• GEVALIDEERD
  • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    IM_SM.11

    Implementatiemaatregel

    • Reikwijdte en niveau van monitoring:

      • De reikwijdte en het niveau van de monitoring MOETEN worden bepaald in overeenstemming met de toepasselijke informatieklasse en relevante wet- en regelgeving.

    • Registraties en bewaartermijnen:

      • De organisatie MOET registraties van de monitoring bijhouden gedurende gedefinieerde bewaartermijnen volgens de [beheer gebeurtenissen procedure].

    • Elementen van het monitoringsysteem:

      • De organisatie MOET waar mogelijk de volgende elementen in het monitoringsysteem opnemen:

        • Uitgaand en inkomend netwerk-, systeem- en toepassingsverkeer

        • Toegang tot systemen, servers, netwerkapparatuur, monitoringsystemen, essentiële toepassingen, enz.

        • Systeem- en netwerkconfiguratiebestanden op essentieel of beheerniveau

        • Logbestanden van beveiligingsinstrumenten zoals antivirus, IDS, IPS, webfilters, firewalls, en systemen voor het voorkomen van gegevenslekken

        • Logbestanden van gebeurtenissen met betrekking tot systeem- en netwerkactiviteit

        • Controle van de integriteit van de uitvoerende code

        • Gebruik van middelen (CPU, vaste schijven, geheugen, bandbreedte) en hun prestaties

    • Nullijn (baseline) voor normaal gedrag:

      • De organisatie MOET een nullijn voor normaal gedrag vaststellen en op afwijkingen monitoren. Bij het vaststellen van de nullijn wordt rekening gehouden met:

        • Het gebruik van systemen tijdens normale en piekperiodes

        • Het gebruikelijke tijdstip, de plaats en de frequentie van toegang voor elke gebruiker of gebruikersgroep

    • Configuratie van het monitoringsysteem:

      • Het monitoringsysteem MOET worden geconfigureerd om afwijkend gedrag te identificeren, zoals:

        • Ongeplande beëindiging van processen of toepassingen

        • Activiteiten gerelateerd aan malware of kwaadaardige IP-adressen

        • Bekende aanvalskenmerken (bijv. denial of service, bufferoverflows)

        • Ongebruikelijk systeemgedrag (bijv. het registreren van toetsaanslagen, procesinjectie)

        • Knelpunten en overbelasting (bijv. netwerkwachtrijen, latentieniveaus)

        • Pogingen tot onbevoegde toegang

        • Ongeoorloofd scannen van toepassingen en netwerken

        • Geslaagde en mislukte pogingen om toegang te krijgen tot beschermde bronnen

        • Ongebruikelijk gebruikers- en systeemgedrag

    • Continue monitoring:

      • Er MOET gebruik worden gemaakt van continue monitoring via een instrument dat realtime of met regelmatige tussenpozen de status van apparaten, processen of software vastlegt en evalueert.

    • Waarschuwings- en meldingssysteem:

      • Geautomatiseerde monitoringsoftware MOET meldingen geven op basis van vooraf gedefinieerde drempels via beheerconsoles, e-mails of instantmessagingsystemen.

      • Het waarschuwingssysteem MOET worden afgestemd op de nullijn van de organisatie om valspositieven tot een minimum te beperken.

    • Training en reactie van personeel:

      • Personeel MOET erop gericht zijn om op waarschuwingen te reageren en MOET voldoende getraind zijn om potentiële incidenten accuraat te interpreteren.

      • Er MOETEN redundante systemen en processen aanwezig zijn om waarschuwingsmeldingen te ontvangen en erop te reageren.

    • Communicatie van abnormale gebeurtenissen:

      • Abnormale gebeurtenissen MOETEN aan relevante partijen worden meegedeeld voor verbeteringen in audit, beveiligingsevaluatie, kwetsbaarheidsscans en monitoring.

    • Procedure voor tijdige reactie:

      • De organisatie MOET procedures hebben om tijdig te reageren op positieve indicatoren van het monitoringsysteem om de impact van nadelige gebeurtenissen op informatiebeveiliging te minimaliseren.

    Onderwerp

    Gebeurtenisbeheer: Monitoren van activiteiten

    Informatieklasse

    1 2 3 4 5

    BIV

    BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

    Type maatregel

    DETECTIEF CORRIGEREND

    Cybersecurityconcept

    DETECTEREN REAGEREN

    Beleidsdomein

    ISO 27001:2022

    Filter by label

    There are no items with the selected labels at this time.

    Dreigingen

     

    Dit is een document voor publiek gebruik.