Document toolboxDocument toolbox

5.4.2. Minimale maatregelen voor PAM

Owned by Yentl Goossens (Unlicensed)
Last updated: 15 Dec, 2023 by Nele Lowet (Unlicensed)
9 min read

5.4.2.1. Minimale maatregelen 

Vertrouwelijkheid

IC klasse

 Minimale maatregelen

IC klasse

 Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • IAM:

    • Sterke identificatie via de federale overheid of afgeleide gecertifieerde bron (CSAM, Itsme,…)

    • Authenticatie maatregelen:

    • EID.AS (Substantial)

    • Autorisatie:

      • Autorisatie registratie via toegangsbeheerproces

    •  Autorisatie validatie:

      •  Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie (SoD / toegangsautorisatie)

      • Jaarlijkse periodieke herziening van de toegangen:

      • Hervalidatie toegang mogelijk op basis van eenvoudige motivatie;

      • Maximale duurtijd van de toegangsautorisatie in theorie onbeperkt, maar verplicht af te stemmen met reële noodzaak tot toegang (least access).

  • Configuration Management:

    • Generieke documentatie van de toegangen, accounts, rollen: Technisch noodzakelijke toegangen op basis van het least access principe

    • Generieke documentatie access controle baseline voor de betrokken informatieverwerkingscomponenten

      • Rollen in relatie least access principe

      • Communicatieprotocol beschrijving

      • Authenticatie protocol beschrijving

      • Configuration and data protection (Network en malware bedreigingen)

  • Log informatie: 

    • Toegang logs

    • (Lokaal) Toegangsbeheer log info (OS, Middleware, applicatie)

    • Privilege elevation log

    • Memory dump log

    • Log configuratie log

    • Log informatie op de infrastructuur ter beschikking houden gedurende 3 maand

  • Reporting: Operationele opvolging toegangsbeheer op de gehele informatieverwerking ketting (inclusief werkstations)

  • Jaarlijkse review privileged toegangen (toegangsbeheer)

  • Operationeel risicobeheer toegangsconfiguratie (Minimaal om de 12 maanden):

    • Identificatie en verwijderen van privileged accounts 

      • Slapende accounts (Laatst gebruikt > 1 jaar)

      • Disabled accounts (Laatst gebruikt > 3 maand)

      • Orphan accounts

      • Orphan (wees) accounts zijn accounts zonder relatie met een fysieke identiteiten:

        • Accounts zonder geïdentificeerde eigenaar

        • Relatie met een toepassing zonder toepassingsverantwoordelijke

    • Paswoord policy opvolging interactieve accounts

    • Paswoorden ouder dan 3 maand  

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • IAM:

    • Authenticatie: Er is geen permanente toegang tot de authenticatie middelen

    • Autorisatie:

      • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede persoon (SoD/ 4EYES op niveau toegangsautorisatie)

      • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder

      • Jaarlijkse periodieke herziening van de toegangen

      • Revalidatie toegang mogelijk op basis van motivatie door hiërarchische of toepassing verantwoordelijke

  • Change Management:

    • Registratie van de motivatie tot toegang door middel van volgende change specificaties zijn toegestaan:

      • Change duurtijd is gebaseerd op functionele noodzaak

      • Pre-approved changes zijn toegestaan. Reguliere operationele opvolgingstaken door de informatieverwerker hebben een maximale duurtijd van 1 jaar. Ook hier kijkt men erop toe dat de toegangen beperkt zijn tot het absolute noodzakelijke.

      • Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking

      • Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.

    • Post-mortem validatie van de validatie (Anomalie rapportering)

  • Configuration Management:

    • Generieke documentatie van de toegangen, accounts, rollen, protocolgebruik

    • Auditeerbaarheid van de configuratie garanderen

    • Operationeel risicobeheer naar kwetsbaarheden

    • Operationeel risicobeheer naar proces efficiëntie: Inactieve en slapende accounts (uitgezonderd systeem accounts)

  • Log informatie:

    • Change log in context Log correlatie

    • Op de infrastructuur ter beschikking houden gedurende 1 maand

    • Log historiek verwerken via een log management systeem (SYSLOG)

    • Log correlatie in context PAM

    • Log historiek offline archiveren gedurende 1 jaar

    • Session recording (4EYES) beschikbaar houden gedurende 1 jaar

  • Log Management:

    • Afgedwongen log configuratie met gegarandeerd resultaat

    • Afgedwongen log centralisatie met gegarandeerd resultaat

  • Reporting: Operationele opvolging privileged toegangen

    • Opvolging motivatie tot toegang tot informatieverwerking infrastructuur,
      middleware en toepassingscomponenten

    • Opvolging toegangsconfiguratie / opsporen ‘achterdeuren’

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

 

  •  IAM:

    • Authenticatie:

      • Er is geen permanente toegang tot de authenticatie middelen

      • Motivatie tot gebruik van de toegang wordt gevalideerd door de informatieverwerker (4EYES op motivatie gebruik toegang)

    • Autorisatie:

      • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede en derde persoon (SoD/ 4EYES op niveau toegangsautorisatie)

      • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp én de toepassingsbeheerder

      • Periodieke herziening van de toegangen, langer dan 1 jaar zijn niet toegestaan. Nieuw toegangsverzoek noodzakelijk.

  • Change Management:

    • Change duurtijd is altijd gebaseerd op functionele noodzaak

    • De functionele noodzaak is steeds gedocumenteerd in de change.

    • Onderstaande types van changes zijn toegestaan:

      • Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking.

      • Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.

    • Pre-approved changes (voor o.a. reguliere operationele opvolgingstaken door de informatieverwerker) zijn niet toegestaan (Enkel geautomatiseerde opvolging onder strikte configuratie controle)

    • 4EYES validatie van het gebruik van de toegang door operationeel verantwoordelijke op basis van aangeleverde change validatie

    • 4EYES opvolging van de activiteiten

  • Log informatie:

    • Log historiek offline archiveren gedurende 3 jaar

    • Session recording (4EYES) beschikbaar houden gedurende 1 jaar  

Alle maatregelen van Klasse 1 / Klasse 2 +  Klasse 3 + Klasse 4 +

 

  • IAM:

    • Authenticatie:

      • EID.AS (High)

      • EID.AS (Substancial toegestaan bij technische beperkingen)

    • Autorisatie:

      • Duurtijd van een toegangsverzoek beperkt tot functionele noodzaak.

      • Periodieke herziening van de toegangen niet toegestaan. Nieuw toegangsverzoek noodzakelijk.  

Integriteit

IC klasse

 Minimale maatregelen

IC klasse

 Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • IAM

  • Sterke identificatie via de federale overheid of afgeleide gecertifieerde bron (CSAM, Itsme,…)

    • Authenticatie maatregelen:

    • EID.AS (Substantial)

    • Autorisatie:

      • Autorisatie registratie via toegangsbeheerproces

    •  Autorisatie validatie:

      •  Onderwerp mag niet deelnemen aan de validatie van de betrokken autorisatie (SoD / toegangsautorisatie)

      • Jaarlijkse periodieke herziening van de toegangen:

      • Hervalidatie toegang mogelijk op basis van eenvoudige motivatie;

      • Maximale duurtijd van de toegangsautorisatie in theorie onbeperkt, maar verplicht af te stemmen met reële noodzaak tot toegang (least access).

  • Configuration Management:

    • Generieke documentatie van de toegangen, accounts, rollen: Technisch noodzakelijke toegangen op basis van het least access principe

    • Generieke documentatie access controle baseline voor de betrokken informatieverwerkingscomponenten

      • Rollen in relatie least access principe

      • Communicatieprotocol beschrijving

      • Authenticatie protocol beschrijving

      • Configuration and data protection (Network en malware bedreigingen)

  • Log informatie: 

    • Toegang logs

    • (Lokaal) Toegangsbeheer log info (OS, Middleware, applicatie)

    • Privilege elevation log

    • Memory dump log

    • Log configuratie log

    • Log informatie op de infrastructuur ter beschikking houden gedurende 3 maand

  • Reporting: Operationele opvolging toegangsbeheer op de gehele informatieverwerking ketting (inclusief werkstations)

  • Jaarlijkse review privileged toegangen (toegangsbeheer)

  • Operationeel risicobeheer toegangsconfiguratie (Minimaal om de 12 maanden):

    • Identificatie en verwijderen van privileged accounts 

      • Slapende accounts (Laatst gebruikt > 1 jaar)

      • Disabled accounts (Laatst gebruikt > 3 maand)

      • Orphan accounts

      • Orphan (wees) accounts zijn accounts zonder relatie met een fysieke identiteiten:

        • Accounts zonder geïdentificeerde eigenaar

        • Relatie met een toepassing zonder toepassingsverantwoordelijke

    • Paswoord policy opvolging interactieve accounts

    • Paswoorden ouder dan 3 maand

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • IAM

  • Authenticatie: Er is geen permanente toegang tot de authenticatie middelen

    • Autorisatie:

      • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede persoon (SoD/ 4EYES op niveau toegangsautorisatie)

      • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp of de toepassingsbeheerder

      • Jaarlijkse periodieke herziening van de toegangen

      • Revalidatie toegang mogelijk op basis van motivatie door hiërarchische of toepassing verantwoordelijke

  • Change Management:

    • Registratie van de motivatie tot toegang door middel van volgende change specificaties zijn toegestaan:

      • Change duurtijd is gebaseerd op functionele noodzaak

      • Pre-approved changes zijn toegestaan. Reguliere operationele opvolgingstaken door de informatieverwerker hebben een maximale duurtijd van 1 jaar. Ook hier kijkt men erop toe dat de toegangen beperkt zijn tot het absolute noodzakelijke.

      • Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking

      • Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.

    • Post-mortem validatie van de validatie (Anomalie rapportering)

  • Configuration Management:

    • Generieke documentatie van de toegangen, accounts, rollen, protocolgebruik

    • Auditeerbaarheid van de configuratie garanderen

    • Operationeel risicobeheer naar kwetsbaarheden

    • Operationeel risicobeheer naar proces efficiëntie: Inactieve en slapende accounts (uitgezonderd systeem accounts)

  • Log informatie:

    • Change log in context Log correlatie

    • Op de infrastructuur ter beschikking houden gedurende 1 maand

    • Log historiek verwerken via een log management systeem (SYSLOG)

    • Log correlatie in context PAM

    • Log historiek offline archiveren gedurende 1 jaar

    • Session recording (4EYES) beschikbaar houden gedurende 1 jaar

  • Log Management:

    • Afgedwongen log configuratie met gegarandeerd resultaat

    • Afgedwongen log centralisatie met gegarandeerd resultaat

  • Reporting: Operationele opvolging privileged toegangen

    • Opvolging motivatie tot toegang tot informatieverwerking infrastructuur,
      middleware en toepassingscomponenten

    • Opvolging toegangsconfiguratie / opsporen ‘achterdeuren’

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

 

  • IAM

  • Authenticatie:

    • Er is geen permanente toegang tot de authenticatie middelen

    • Motivatie tot gebruik van de toegang wordt gevalideerd door de informatieverwerker (4EYES op motivatie gebruik toegang)

    • Autorisatie:

      • Validatie met goedkeuring van een door de organisatie geautoriseerd tweede en derde persoon (SoD/ 4EYES op niveau toegangsautorisatie)

      • Voorbeeld: Lokale beheerder doet de registratie en deze wordt gevalideerd door de leidinggevende van het onderwerp én de toepassingsbeheerder

      • Periodieke herziening van de toegangen, langer dan 1 jaar zijn niet toegestaan. Nieuw toegangsverzoek noodzakelijk.

  • Change Management:

    • Change duurtijd is altijd gebaseerd op functionele noodzaak

    • De functionele noodzaak is steeds gedocumenteerd in de change.

    • Onderstaande types van changes zijn toegestaan:

      • Standaard changes in context van geplande aanpassingen of preventieve instandhouding van de informatieverwerking.

      • Dringende (emergency) changes op basis van een geregistreerd incident met de bedoeling de beschikbaarheid van de informatieverwerking te garanderen.

    • Pre-approved changes (voor o.a. reguliere operationele opvolgingstaken door de informatieverwerker) zijn niet toegestaan (Enkel geautomatiseerde opvolging onder strikte configuratie controle)

    • 4EYES validatie van het gebruik van de toegang door operationeel verantwoordelijke op basis van aangeleverde change validatie

    • 4EYES opvolging van de activiteiten

  • Log informatie:

    • Log historiek offline archiveren gedurende 3 jaar

    • Session recording (4EYES) beschikbaar houden gedurende 1 jaar

  •  

Alle maatregelen van Klasse 1 / Klasse 2 +  Klasse 3 + klasse 4 +

 

  • IAM

  • Authenticatie:

    • EID.AS (High)

    • EID.AS (Substancial toegestaan bij technische beperkingen)

    • Autorisatie:

      • Duurtijd van een toegangsverzoek beperkt tot functionele noodzaak.

      • Periodieke herziening van de toegangen niet toegestaan.

      • Nieuw toegangsverzoek noodzakelijk

Beschikbaarheid

IC klasse

Minimale maatregelen

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Beschikbaarheid van het proces is minimaal kantooruren (5d x 10u)  

Klasse 3 + Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

 

  • Beschikbaarheid van het proces is 24u x 7d  

5.4.2.2. Minimale specifieke (GDPR) maatregelen 

De minimale algemene maatregelen voor PAM moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').

Vertrouwelijkheid en integriteit

IC klasse

Minimale maatregelen

IC klasse

Minimale maatregelen

Er zijn geen GDPR specifieke maatregelen voor Klasse 1.

 

 

 

 

Klasse 2 t/m Klasse 4  kennen dezelfde maatregelen:

 

  • Gedetailleerde logging op applicatieniveau van alle toegangen tot de informatie

  • Inkijken van detailinformatie

  • Aanpassingen aan detailinformatie

  • Verwijderen van detailinformatie  

 

 

Er zijn geen GDPR specifieke maatregelen voor klasse 5.

 

Beschikbaarheid 

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid. 

5.4.2.3. Minimale specifieke (NISII) maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.

5.4.2.4. Minimale specifieke (KSZ) maatregelen

Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van PAM toegepast worden:

Beschikbaarheid, Integriteit en Vertrouwelijkheid

IC klasse 

Minimale maatregelen 

 

 

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: 

 

  • Elke organisatie moet de toegang van informatiebeheerders tot informaticasystemen beperken door identificatie, authenticatie, en autorisatie (Ref. KSZ 5.6.5). 

  • Voorkomen dat een enkele persoon alleen de controle zou verwerven over dit proces (in productie stelling) (Ref. KSZ 5.9.2). 

 

Â