DOELSTELLINGENHet beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:
|
DREIGINGENHet beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen: |
‘Clear desk’ en ‘clear screen’ beleid
Het ‘clear desk’ beleid heeft als doel de informatieveiligheid te verbeteren door ervoor te zorgen dat gevoelige informatie niet onbeheerd op bureaus blijft liggen en gemakkelijk toegankelijk is voor onbevoegde personen.
Implementatiemaatregel
Aan het einde van de werkdag, gelden de volgende maatregelen:
Alle papieren documenten, notities en post-it's MOETEN worden verwijderd van de werkplek of veilig opgeborgen in afsluitbare kasten of laden.
Persoonlijke ICT hardware zoals laptops, USB-sticks, mobiele telefoons, of andere opslagapparaten MOETEN worden verwijderd van de werkplek of veilig opgeborgen in afsluitbare kasten of laden.
Tijdens korte afwezigheid door vergaderingen of pauzes, MOETEN werkplekken vrij zijn van gevoelige documenten wanneer werknemers hun werkplek verlaten.
Het ‘clear screen’ beleid zorgt ervoor dat gevoelige informatie op computerschermen niet zichtbaar is voor onbevoegde personen, zowel binnen als buiten de organisatie.
Implementatiemaatregel
Bij verlaten van de werkplek (bijvoorbeeld tijdens vergaderingen of pauzes) MOETEN medewerkers hun computers vergrendelen (bijvoorbeeld door middel van Ctrl+Alt+Del) wanneer zij hun werkplek verlaten, zelfs voor korte periodes.
Digitale werkplekken MOETEN zo worden ingesteld dat ze automatisch vergrendelen na een periode van inactiviteit (bijvoorbeeld na 10 minuten).
Het ontgrendelen van een werkplek MOET gebeuren via de standaard gebruikersaccount door het ingeven van het wachtwoord.
Wachtwoorden MOGEN NIET worden opgeschreven en in de buurt van de werkplek bewaard.
Omgevingsdreigingen
Het doel van deze implementatiemaatregel is om de beveiliging van kritische apparatuur en gegevens te waarborgen tegen omgevingsdreigingen. Dit beoogt de risico's van schade door brand, water, stroomuitval en andere omgevingsdreigingen te minimaliseren en de continuïteit van de bedrijfsvoering te verzekeren.
Implementatiemaatregel
Luchtbehandeling van kritische ruimtes:
De luchtbehandeling van ruimtes met kritische ICT apparatuur MOET onafhankelijk zijn van de overige ruimtes.
Het risico van aanzuiging van gevaarlijke stoffen MOET beperkt worden.
Er MOET een mogelijkheid zijn om bij alarmering de luchtventilatie handmatig uit te schakelen.
Branddetectie en -melders:
Er MOET detectieapparatuur en automatische (en handmatige) brandmelders aanwezig zijn in kritische ruimtes, inclusief onder verhoogde vloeren en boven verlaagde plafonds, en in ruimtes met hoge brandveiligheidseisen.
Regelmatige controles MOETEN plaatsvinden om de werking van de detectieapparatuur te waarborgen.
De detectieapparatuur MOET voorzien zijn van een eigen noodstroomvoorziening.
Instructies MOETEN aanwezig zijn die aangeven hoe te handelen in geval van brand.
Vochtdetectie:
In kritische ruimtes (wanden, vloeren en plafonds) MOGEN GEEN leidingen voor het transport van water of andere vloeistoffen aanwezig zijn, met uitzondering van brandblusapparaten.
In de directe omgeving van kritische apparatuur MOETEN vochtdetectors met automatische detectie en alarmering aanwezig zijn.
Rookverbod:
Het wettelijk rookverbod in alle gebouwen van de organisatie, inclusief alle kritische ICT ruimtes MOET worden nageleefd.
Gebruik van brandwerende materialen:
Bij de bouw en inrichting van kritische ICT ruimtes MOETEN materialen gekozen worden die brand- en rookontwikkeling beperken.
Er MOET aandacht geschonken worden aan brandwerende scheidingen.
Bliksemafleiders:
Bliksemafleiders MOETEN geïnstalleerd worden om schade door blikseminslag zoveel mogelijk te voorkomen.
Automatisering en opvolging van beveiliging:
De bestaande beveiliging MOET zoveel mogelijk geautomatiseerd worden.
Apparatuur voor het detecteren van schade, zoals brand, wateroverlast en stroomuitval, MOET geïnstalleerd worden.
De reactie-procedures op gedetecteerde schade MOETEN geautomatiseerd worden.
Periodieke inspectie van beveiligingsmaatregelen:
Beveiligingsmaatregelen MOETEN periodiek geïnspecteerd worden, bijvoorbeeld op initiatief van de brandweer en verzekeringsmaatschappijen.
Beveiligen van bedrijfsmiddelen buiten het terrein
Het doel van deze implementatiemaatregel is om de beveiliging van bedrijfsmiddelen die buiten de terreinen van de organisatie worden gebruikt, te waarborgen.
Implementatiemaatregel
Registratie:
Alle bedrijfsmiddelen die door de organisatie worden verstrekt of uitgeleend, MOETEN worden geregistreerd.
Beveiliging:
Alle bedrijfsmiddelen die door de organisatie worden verstrekt of uitgeleend, MOETEN door de relevante diensten beveiligd worden.
Verantwoordelijkheid van gebruikers:
Werknemers MOETEN zelf verantwoordelijk worden gesteld voor de beveiliging van bedrijfsmiddelen buiten de organisatie.
Gebruikers van bedrijfsmiddelen die deze gebruiken buiten het terrein van de organisatie, MOETEN maatregelen nemen om hun materiaal te beschermen. Dit omvat het nooit onbeheerd achterlaten van bedrijfsmiddelen in publieke of onveilige ruimtes.
Beveiliging van mobiele apparatuur (zie ook beleid Digitale werkplek):
Mobiele apparatuur die bedrijfsgegevens bevat, MOET minimaal beschermd worden door een wachtwoord of PIN-code.
Mobiele apparatuur MOET zo worden ingesteld dat ze automatisch vergrendelt na een periode van inactiviteit (bijvoorbeeld na 10 minuten).
Bedrijfsgegevens op mobiele apparaten MOET versleuteld worden om ongeoorloofde toegang te voorkomen.
Beveiliging van bekabeling
Het doel van deze implementatiemaatregel is om de beveiliging van voedings- en telecommunicatiekabels binnen de organisatie te waarborgen. Dit beoogt risico's van ongeoorloofde toegang, interferentie, en onderbrekingen in kritieke datacommunicatie te minimaliseren en de continuïteit van bedrijfsprocessen te verzekeren.
Implementatiemaatregel
Documentatie van kabeltypen en -standaarden:
Er MOET gedetailleerde documentatie beschikbaar zijn over de typen en standaarden van voedings- en telecommunicatiekabels die binnen de organisatie worden gebruikt.
De documentatie MOET ook specificeren welke kabels voor dataverkeer of ondersteunende informatiediensten worden gebruikt en waar deze kabels zich bevinden.
Toegangsbeveiliging:
Interne communicatiebekabeling en verdeelpunten MOETEN onbereikbaar zijn voor onbevoegden door middel van zonering en fysieke beveiligingsmaatregelen.
Ontwerp en bescherming van kabels:
Bekabeling MOET ruim bemeten en gespreid zijn om capaciteit en redundantie te waarborgen.
Kabels MOETEN afgeschermd worden van voedingskabels, bliksemafleiders, TL-buizen, spoelen en andere bronnen van elektromagnetische interferentie.
Back-upvoorzieningen voor kritieke datacommunicatie:
Voor bedrijfsprocessen die afhankelijk zijn van kritieke datacommunicatieverbindingen MOETEN back-upvoorzieningen getroffen worden om continuïteit te waarborgen (zie ook beleid ICT-continuïteit).
Bouwkundige vereisten
Het doel van deze implementatiemaatregel is om te waarborgen dat gebouwen binnen de organisatie voldoen aan de wettelijke bouwkundige vereisten, ten einde mee de continuïteit van bedrijfsprocessen te verzekeren.
Implementatiemaatregel
Vereisten voor ruimtes:
Ruimtes MOETEN voldoen aan de volgende vereisten:
Weerstand tegen calamiteiten zoals brand, blikseminslag, storm, hagel, overstroming/waterlekken en aardbevingen.
Wand-, vloer- en plafondconstructies moeten voldoen aan brandwerendheidseisen.
Afwerking moet voldoen aan eisen voor stof, brand en rook.
Beschikken over diverse vluchtwegen.
Externe elektriciteitstoevoer met voeding vanaf twee zijden.
Voldoen aan arbeidsomstandigheden betreffende licht, geluid en luchtkwaliteit.
Maatregelen tegen schade door onder- of overspanning, onder andere bij bliksem.
Voldoen aan overige wettelijke eisen of interne richtlijnen.
Documentatie van bouwkundige voorzieningen:
Voor het oplossen van technische storingen en het bieden van informatie over de infrastructuur MOET er actuele documentatie over de bouwkundige voorzieningen beschikbaar zijn bij de beheerder van het gebouw.
Fysieke beveiliging
Het doel van deze implementatiemaatregelen is om de beveiliging van de organisatie te waarborgen door het creëren van verschillende fysieke beveiligingszones op basis van hun toegankelijkheid en beveiligingseisen, en maatregelen vast te leggen voor de bescherming van elke zone tegen ongeoorloofde toegang en andere bedreigingen.
Fysieke ruimtes kunnen als volgt worden onderverdeeld:
Publieke zone: gebieden die openstaan voor het algemene publiek zonder beperkingen.
Semipublieke zone: gebieden met beperkte toegang, alleen toegankelijk voor geautoriseerde personen en bezoekers onder begeleiding.
Niet-publieke of private zone: gebieden die strikt beperkt zijn tot geautoriseerd personeel en waar toegang streng gecontroleerd wordt.
Implementatiemaatregel
Verantwoordelijkheden en bevoegdheden:
De verantwoordelijkheden en bevoegdheden met betrekking tot fysieke beveiliging MOETEN duidelijk worden vastgelegd en gedocumenteerd.
Onderhoud en testen van beveiligingsapparatuur:
Apparatuur die wordt gebruikt voor het beheer van fysieke beveiliging MOET periodiek worden onderhouden en getest, minimaal één keer per jaar.
Implementatiemaatregel
Fysieke solide buitengrenzen:
Elke beveiligingszone MOET beschikken over fysieke solide buitengrenzen die ongeoorloofde toegang voorkomen.
De locatie en sterkte van deze buitengrenzen, evenals het toegangsbeveiligingsmechanisme, MOETEN afgestemd zijn op het classificatieniveau van de zone.
Toegangsbeveiligingsmechanismen:
Toegangscontrolemechanismen zoals sleutels, toegangspassen, biometrische verificatie of andere beveiligingstechnologieën MOETEN worden geïmplementeerd om toegang tot semipublieke en niet-publieke zones te beheren en controleren.
Branddeuren en alarmsystemen:
Alle branddeuren die deel uitmaken van een beveiligingszone MOETEN voorzien zijn van alarmsystemen.
Deze alarmsystemen MOETEN regelmatig gemonitord en getest worden om te waarborgen dat ze het vereiste weerstandsniveau bieden en effectief functioneren.
Implementatiemaatregel
Toegangssystemen en identificatie:
Zones en ruimtes MOETEN worden beschermd door fysieke toegangssystemen die toegang verlenen aan geïdentificeerde personen: geautoriseerde personen of geregistreerde en begeleide bezoekers.
Indien badges worden gebruikt, MOETEN deze persoonlijk zijn.
Toegangsbeveiliging en barrières:
Toegangsbeveiligingen zoals toegangspoorten met kaartsloten of een bemande receptie MOETEN worden geïnstalleerd om ruimtes te beschermen waar informatie en ICT-voorzieningen zich bevinden (bijv. serverruimte, back-up-ruimte, en patchruimtes, enz.). Ditzelfde geldt voor kasten met persoonsdossiers en andere gevoelige gegevens.
Toewijzing van toegang:
Toegang tot zones en ruimtes MOET worden toegewezen volgens duidelijk omschreven criteria voor zowel interne werknemers als externe werknemers of onderhoudspersoneel (bijv. schoonmakers, technici, plantenonderhoud, enz.).
Bezoekersbeheer:
Bezoekers MOETEN vooraf worden aangemeld door de ontvangende medewerker, waarbij MOET worden aangegeven of de bezoeker bij binnenkomst mag doorlopen of moet worden opgehaald door de ontvangende medewerker.
Bezoekers MOETEN worden geregistreerd (datum en tijdstip van binnenkomst en vertrek), bijvoorbeeld digitaal of door het invullen van een bezoekerslogboek.
Niet-geaccrediteerde personen MOGEN NIET in kritieke zones werken zonder permanent toezicht van een medewerker.
Toegangscontrole voor kritieke zones:
Voor kritieke zones MOET de toegangsbeveiliging worden gecontroleerd door middel van camerabewaking en/of bewakingspersoneel.
Reserve badges MOETEN veilig worden opgeborgen (blanco toegangsbadges of niet toegewezen badges).
Beperking van toegang tot vertrouwelijke zones:
Toegang tot zones waar vertrouwelijke informatie wordt verwerkt, MOET worden beperkt tot geautoriseerde personen.
Technische zones, netwerkkasten en bekabeling MOETEN worden beschermd en mogen alleen toegankelijk zijn voor geautoriseerde personen.
Preventie en detectie van ongeautoriseerde toegang:
Het ongeautoriseerde gebruik van toegang tot kritieke zones MOET worden voorkomen of tijdig gedetecteerd.
Protocol voor goederenontvangst:
Er MOET een vastgesteld protocol zijn voor goederenontvangst.
Gescheiden ingangen voor personen en goederen (aparte laad- en loszones) ZOUDEN moeten worden voorzien.
Toegangspunten zoals laad- en loszones en andere punten waar onbevoegden het terrein kunnen betreden, MOETEN worden beheerst en indien mogelijk worden afgeschermd van kritieke zones om ongeoorloofde toegang te voorkomen.
Implementatiemaatregel
Bewakingssystemen:
Fysieke terreinen en gebouwen MOETEN worden bewaakt door een combinatie van bewakingssystemen, waaronder bewakers, inbraakalarmen, videobewaking en software voor het beheer van informatie over fysieke beveiliging.
Toegangsbewaking:
Toegang tot gebouwen waarin kritieke systemen zijn ondergebracht, MOETEN voortdurend worden gemonitord om toegang door onbevoegden of verdacht gedrag te detecteren.
Videomonitoringsystemen:
Er MOET gebruik gemaakt worden van videomonitoringsystemen om de toegang tot gevoelige zones binnen en buiten de terreinen en gebouwen van de organisatie te bekijken en te registreren.
Inbraakalarmen:
Contact-, geluids- of bewegingsmelders die een inbraakalarm in werking stellen, MOETEN worden ingesteld volgens industrienormen en MOETEN jaarlijks worden geëvalueerd.
Alle buitendeuren en toegankelijke ramen MOETEN worden afgedekt met alarmsystemen.
Leegstaande ruimtes MOETEN worden beveiligd met een alarm.
Andere ruimtes, zoals computer- of communicatieruimtes, MOETEN eveneens worden beveiligd.
Ontwerp en bescherming van monitoringsystemen:
Het ontwerp van monitoringsystemen MOET geheim blijven om de effectiviteit te waarborgen.
Monitoringsystemen MOETEN worden beschermd tegen toegang door onbevoegden om manipulatie en sabotage te voorkomen.
Het bedieningspaneel van het alarmsysteem MOET zich bevinden in een alarmbeveiligde zone.
Het bedieningspaneel en de detectoren MOETEN voorzien zijn van manipulatiebestendige mechanismen en worden één keer per jaar getest om te garanderen dat ze correct werken.
Gebruik van monitoring- en opnamemechanismen:
Elk monitoring- en opnamemechanisme MAG enkel gebruikt worden na grondige evaluatie door het juridische team om naleving van wettelijke en reglementaire vereisten te waarborgen.
Nutsvoorzieningen
Het doel van deze implementatiemaatregel is om de continuïteit van informatie-verwerkende faciliteiten te waarborgen door bescherming te bieden tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen. Dit richt zich op het minimaliseren van risico's voor kritieke bedrijfsprocessen en het handhaven van operationele integriteit.
Implementatiemaatregel
Bescherming tegen stroomuitval en verstoring:
Informatie-verwerkende faciliteiten MOETEN worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen.
No-break-installatie voor kritieke ruimtes:
Voor kritieke ruimtes MOET een ononderbroken stroomvoorziening (Uninterruptible Power Supply (UPS)) worden geïnstalleerd met een capaciteit die voldoende is voor het (tijdelijk) voortzetten van de meest kritische bedrijfsprocessen.
De no-break-installatie MOET minstens jaarlijks op goed functioneren worden getest.
De no-break-installatie MOET volgens de voorschriften worden onderhouden om te garanderen dat deze operationeel is wanneer dat nodig is.
Onderhoud van apparatuur
Het doel van deze implementatiemaatregel is om de operationele continuïteit en betrouwbaarheid van apparatuur die cruciaal is voor de organisatie te waarborgen. Dit beoogt de risico's van apparatuur-storingen te minimaliseren door het vaststellen van duidelijke verantwoordelijkheden en het afsluiten van onderhoudscontracten.
Implementatiemaatregel
Verantwoordelijkheden voor apparatuur-beheer:
De verantwoordelijkheden voor het beheer van apparatuur MOETEN duidelijk zijn en geformaliseerd worden. Dit omvat het toewijzen van specifieke taken en bevoegdheden aan verantwoordelijke personen of teams binnen de organisatie.
Onderhoudscontracten voor cruciale apparatuur:
Voor apparatuur die van belang is voor de organisatie MOETEN onderhoudscontracten worden opgesteld. Deze contracten moeten zorgen voor regelmatige inspectie, onderhoud en reparatie van de apparatuur om de operationele efficiëntie en levensduur te waarborgen.
Opslagmedia
Het doel van deze implementatiemaatregel is om de beveiliging van opslagmedia te waarborgen gedurende hun volledige levenscyclus. Dit beoogt de risico's van gegevensverlies, diefstal en ongeoorloofde toegang tot gevoelige informatie te minimaliseren.
Implementatiemaatregel
Beheer van opslagmedia:
Opslagmedia MOETEN worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering.
Procedures voor verwijderbare media:
Voor het beheren van verwijderbare media MOETEN de nodige procedures worden geïmplementeerd.
Toestemming voor apparatuur-gebruik:
Apparatuur (andere dan standaard werkmiddelen zoals laptops, smartphones en tablets), informatie en programmatuur van de organisatie MOGEN NIET zonder toestemming van de verantwoordelijke van de locatie worden meegenomen.
Onderhoud en transport:
Onderhoud, verplaatsing of transport van apparatuur buiten de organisatie MOET worden uitgevoerd door bevoegd en getraind personeel en/of toegelaten externe medewerkers.
Tijdens het transport, uit dienst name of onderhoud van apparatuur MOETEN gevoelige gegevens worden verwijderd of beschermd door encryptie of sterke toegangscontrolemaatregelen (zoals een afgesloten koffer).
Verantwoordelijkheden van werknemers:
Werknemers MOETEN alle redelijke maatregelen nemen om de veiligheid van de toegewezen hardware, software en informatie te waarborgen.
Werknemers MOETEN ervoor zorgen dat alle toegewezen hardware en software in goede staat worden onderhouden en voldoende beschermd zijn tegen illegaal gebruik of diefstal.
Draagbare apparatuur MOET buiten de normale openingstijden van het kantoor worden verwijderd of op de juiste manier worden beveiligd of afgesloten (bijvoorbeeld in een afgesloten kast).
Buiten de organisatie MOET adequate bescherming aan de apparatuur worden gegeven.
Medewerkers MOETEN melden van verlies of schade, ongeacht de oorzaak, zodra zij zich daarvan bewust worden.
Veilige verwijdering van media:
Media MOETEN op een veilige en beveiligde manier worden verwijderd wanneer ze niet langer nodig zijn.
Er MOET gebruik worden gemaakt van logische en fysieke methoden om informatie te verwijderen (bijvoorbeeld clearing, purging, cryptografisch wissen, vernietiging). Wanneer nodig wordt het 4-ogen principe toegepast.
Plaatsen en beschermen van ICT-hardware
Het doel van deze implementatiemaatregel is om de beveiliging van kritische ICT-hardware binnen de organisatie te waarborgen. Dit beoogt de risico's van ongeoorloofde toegang, diefstal en andere bedreigingen te minimaliseren en de continuïteit van kritieke bedrijfsprocessen te handhaven.
Implementatiemaatregel
Plaatsing van kritische ICT-apparatuur:
Kritische vaste ICT-apparatuur MOET in een beveiligde toegangsruimte worden geplaatst, die enkel toegankelijk is voor geautoriseerde personen en niet in publieke zones.
Noodstroomvoorziening:
Voor kritische apparatuur MOET een ononderbroken stroomvoorziening (Uninterruptible Power Supply (UPS)) kunnen worden gegarandeerd om de continuïteit van de bedrijfsprocessen te waarborgen.
Bescherming van rack Infrastructuur:
Rack infrastructuur voor servers of netwerkcomponenten MOET afgesloten worden om ongeoorloofde toegang te voorkomen.
Bescherming van mobiele apparatuur:
Mobiele apparatuur MOET worden beschermd tegen onbevoegde toegang, hetzij door de organisatie, hetzij door de eigenaar zelf. Afhankelijk van de gevoeligheid van de informatie kunnen verschillende maatregelen worden toegepast, zoals encryptie en wachtwoordbescherming.
Voor laptops MOETEN maatregelen tegen diefstal worden genomen, zoals het gebruik van kabels, sloten, bewakers, enzovoorts.
Mobiele apparatuur MOET worden beschermd tegen onbevoegde toegang door middel van wachtwoorden, pincodes, certificaten of encryptie.
Voor mobiele apparatuur die gevoelige informatie bevatten, ZOUDEN cryptografische maatregelen moeten worden genomen om ongeoorloofde toegang te voorkomen (zie beleid Cryptografie).
ICT Gedragscode voor Werknemers:
Alle werknemers MOETEN een ICT gedragscode respecteren met betrekking tot de bescherming van hun apparatuur. Ze moeten de informatie van de organisatie beschermen tegen incidenten die de beschikbaarheid, integriteit en vertrouwelijkheid kunnen aantasten.
Veilig verwijderen of hergebruiken van ICT-apparatuur
Het doel van dit beleid is om de beveiliging van gevoelige gegevens te waarborgen wanneer ICT-apparatuur uit dienst wordt genomen, hergebruikt of voor herstel buiten de organisatie wordt gebracht. Dit beleid beoogt de risico's van gegevenslekken en ongeoorloofde toegang tot bedrijfsinformatie te minimaliseren.
Implementatiemaatregel
Verwijderen van gegevens bij buiten gebruik stellen:
Wanneer ICT-apparatuur uit dienst wordt genomen, hergebruikt of voor herstel buiten de organisatie wordt gebracht, MOETEN gevoelige gegevens worden verwijderd op een manier dat deze niet meer kunnen worden gereconstrueerd.
Processen en procedures:
Er MOETEN processen en procedures bestaan voor het veilig verwijderen of hergebruiken van bedrijfsmiddelen, waaronder ICT-apparatuur en certificaten. Deze processen en procedures MOETEN duidelijk omschreven en gedocumenteerd zijn.
Contractuele vastlegging van gegevensverwijdering:
De gepaste maatregel voor het wissen van gegevens MOET contractueel worden vastgelegd, indien gegevens worden bewaard door derden, bijvoorbeeld bij leasing of cloud computing. Dit zorgt ervoor dat alle betrokken partijen zich aan dezelfde veiligheidsstandaarden houden.
Regelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
Informatieclassificatieraamwerk van de Vlaamse overheid (L2)
Zie 6. Beheersmaatregelen - Fysieke beveiliging voor meer informatie.
Titel | Auteur | Datum | Versie | Opmerkingen |
---|---|---|---|---|
Fysieke beveiliging | Guido Calomme | 27/06/2024 | 1.0 | Eerste versie |