3.3.2.3. Minimale maatregelen in de gebruikerszone 3.0

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Er moet een logische scheiding zijn tussen gebruikers- en applicatiezone;

• Netwerkintegriteit van kritieke systemen moet worden beschermd door middel van netwerksegmentatie en -scheiding,

• Er moet een logische scheiding zijn tussen organisatie-eigen gebruikerszones en publieke gebruikerszones (bv. guest);

• Per fysieke locatie wordt een aparte netwerkzone voorzien

• Outbound web-datastromen worden ontsloten via een mitigerende component waarbij minimaal gecontroleerd wordt op juist protocolgebruik; en

• Bijkomende maatregelen moeten worden genomen op niveau gebruikersapparatuur. Zie ook “Minimale Maatregelen – ICT “

Toegangscontrole:

• Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers)

  • Toegang gebaseerd op IP-adres en/of MAC adres

  • Toegang gebaseerd op gebruikersauthenticatie.

Transportbeveiliging:

• Versleutelde transportprotocollen (bv. https, sftp) voor alle informatiestromen

• Gebruikte transportprotocollen moeten in het huidige encryptielandschap als veilig beschouwd worden. Zie ook “minimale maatregelen cryptografie”.

Datastroominspectie:

• Datastromen tussen gebruikerszone en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

  • Filteren op basis van type datastromen;

  • Beperken of blokkeren van bepaalde datastromen;

  • TLS inspectie van alle datastromen met data loss prevention (DLP);

    • Processen met de nodige acties ingeval van detecties

  • Stateful inspection of gelijkwaardige technologie;

  • Werken vanuit default deny-principe;

  • Werken vanuit centraal opgestelde regels (ruleset);

• IDS/IPS wordt actief ingezet voor monitoring (detectie, rapportering) van abnormaal gedrag op alle datastromen van en naar de gebruikerszone. Het is verplicht de IDS/IPS systemen te onboarden op het SIEM platform.

• Web- en emailfilters (inclusief controle op SPF en DKIM) moeten worden ingezet voor controle van web- en email verkeer.

• Alle datastromen van en naar de gebruikerszone worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:

  • Optreden tegen alle aanvalsvectoren met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Scanning van bijlagen;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day-aanvallen (heuristic scanning);

  • Genereren van alarmen naar de antimalware-beheerders..

Draadloos netwerk:

• Zo instellen dat SSID (Service Set Identifier) niet wordt uitgezonden; 

• Wifi protected access toepassen: minstens WPA-2 met AES encryptie; 

• Verbinding met onbekende of onbeveiligde gast draadloze netwerken in de gebruikerszone niet toegestaan.  

Logging en monitoring: 

• Toegang van en naar de gebruikerszone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip); 

• Toegang en beheer van netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar; 

• Event logging op kritische netwerktoestellen in de gebruikerszone (o.a. up/down gaan van switchpoorten) 

• Ingeval van hosting bij externe bedrijven: auditeerbaarheid van logging contractueel afdwingen 

• Voor logging van toegangsbeheer: zie document ‘Vo Informatieclassificatie – minimale maatregelen – PAM’; en 

• Zie ook document ‘Vo informatieclassificatie – minimale maatregelen – SIEM’. 

Beheer:

• Datastromen voor beheer moeten geschieden zijn van gebruikers datastromen

• Versleutelde transportprotocollen of VPN voor beheerstaken die van buiten de gebruikerszone worden uitgevoerd.

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Microsegmentatie per Organizational Unit

• Gebruikerstoestellen die ingesteld kunnen worden als lokale gastheer (localhost) moeten als een aparte netwerkzone beschouwd worden. Zij moeten voorzien zijn van firewall, antimalware en IPS.

Toegangscontrole:

• Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers)

  • Toegang gebaseerd op sterke gebruikersauthenticatie (multi factor authenticatie)

  • Voor BYOD: apparaat toegang gebaseerd op authenticatie via een apparaat gebonden certificaat.

Logging en monitoring:

• Event logging op alle netwerktoestellen.

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Toegangscontrole:

• Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie ook Minimale Maatregelen - IAM voor gebruikers)

  • Apparaat toegang gebaseerd op authenticatie via een apparaat gebonden certificaat

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +Klasse 4 +

Datastroominspectie:

• De mogelijkheid tot uitzonderingen moet worden voorzien omdat bepaalde informatie zo gevoelig kan zijn dat TLS-inspectie niet wenselijk is: zie 3.1. Minimale maatregelen - Cryptografie 3.0