activiteiten te controleren

• Elke toegang is geautoriseerd door de toegangsbeheerder en minstens jaarlijks valideert de toepassingseigenaar de toegangsrechten. Er is een permanente, gemonitorde toegang tot het target account waarmee de privileged toegangen worden verworven

• Change, configuratie en release management

• Motivatie van de gebruiker om toegang te krijgen tot het target is niet verplicht. Er is geen verplichte integratie van change managementinformatie

• Auditeerbaarheid is gebaseerd op documentatie en punctuele ad hoc audits van zowel de operationele processen als de informatie verwerkende configuraties (Basis ISO27001/-2 dekt de generieke verwerkingscontext af)

• Toepassingsgebied

• Dit toepassingsniveau is geschikt voor beheer van componenten die algemene informatie verwerk tot en met [Informatieklasse 3] en dit voor zowel Vertrouwelijkheid als Integriteit.

• Dit toepassingsniveau is niet geschikt voor de verwerking van persoonsgegevens

In dit niveau kan, bij niet-afname van de bouwsteen PAMaaS, het PAM-proces volledig manueel verlopen.

Het middelste niveau van implementatie van de PAM maatregel bevat:

• Toegangsbeheer

• Sterke identificatie van de gebruiker van het PAM-proces

• Dit is een minimale voorwaarde om toegang te verlenen tot het PAM-proces

• Sterke authenticatie laat toe om de identiteit achter alle operationele activiteiten te controleren

• Elke toegang is geautoriseerd door de toegangsbeheerder en minstens jaarlijks valideert de toepassingseigenaar de toegangsrechten

• Er is een permanente gemonitorde en gemotiveerde toegang tot het target account waarmee de privileged toegangen worden verworven

• Alle activiteiten tijdens de uitvoering van de privileged toegang worden geregistreerd. Session recording, ook manueel, maakt dat de activiteiten in real-time en uitgesteld kunnen bekeken worden.

• Change, configuratie en release management

• Er gebeurt een verplichte validatie van de motivatie van de gebruiker. 

• Er is geen dubbele controle van de toegang op voorhand noodzakelijk. Periodieke controle gebeurt ‘post-mortem’ op basis van correlatie van logs die voortkomen uit de processen Change en Release Management en de logs van PAM zelf 

Als je de veiligheidsbouwsteen PAMaaS afneemt, is dit een standaard rapportage.  

• Auditeerbaarheid is gebaseerd op volgende risicorapportering 

  • Procescontrole: werd elke toegang correct afgedekt door een geregistreerde activiteit (change)

  • Pre-approved changes en operationele activiteiten (Changes) met een maximale duurtijd tot één jaar zijn toegestaan voor operationele teams

• Periodieke risicorapportering dekt zowel de operationele processen als de informatie verwerkende configuratie

  • Alle activiteiten van de gebruiker van het PAM-proces worden geregistreerd. Dit is de implementatie van het controleprincipe op basis van manueel logboek registratie of geautomatiseerde session recording in combinatie met de log informatie

• Toepassingsgebied

• Dit toepassingsniveau is geschikt voor beheer van componenten die algemene informatie verwerk tot en met [Informatieklasse 4] en dit voor zowel Vertrouwelijkheid als Integriteit.

• Dit toepassingsniveau is geschikt bij de verwerking van persoonsgegevens tot en met [Informatieklasse 3] en dit enkel voor Vertrouwelijkheid

In dit niveau is een automatische invulling van PAM verplicht. Het afnemen van PAMaaS is echter niet verplicht – entiteiten kunnen dit ook zelf invullen.   

Het hoogste niveau van implementatie van de PAM maatregel bevat:

• Toegangsbeheer

• Sterke identificatie van de gebruiker van het PAM-proces

• Dit is een minimale voorwaarde om toegang te verlenen tot het PAM-proces

• Sterke authenticatie laat toe om de identiteit achter alle operationele activiteiten te controleren

• Elke toegang is geautoriseerd via toegangsbeheer op basis van functionele noodzaak. Denk hierbij aan een interventie in kader van een incident.

• Er is geen permanente toegang tot het account met privileged toegangen binnen de informatieverwerking

• Er is een permanente gemonitorde en gemotiveerde toegang tot het target account waarmee de privileged toegangen worden verworven

• Alle activiteiten tijdens de uitvoering van de privileged toegang worden geregistreerd

• Session recording, ook manueel, maakt dat de activiteiten in realtime en uitgesteld kunnen bekeken worden.

• Change, configuratie en release management

• Er gebeurt een verplichte validatie van de motivatie van de gebruiker.

• Er is een dubbele controle voorzien op de aangeleverde motivatie vooraleer toestemming kan gegeven worden voor de toegang.

• De periodieke controle gebeurt net als bij de medium implementatie van het PAM-proces ‘postmortem’ op basis van logs die voortkomen uit de processen Change en Release Management en de logs van PAM zelf

• Auditeerbaarheid is gebaseerd op volgende risicorapportering

• Procescontrole: werd elke toegang correct afgedekt door een geregistreerde activiteit (change) Pre-approved changes en operationele activiteiten (Changes) zijn beperkt tot de reële functionele duurtijd van de activiteiten

• Periodieke risicorapportering dekt zowel de operationele processen als de informatie verwerkende configuratie

• Alle activiteiten van de gebruiker van het PAM-proces worden geregistreerd.

• Dit is de implementatie van het 4EYES principe op basis van manueel logboek registratie of geautomatiseerde session recording in combinatie met de log informatie

• Toepassingsgebied

• Dit toepassingsniveau is geschikt voor beheer van alle componenten in de informatie verwerken, en dit dus vanzelfsprekend voor zowel Vertrouwelijkheid als Integriteit

5.4.3.2. Rapportering in functie PAM  

Proces anomalieën

• Proces anomalieën worden opgespoord op basis van de correlaties van informatie uit verschillende processen of hun ondersteunende technische platformen

• Input:
  
  

  • Change log (Bron: Wijzigingsbeheer)

  • PAM log (Bron: Operationeel beheer informatieverwerking)

• Output:
  
  

  • Niet-gemotiveerde toegangen op basis van het ontbreken van een change record

  • Niet-gemotiveerde toegangen op basis van een ongeldig change record

• Toegang buiten het gevalideerde change venster (tijdframe)

• Toegang op basis van een niet gevalideerde change.

• Tijd van toestemming wordt gebruikt om antidatering te detecteren.

• Doel:
  
  

  • Operationele toegang tot informatieverwerking infrastructuur verantwoorden door gebruik te maken van de change managementprocessen

  • Niet geautoriseerde toegangen opsporen en corrigerende maatregelen initiëren

Configuratie anomalieën

• Configuratie anomalieën worden opgespoord op basis van de correlaties van informatie uit het PAM proces en de technische log uit de informatieverwerkingscomponenten

• Input:
  
  

  • PAM log (Bron: Operationeel beheer informatieverwerking)

  • Target log (Bron: Configuratie beheer van de technische component; Voorbeeld: security log host, middleware of toepassing)

• Output:
  
  

  • Identificatie van toegangen tot de informatieverwerking die buiten het PAM proces verlopen

•  Doel:
  
  

  • Efficiëntie van het PAM proces aantonen door het actief opsporen van achterdeur toegangen

  • Niet geautoriseerde toegangen opsporen en corrigerende maatregelen initiëren