3.2.2.1. Minimale algemene maatregelen voor ICT-systemen 3.0

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Patching en hardening:

• Besturingssystemen van ICT-systemen moeten up-to-date zijn

  • Beveiligingsupdates dienen zo snel mogelijk geïnstalleerd te worden;

• Alle niet-essentiële software, services, functionaliteiten en netwerkpooorten dienen uitgeschakeld en indien mogelijk verwijderd te worden;

  • Deze lijst moet periodiek worden herzien om te garanderen dat ze accuraat en actueel blijft;

  • Enkel goedgekeurde software mag gebruikt worden.

• Toepassen van een goedgekeurd en up-to-date paswoordbeleid voor systeemaccounts en voor geprivilegieerde accounts

  • alle paswoorden ingesteld door derden (bv. leveranciers) dienen te worden gewijzigd;

  • Gebruik van geprivilegieerde accounts voor het beheer van ICT-systemen via het PAM-proces: zie ook pagina 5.4. Minimale maatregelen - Priviliged Access Management (PAM) 3.0; en

• IDS / IPS / antimalware-oplossingen moeten actief zijn en dienen periodiek updates te ontvangen via een automatisch proces.

• Draagbare opslagmedia  

  • Moeten altijd geëncrypteerd zijn 

  • Moeten altijd gescand worden op mogelijke dreigingen bij het inpluggen 

  • Gebruik moet zoveel mogelijk beperkt worden 

Interne controle op kwetsbaarheden:

• Zie pagina 5.6. Minimale maatregelen - Kwetsbaarhedenbeheer 3.0 .

Antimalware:

•  Alle datastromen die het ICT-systeem binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

  • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day-aanvallen; en

  • Genereren van alarmen naar de antimalware-beheerders.

Logging:

• Event logging wordt opgezet op alle systemen;

• Voor logging van toegangsbeheer: zie pagina 5.4. Minimale maatregelen - Priviliged Access Management (PAM) 3.0 ;

• Zie ook pagina https://vlaamseoverheid.atlassian.net/wiki/x/VZAHpwE

PAS TOE OF LEG UIT

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Patching en hardening: 

• Het is niet toegestaan data op te slaan op draagbare media

Detectie: 

• Host-based IDS inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based IDS versleutelde trafiek te inspecteren. 

• Host-based IPS inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren. 

Inbraakpreventie: 

• Host-based firewall inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based firewall versleutelde trafiek te inspecteren. 

• Host-based IPS inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren. 

Logging:

• IDS/ IPS-use cases moeten beschikbaar zijn voor SIEM

PAS TOE

Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

Patching en hardening: 

• IDS/IPS/antimalware-oplossingen moeten actief zijn en dienen periodiek updates te ontvangen via een automatisch proces. 

Antimalware:

•  Alle datastromen die het ICT-systeem binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

  • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day-aanvallen; en

  • Genereren van alarmen naar de antimalware-beheerders.

Interne controle op kwetsbaarheden:

• Zie 5.6.2 Minimale maatregelen voor het proces kwetsbaarhedenbeheer 3.0

Logging:

• Event logging wordt opgezet op alle systemen;

  • Voor logging van toegangsbeheer: zie pagina 5.4. Minimale maatregelen - Priviliged Access Management (PAM) 3.0

  • Zie ook pagina 5.6. Minimale maatregelen - Kwetsbaarhedenbeheer 3.0.

High-availability: 

• High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …) 

• Offsite backup implementeren 

PAS TOE OF LEG UIT

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Patching en hardening: 

• Deny by default, permit by exception voor het opstarten en uitvoeren van software 

 Detectie: 

• Host-based IDS inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based IDS versleutelde trafiek te inspecteren. 

  Inbraakpreventie: 

• Host-based firewall inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based firewall versleutelde trafiek te inspecteren. 

• Host-based IPS inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren.