5.4.2.1. Minimale maatregelen
Vertrouwelijkheid
| |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: IAM: Sterke identificatie via de federale overheid of afgeleide gecertifieerde bron (CSAM, Itsme,…) Authenticatie maatregelen: EID.AS (Substantial) Autorisatie: Autorisatie validatie: Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie (SoD / toegangsautorisatie) Jaarlijkse periodieke herziening van de toegangen: Hervalidatie toegang mogelijk op basis van eenvoudige motivatie; Maximale duurtijd van de toegangsautorisatie in theorie onbeperkt, maar verplicht af te stemmen met reële noodzaak tot toegang (least access).
Configuration Management: Generieke documentatie van de toegangen, accounts, rollen: Technisch noodzakelijke toegangen op basis van het least access principe Generieke documentatie access controle baseline voor de betrokken informatieverwerkingscomponenten Rollen in relatie least access principe Communicatieprotocol beschrijving Authenticatie protocol beschrijving Configuration and data protection (Network en malware bedreigingen)
Log informatie: Toegang logs (Lokaal) Toegangsbeheer log info (OS, Middleware, applicatie) Privilege elevation log Memory dump log Log configuratie log Log informatie op de infrastructuur ter beschikking houden gedurende 3 maand
Reporting: Operationele opvolging toegangsbeheer op de gehele informatieverwerking ketting (inclusief werkstations) Jaarlijkse review privileged toegangen (toegangsbeheer) Operationeel risicobeheer toegangsconfiguratie (Minimaal om de 12 maanden): Identificatie en verwijderen van privileged accounts Slapende accounts (Laatst gebruikt > 1 jaar) Disabled accounts (Laatst gebruikt > 3 maand) Orphan accounts Orphan (wees) accounts zijn accounts zonder relatie met een fysieke identiteiten:
Paswoord policy opvolging interactieve accounts Paswoorden ouder dan 3 maand
|
| Alle maatregelen van Klasse 1 / Klasse 2 + |
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + IAM: Authenticatie:
Autorisatie: Validatie met goedkeuring van een door de organisatie geautoriseerd tweede en derde persoon (SoD/ 4EYES op niveau toegangsautorisatie) Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp én de toepassingsbeheerder Periodieke herziening van de toegangen, langer dan 1 jaar zijn niet toegestaan. Nieuw toegangsverzoek noodzakelijk.
Change Management: Change duurtijd is altijd gebaseerd op functionele noodzaak De functionele noodzaak is steeds gedocumenteerd in de change. Onderstaande types van changes zijn toegestaan: Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking. Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.
Pre-approved changes (voor o.a. reguliere operationele opvolgingstaken door de informatieverwerker) zijn niet toegestaan (Enkel geautomatiseerde opvolging onder strikte configuratie controle) 4EYES validatie van het gebruik van de toegang door operationeel verantwoordelijke op basis van aangeleverde change validatie 4EYES opvolging van de activiteiten
Log informatie:
|
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + IAM: Authenticatie: Autorisatie:
|
| |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: IAM Sterke identificatie via de federale overheid of afgeleide gecertifieerde bron (CSAM, Itsme,…) Configuration Management: Generieke documentatie van de toegangen, accounts, rollen: Technisch noodzakelijke toegangen op basis van het least access principe Generieke documentatie access controle baseline voor de betrokken informatieverwerkingscomponenten Rollen in relatie least access principe Communicatieprotocol beschrijving Authenticatie protocol beschrijving Configuration and data protection (Network en malware bedreigingen)
Log informatie: Toegang logs (Lokaal) Toegangsbeheer log info (OS, Middleware, applicatie) Privilege elevation log Memory dump log Log configuratie log Log informatie op de infrastructuur ter beschikking houden gedurende 3 maand
Reporting: Operationele opvolging toegangsbeheer op de gehele informatieverwerking ketting (inclusief werkstations) Jaarlijkse review privileged toegangen (toegangsbeheer) Operationeel risicobeheer toegangsconfiguratie (Minimaal om de 12 maanden): Identificatie en verwijderen van privileged accounts Slapende accounts (Laatst gebruikt > 1 jaar) Disabled accounts (Laatst gebruikt > 3 maand) Orphan accounts Orphan (wees) accounts zijn accounts zonder relatie met een fysieke identiteiten:
Paswoord policy opvolging interactieve accounts Paswoorden ouder dan 3 maand
|
| Alle maatregelen van Klasse 1 / Klasse 2 + IAM Authenticatie: Er is geen permanente toegang tot de authenticatie middelen Autorisatie: Validatie met goedkeuring van een door de organisatie geautoriseerd tweede persoon (SoD/ 4EYES op niveau toegangsautorisatie) Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder Jaarlijkse periodieke herziening van de toegangen Revalidatie toegang mogelijk op basis van motivatie door hiërarchische of toepassing verantwoordelijke
Change Management: Configuration Management:
Generieke documentatie van de toegangen, accounts, rollen, protocolgebruik Auditeerbaarheid van de configuratie garanderen Operationeel risicobeheer naar kwetsbaarheden
Operationeel risicobeheer naar proces efficiëntie: Inactieve en slapende accounts (uitgezonderd systeem accounts)
Log informatie: Change log in context Log correlatie Op de infrastructuur ter beschikking houden gedurende 1 maand Log historiek verwerken via een log management systeem (SYSLOG) Log correlatie in context PAM Log historiek offline archiveren gedurende 1 jaar Session recording (4EYES) beschikbaar houden gedurende 1 jaar
Log Management: Reporting: Operationele opvolging privileged toegangen Opvolging motivatie tot toegang tot informatieverwerking infrastructuur, middleware en toepassingscomponenten Opvolging toegangsconfiguratie / opsporen ‘achterdeuren’
|
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + IAM Authenticatie:
Autorisatie: Validatie met goedkeuring van een door de organisatie geautoriseerd tweede en derde persoon (SoD/ 4EYES op niveau toegangsautorisatie) Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp én de toepassingsbeheerder Periodieke herziening van de toegangen, langer dan 1 jaar zijn niet toegestaan. Nieuw toegangsverzoek noodzakelijk.
Change Management: Change duurtijd is altijd gebaseerd op functionele noodzaak De functionele noodzaak is steeds gedocumenteerd in de change. Onderstaande types van changes zijn toegestaan: Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking. Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.
Pre-approved changes (voor o.a. reguliere operationele opvolgingstaken door de informatieverwerker) zijn niet toegestaan (Enkel geautomatiseerde opvolging onder strikte configuratie controle) 4EYES validatie van het gebruik van de toegang door operationeel verantwoordelijke op basis van aangeleverde change validatie 4EYES opvolging van de activiteiten
Log informatie:
|
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + klasse 4 + IAM Authenticatie: Autorisatie: Duurtijd van een toegangsverzoek beperkt tot functionele noodzaak. Periodieke herziening van de toegangen niet toegestaan. Nieuw toegangsverzoek noodzakelijk
|
| |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: |
| Klasse 3 + Klasse 4 en Klasse 5 kennen dezelfde maatregelen: |
5.4.2.2. Minimale specifieke (GDPR) maatregelen
De minimale algemene maatregelen voor PAM moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').
Vertrouwelijkheid en integriteit
| |
---|
| Er zijn geen GDPR specifieke maatregelen voor Klasse 1. |
| Klasse 2 t/m Klasse 4 kennen dezelfde maatregelen: Gedetailleerde logging op applicatieniveau van alle toegangen tot de informatie Inkijken van detailinformatie Aanpassingen aan detailinformatie Verwijderen van detailinformatie
|
| Er zijn geen GDPR specifieke maatregelen voor klasse 5. |
Beschikbaarheid
Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.
5.4.2.3. Minimale specifieke (NISII) maatregelen
In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.
5.4.2.4. Minimale specifieke (KSZ) maatregelen
Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van PAM toegepast worden:
Beschikbaarheid, Integriteit en Vertrouwelijkheid
IC klasse | Minimale maatregelen |
| Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: Elke organisatie moet de toegang van informatiebeheerders tot informaticasystemen beperken door identificatie, authenticatie, en autorisatie (Ref. KSZ 5.6.5). Voorkomen dat een enkele persoon alleen de controle zou verwerven over dit proces (in productie stelling) (Ref. KSZ 5.9.2).
|