Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 10 Next »

3.1.1.1.1. Minimale algemene maatregelen

Vertrouwelijkheid

IC klasse

Minimale maatregelen

  • Versleuteling vindt plaats conform Common practices, crypto-algoritmes en protocollen: open standaarden.

  • DIM
    Terminatie op de perimeter van het beveiligde netwerk; en

    • Technische standaard:
      TLS-protocol: forward secrecy verplicht indien technisch mogelijk.

  • DIU

  • Mitigerende maatregelen na risicoanalyse.

Alle maatregelen van Klasse 1 +
DAR

  • Encryptie niet verplicht. Afscherming op niveau van organisatie d.m.v. fysieke en/of logische toegangsmaatregelen. 

Alle maatregelen van Klasse 1 + Klasse 2 +

  • DAR

    • In een beschermde omgeving (d.w.z. een omgeving waar het veiligheidsbeheer onder Vo-controle is of de genomen maatregelen gekend zijn en als afdoende geacht worden door de Vo): afscherming op niveau functionele behoefte d.m.v. fysieke afscherming, logische toegangsbeveiliging. Enkel encryptie na risicoanalyse; en

    • In een onbeschermde omgeving (fysieke en logische toegangsmaatregelen niet afdoende en/of beveiligingsbeheer niet onder Vo-controle): encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, back-up, ...

  • DIM

    • Veilige export buiten de toepassing (application layer, database, ...): fysieke beveiliging, logische toegangsbeveiliging (incl. interapp/intralayer transport);

    • Veilige export buiten de organisatie (Veiligheidsbeheer niet onder controle
      van de Vo): encryptie op niveau transport indien netwerk niet beschermd is
      en terminatie op niveau vertrouwde infrastructuur (bv. in DMZ); en

    • Technische standaard:

    • Transport (TLS) protocol (system-to-system): wederzijdse authenticatie (2-way TLS);

    • Transport (TLS) protocol (client-server): wederzijdse authenticatie;

      • 2-way TLS of;

      • 1-way TLS + eIDAS substantiële authenticatie

    • Certificaten en sleutels implementatiecriteria

      • Controle op gebruik sterke versleuteling verplicht; en

      • Implementatie CAA en DNSSEC op DNS CAA-records. 

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +

  • DAR

    • Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, backup, ...

  • DIM

    • Transport context-onafhankelijk (zowel binnen als buiten de organisatie); en

    • Technische standaard:

      • Gebruik van recentste versie TLS en forward secrecy verplicht

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

  • DIM

    • Encryptie op zowel berichtniveau als transportniveau (tunnel)

Integriteit

IC klasse

Minimale maatregelen

  • Versleuteling vindt plaats conform Common practices, crypto-algoritmes en protocollen: open standaarden.

  • DIM

    • Terminatie op de perimeter van het beveiligde netwerk; en

    • Technische standaard:

      • TLS-protocol: forward secrecy verplicht indien technisch mogelijk.

  • DIU

    • Mitigerende maatregelen na risicoanalyse.

Alle maatregelen van Klasse 1 +

  • DAR

    • Encryptie niet verplicht. Afscherming op niveau van organisatie d.m.v.fysieke en/of logische toegangsmaatregelen. 

Alle maatregelen van Klasse 1 + Klasse 2 +

  • DAR

    • In een beschermde omgeving (d.w.z. een omgeving waar het veiligheidsbeheer onder Vo-controle is of de genomen maatregelen gekend zijn en als afdoende geacht worden door de Vo): afscherming op niveau functionele behoefte d.m.v. fysieke afscherming, logische toegangsbeveiliging. Enkel encryptie na risicoanalyse; en

    • In een onbeschermde omgeving (fysieke en logische toegangsmaatregelen niet afdoende en/of beveiligingsbeheer niet onder Vo-controle): encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, back-up, ...

  • DIM

    • Veilige export buiten de toepassing (application layer, database, ...): fysieke beveiliging, logische toegangsbeveiliging (incl. interapp/ intralayer transport);

    • Veilige export buiten de organisatie (Veiligheidsbeheer niet onder controle van de Vo): encryptie op niveau transport indien netwerk niet beschermd is en terminatie op niveau vertrouwde infrastructuur (bv. in DMZ); en

    • Technische standaard:

    • Transport (TLS) protocol (system-to-system): wederzijdse authenticatie (2- way TLS);

    • Transport (TLS) protocol (client-server): wederzijdse authenticatie;

      • 2-way TLS of;

      • 1-way TLS + eIDAS substantiële authenticatie

    • Certificaten en sleutels implementatiecriteria

      • Controle op gebruik sterke versleuteling verplicht; en

      • Implementatie CAA en DNSSEC op DNS CAA-records. 

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 +

  • DAR

    • Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, backup, ...

  • DIM

    • Transport context-onafhankelijk (zowel binnen als buiten de organisatie)

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

  • DIM

    • Encryptie op zowel berichtniveau als transportniveau (tunnel)

Beschikbaarheid

IC klasse

Minimale maatregelen

Klasse 1 + Klasse 2 kennen dezelfde maatregelen:

  • Reserve-onderdelen en -componenten voorzien

Klasse 3 + Klasse 4 + klasse 5 kennen dezelfde maatregelen: 

Alle maatregelen van  Klasse 1 + Klasse 2 +

3.1.1.1.2. Minimale specifieke (GDPR) maatregelen

Vertrouwelijkheid en integriteit

IC klasse

Minimale maatregelen

Er zijn geen GDPR maatregelen voor klasse 1 

Klasse 2 t/m Klasse 5 kennen dezelfde maatregelen:  

  • DAR

    • Advies VTC 02/2018 d.d. 18 april 2018

      • Encryptie toepassen bij centrale opslag (datacenter) in een beschermde omgeving (d.w.z. omgeving waar het veiligheidsbeheer onder Vo-controle is of de genomen maatregelen gekend zijn en als afdoende geacht worden door de Vo): afscherming op niveau functionele behoefte d.m.v. fysieke afscherming, logische toegangsbeveiliging; en

      • In een onbeschermde omgeving (fysieke en logische toegangsmaatregelen niet afdoende en/of beveiligingsbeheer niet onder Vo-controle): Encryptie voor de volledige verwerkingsketting: op opslagniveau, database (DB) of middleware …, werkposten, mobiele toestellen, back-up, ...

  • DIM

    • Tunnel of bericht encryptie. 

Beschikbaarheid

Er zijn geen specifieke GDPR-maatregelen voor beschikbaarheid.

3.1.1.1.3. Minimale specifieke (NISII) maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.

3.1.1.4. Minimale specifieke (KSZ) maatregelen

De minimale algemene maatregelen voor sleutelbeheer moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk ‘minimale algemene maatregelen’). Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van fysieke maatregelen toegepast worden: TBA.

  • No labels