6.1.2.1. Minimale algemene maatregelen
Vertrouwelijkheid
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
 | Publiek toegankelijke ruimtes |
 | De gewone werkplek van de medewerkers Alle maatregelen van Klasse 1 + Zonering op niveau organisatie; Aparte laad- en loszone; Toegang beperken d.m.v. sleutels (mechanisch of digitaal) of toegangsbadges; Noodtoegang tot sleutels of badges in beveiligde ruimte, met monitoring en registratie. Sleutels en toegangsbadges terug in te leveren bij verlaten van de organisatie Break the Glass-procedure voor noodgevallen: gecontroleerde noodtoegang voor hulpdiensten (zie ook document rond BCM).
Individuele credentials voor medewerkers; Up-to-date inventaris van personeel en hun toegangsmodaliteiten Bezoekersregistratie; Zichtbaar dragen van identificatiemiddelen (badges, stickers bezoekers, ...) Brandbeveiliging en –detectie; Automatische noodverlichting; Regels voor het maken van foto’s of opnames (goedkeuring eigenaar). Verwijderen van informatie voor apparatuur wordt afgevoerd; Sensibilisering rond fysieke veiligheid van apparatuur: Actieve sessie na beëindiging afsluiten of vergrendelen, Uitloggen toepassingen/netwerkdiensten, Vergrendelen mobiele apparatuur, Gebruikersapparatuur automatisch vergrendelen na time-out, Informatie op het scherm afschermen.
|
 | De werkplek van medewerkers met toegang tot vertrouwelijke informatie Alle maatregelen van Klasse 1 + Klasse 2 + Zonering op niveau functionele behoefte; Begeleiding van bezoekers; Jaarlijks nazicht inventaris personeel en hun toegangsmodaliteiten; Gemaakte foto’s of opnames moeten door de eigenaar gecontroleerd worden; Toegankelijkheid van beeldschermen, printers, faxen, kopieerapparatuur, scanners, video/audio, ... beperken; Bekabeling beveiligen tegen schade, afluisteren, vernietiging (bvb aparte kabelgoten, afgesloten kabelkasten, veilig opbergen reservemateriaal, ...); Monitoring van fysieke omgeving op mogelijke cybersecurity gebeurtenissen Transport van apparatuur buiten de organisatie enkel door goedgekeurd personeel/firma’s; Bewezen methodes gebruiken voor verwijderen van informatie; Clear desk en clear screen principe toepassen; Informatie op papier of verwijderbare media in afgesloten kast bewaren; Output printers, kopieerapparaten, faxen, ... onmiddellijk verwijderen.
|
| PAS TOE OF LEG UIT |
 | De werkplek van medewerkers met toegang tot geheime informatie Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + |
 | Datacenter Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 + Bewaking van de toegangscontrole via camera’s, bewakingspersoneel, ... Beveiligen van kabels tegen vandalisme, beschadiging en afluisteren; Toegang door extern personeel (onderhoud, schoonmaken): 4-ogen principe toepassen; Automatische branddetectie met alarmfunctie; Gespecialiseerde blusapparatuur; Automatische detectie van water; Monitoring van temperatuur en vochtigheid; Alternatieve of back-up sites voorzien van gelijkwaardige beveiliging; Het maken van foto’s of opnames verbieden; Verificatie van beveiligingsniveau en -mechanismen na onderhoud apparatuur; Verwijderen van apparatuur: 4-ogen principe toepassen. Levenscyclus apparatuur
|
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
 | |
 | Alle maatregelen van Klasse 1 + Individuele credentials voor medewerkers; Up-to-date inventaris van personeel en hun toegangsmodaliteiten; Bezoekersregistratie; Zichtbaar dragen van identificatiemiddelen (badges, stickers bezoekers, ...) Brandbeveiliging en –detectie; Automatische noodverlichting; Verwijderen van informatie voor apparatuur wordt afgevoerd; Sensibilisering rond fysieke veiligheid van apparatuur: Actieve sessie na beëindiging afsluiten of vergrendelen, Uitloggen toepassingen/netwerkdiensten, Vergrendelen mobiele apparatuur, Gebruikersapparatuur automatisch vergrendelen na time-out, Informatie op het scherm afschermen.
|
  | Klasse 3 en Klasse 4 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 + Klasse 2 + Zonering op niveau functionele behoefte; Begeleiding van bezoekers; Jaarlijks nazicht inventaris personeel en hun toegangsmodaliteiten; Bekabeling beveiligen tegen schade, afluisteren, vernietiging (bvb aparte kabelgoten, afgesloten kabelkasten, veilig opbergen reservemateriaal, ...). Monitoring van fysieke omgeving op mogelijke cybersecurity gebeurtenissen Transport van apparatuur buiten de organisatie enkel door goedgekeurd personeel/firma’s.
|
| PAS TOE OF LEG UIT |
 | Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 / Klasse 4 + Bewaking van de toegangscontrole via camera’s, bewakingspersoneel, ...; Beveiligen van kabels tegen vandalisme, beschadiging en afluisteren; Toegang door extern personeel (onderhoud, schoonmaken): 4-ogen principe toepassen; Automatische branddetectie met alarmfunctie; Gespecialiseerde blusapparatuur; Automatische detectie van water; Monitoring van temperatuur en vochtigheid; Alternatieve of back-up sites voorzien van gelijkwaardige beveiliging; Verificatie van beveiligingsniveau en -mechanismen na onderhoud apparatuur; Verwijderen van apparatuur: 4-ogen principe toepassen. Levenscyclus apparatuur
|
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
 | |
 | Alle maatregelen van Klasse 1 + Maatregelen om diefstal tegen te gaan: Zonering op niveau organisatie, Aparte laad- en loszone, Toegang beperken d.m.v. sleutels (mechanisch of digitaal) of toegangsbadges. Individuele credentials voor medewerkers, Up-to-date inventaris van personeel en hun toegangsmodaliteiten Bezoekersregistratie, Zichtbaar dragen van identificatiemiddelen (badges, stickers bezoekers, ...).
Brandbeveiliging en –detectie; Voldoende reservemateriaal en/of support/onderhoudscontracten voorzien.
|
  | Klasse 3 en Klasse 4 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 + Klasse 2 + Maatregelen om diefstal tegen te gaan: Zonering op niveau functionele behoefte, Begeleiding van bezoekers, Jaarlijks nazicht inventaris personeel en hun toegangsmodaliteiten.
Bekabeling beveiligen tegen schade en vernietiging (bvb aparte kabelgoten, afgesloten kabelkasten, veilig opbergen reservemateriaal, ...); Monitoring van fysieke omgeving op mogelijke cybersecurity gebeurtenissen 24x7 support/onderhoudscontracten voorzien.
|
| PAS TOE OF LEG UIT |
 | Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 / Klasse 4 + Maatregelen om diefstal tegen te gaan: Aparte fysieke toegang, beveiligd d.m.v. toegangsbadges, Betredingsalarm met beheersproces, Bewaking van de toegangscontrole via camera’s, bewakingspersoneel, ...
Beveiligen van kabels tegen vandalisme, beschadiging en afluisteren, Toegang door extern personeel (onderhoud, schoonmaken): 4-ogen principe toepassen. Automatische branddetectie met alarmfunctie; Gespecialiseerde blusapparatuur; Automatische detectie van water; Monitoring van temperatuur en vochtigheid; Alternatieve of back-up sites voorzien van gelijkwaardige beveiliging. Verificatie van beveiligingsniveau en -mechanismen na onderhoud apparatuur Verwijderen van apparatuur: 4-ogen principe toepassen. Levenscyclus apparatuur
|
6.1.2.2. Minimale specifieke (GDPR) maatregelen
De minimale algemene fysieke maatregelen moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing.
Er zijn geen minimale specifieke maatregelen voor GDPR fysieke beveiliging
6.1.2.3. Minimale specifieke (NIS2) maatregelen
Er zijn geen specifieke NIS2 maatregelen voor netwerken.
6.1.2.4. Minimale specifieke (KSZ) maatregelen
Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van fysieke maatregelen toegepast worden:
Beschikbaarheid
IC klasse | Minimale maatregelen |
|---|
| Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: Een beleidslijn uitwerken waarbij wordt aangegeven dat de medewerking van alle medewerkers van essentieel belang is voor de informatieveiligheid en de privacy. Elke medewerker speelt een belangrijke rol in het vermijden van ongeoorloofde toegang tot gevoelige informatie. Dit geldt zowel voor de toegangen tot de informatiesystemen en toepassingen als voor de fysieke toegang tot lokalen of tot documenten (Ref. KSZ 5.4.2 a). Elke organisatie moet zich ervan vergewissen dat de dragers van de persoonsgegevens en de informaticasystemen die deze gegevens verwerken10 in geïdentificeerde en beveiligde lokalen geplaatst worden, overeenkomstig hun indeling. Deze lokalen zijn enkel toegankelijk voor de gemachtigde personen en enkel tijdens de uren die voor hun functie gerechtvaardigd zijn (Ref. KSZ 5.5.3). Elke organisatie moet de toegang tot de gebouwen en lokalen beperken tot de geautoriseerde personen en een controle erop verrichten zowel tijdens als buiten de werkuren (Ref. KSZ 5.8.1). Er moeten toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een bemande receptie) worden aangebracht om ruimten te beschermen waar zich gevoelige of kritieke informatie en ICT voorzieningen bevinden (Ref. KSZ 5.8.1 a.). Privaat toegankelijke zones van een gebouw en de beveiligde ruimten moeten worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten (Ref. KSZ 5.8.1 b.). Er moet fysieke beveiliging van kantoren, ruimten en faciliteiten worden ontworpen en gerealiseerd (Ref. KSZ 5.8.1 c.). Elke organisatie moet maatregelen treffen m.b.t. de preventie, de bescherming, de detectie, het blussen en de interventie in geval van brand, inbraak of waterschade (Ref. KSZ 5.8.1 d.). Er moeten fysieke bescherming en richtlijnen voor werken in beveiligde ruimten worden ontworpen en gerealiseerd (Ref. KSZ 5.8.1 e.). Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerst en indien mogelijk worden afgeschermd van kritieke en/of ICT voorzieningen, om onbevoegde toegang te voorkomen (Ref. KSZ 5.8.1 f.). Elke organisatie moet maatregelen treffen ter voorkoming van verlies, schade, diefstal of compromitteren van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten (Ref. KSZ 5.8.2). Kritieke apparatuur moet zo worden geplaatst en beschermd dat risico’s van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang worden verminderd (Ref. KSZ 5.8.2 a.). Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, moeten tegen interceptie of beschadiging worden beschermd (Ref. KSZ 5.8.2 c.). Kritieke apparatuur moet op correcte wijze worden onderhouden, zodat deze voortdurend beschikbaar is en in goede staat verkeert (Ref. KSZ 5.8.2 d.). Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder voorafgaande toestemming van de locatie worden meegenomen (Ref. KSZ 5.8.2 e.). Apparatuur buiten de locaties moet worden beveiligd, waarbij rekening wordt gehouden met de diverse risico's van werken buiten het terrein van de organisatie Gebruikers moeten zeker stellen dat onbewaakte apparatuur gepast beschermd wordt (Ref. KSZ 5.8.2 f.). Gebruikers moeten zeker stellen dat onbewaakte apparatuur gepast beschermd wordt (Ref. KSZ 5.8.2 h.). Bij het gebruik van vercijfering als preventieve basismaatregel in geval van diefstal, misbruik of verlies van de informatiedrager: De encryptiesleutels nooit aanbrengen in een duidelijke vorm op de drager zelf. De vercijfering moet betrekking hebben op logische volumes in hun geheel (in plaats van op bestanden of individuele repertoria). De vercijfering dient als aanvulling op de toepasbare organisatorische en procedurele maatregelen die erop gericht zijn om misbruiken tegen te gaan (Ref. KSZ 5.8.3 a.).
Bij hergebruik van de informatiedrager deze opnieuw gebruiken in een minstens vergelijkbaar dataclassificatieniveau (Ref. KSZ 5.8.3 b.). Een risico-beoordeling uitvoeren om de gepaste methode te bepalen voor het wissen van een informatiedrager (Ref. KSZ 5.8.3 c.). De gepaste maatregelen voor het wissen van gegevens contractueel vastleggen wanneer: de organisatie informatiedragers gebruikt die geen eigendom zijn (bijvoorbeeld in het kader van leasing of disaster recovery) de organisatie de technologie niet beheerst voor toegang tot alle niveaus van de informatiedrager (bijvoorbeeld in het kader van cloud computing) (Ref. KSZ 5.8.3 e).
Elke organisatie moet over een alternatieve stroomvoorziening beschikken om de verwachte dienstverlening te waarborgen. Kritieke apparatuur moet worden beschermd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen (Ref. KSZ 5.8.2 b.).
|
Integriteit
IC klasse | Minimale maatregelen |
|---|
 | Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: Een beleidslijn uitwerken waarbij wordt aangegeven dat de medewerking van alle medewerkers van essentieel belang is voor de informatieveiligheid en de privacy. Elke medewerker speelt een belangrijke rol in het vermijden van ongeoorloofde toegang tot gevoelige informatie. Dit geldt zowel voor de toegangen tot de informatiesystemen en toepassingen als voor de fysieke toegang tot lokalen of tot documenten Ref. KSZ 5.4.2 a). Elke organisatie moet zich ervan vergewissen dat de dragers van de persoonsgegevens en de informaticasystemen die deze gegevens verwerken10 in geïdentificeerde en beveiligde lokalen geplaatst worden, overeenkomstig hun indeling. Deze lokalen zijn enkel toegankelijk voor de gemachtigde personen en enkel tijdens de uren die voor hun functie gerechtvaardigd zijn (Ref. KSZ 5.5.3). Elke organisatie moet de toegang tot de gebouwen en lokalen beperken tot de geautoriseerde personen en een controle erop verrichten zowel tijdens als buiten de werkuren (Ref. KSZ 5.8.1). Er moeten toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een bemande receptie) worden aangebracht om ruimten te beschermen waar zich gevoelige of kritieke informatie en ICT voorzieningen bevinden (Ref. KSZ 5.8.1 a.). Privaat toegankelijke zones van een gebouw en de beveiligde ruimten moeten worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten (Ref. KSZ 5.8.1 b.). Er moet fysieke beveiliging van kantoren, ruimten en faciliteiten worden ontworpen en gerealiseerd (Ref. KSZ 5.8.1 c.). Elke organisatie moet maatregelen treffen m.b.t. de preventie, de bescherming, de detectie, het blussen en de interventie in geval van brand, inbraak of waterschade (Ref. KSZ 5.8.1 d.). Er moeten fysieke bescherming en richtlijnen voor werken in beveiligde ruimten worden ontworpen en gerealiseerd (Ref. KSZ 5.8.1 e.). Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerst en indien mogelijk worden afgeschermd van kritieke en/of ICT voorzieningen, om onbevoegde toegang te voorkomen (Ref. KSZ 5.8.1 f.). Elke organisatie moet maatregelen treffen ter voorkoming van verlies, schade, diefstal of compromitteren van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten (Ref. KSZ 5.8.2). Kritieke apparatuur moet zo worden geplaatst en beschermd dat risico’s van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang worden verminderd (Ref. KSZ 5.8.2 a.). Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, moeten tegen interceptie of beschadiging worden beschermd (Ref. KSZ 5.8.2 c.). Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder voorafgaande toestemming van de locatie worden meegenomen (Ref. KSZ 5.8.2 e.). Apparatuur buiten de locaties moet worden beveiligd, waarbij rekening wordt gehouden met de diverse risico's van werken buiten het terrein van de organisatie Gebruikers moeten zeker stellen dat onbewaakte apparatuur gepast beschermd wordt (Ref. KSZ 5.8.2 f.). Gebruikers moeten zeker stellen dat onbewaakte apparatuur gepast beschermd wordt (Ref. KSZ 5.8.2 h.). Bij het gebruik van vercijfering als preventieve basismaatregel in geval van diefstal, misbruik of verlies van de informatiedrager: De encryptiesleutels nooit aanbrengen in een duidelijke vorm op de drager zelf. De vercijfering moet betrekking hebben op logische volumes in hun geheel (in plaats van op bestanden of individuele repertoria). De vercijfering dient als aanvulling op de toepasbare organisatorische en procedurele maatregelen die erop gericht zijn om misbruiken tegen te gaan (Ref. KSZ 5.8.3 a.).
Bij hergebruik van de informatiedrager deze opnieuw gebruiken in een minstens vergelijkbaar dataclassificatieniveau (Ref. KSZ 5.8.3 b.). Een risico-beoordeling uitvoeren om de gepaste methode te bepalen voor het wissen van een informatiedrager (Ref. KSZ 5.8.3 c.). De gepaste maatregelen voor het wissen van gegevens contractueel vastleggen wanneer: de organisatie informatiedragers gebruikt die geen eigendom zijn (bijvoorbeeld in het kader van leasing of disaster recovery) de organisatie de technologie niet beheerst voor toegang tot alle niveaus van de informatiedrager (bijvoorbeeld in het kader van cloud computing) (Ref. KSZ 5.8.3 e.).
|
Vertrouwelijkheid
IC klasse | Minimale maatregelen |
|---|
| Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: Een beleidslijn uitwerken waarbij wordt aangegeven dat de medewerking van alle medewerkers van essentieel belang is voor de informatieveiligheid en de privacy. Elke medewerker speelt een belangrijke rol in het vermijden van ongeoorloofde toegang tot gevoelige informatie. Dit geldt zowel voor de toegangen tot de informatiesystemen en toepassingen als voor de fysieke toegang tot lokalen of tot documenten Ref. KSZ 5.4.2 a). Elke organisatie moet zich ervan vergewissen dat de dragers van de persoonsgegevens en de informaticasystemen die deze gegevens verwerken10 in geïdentificeerde en beveiligde lokalen geplaatst worden, overeenkomstig hun indeling. Deze lokalen zijn enkel toegankelijk voor de gemachtigde personen en enkel tijdens de uren die voor hun functie gerechtvaardigd zijn (Ref. KSZ 5.5.3). Elke organisatie moet de toegang tot de gebouwen en lokalen beperken tot de geautoriseerde personen en een controle erop verrichten zowel tijdens als buiten de werkuren (Ref. KSZ 5.8.1). Er moeten toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een bemande receptie) worden aangebracht om ruimten te beschermen waar zich gevoelige of kritieke informatie en ICT voorzieningen bevinden (Ref. KSZ 5.8.1 a.). Privaat toegankelijke zones van een gebouw en de beveiligde ruimten moeten worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten (Ref. KSZ 5.8.1 b.). Er moet fysieke beveiliging van kantoren, ruimten en faciliteiten worden ontworpen en gerealiseerd (Ref. KSZ 5.8.1 c.). Elke organisatie moet maatregelen treffen m.b.t. de preventie, de bescherming, de detectie, het blussen en de interventie in geval van brand, inbraak of waterschade (Ref. KSZ 5.8.1 d.). Er moeten fysieke bescherming en richtlijnen voor werken in beveiligde ruimten worden ontworpen en gerealiseerd (Ref. KSZ 5.8.1 e.). Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerst en indien mogelijk worden afgeschermd van kritieke en/of ICT voorzieningen, om onbevoegde toegang te voorkomen (Ref. KSZ 5.8.1 f.). Elke organisatie moet maatregelen treffen ter voorkoming van verlies, schade, diefstal of compromitteren van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten (Ref. KSZ 5.8.2). Kritieke apparatuur moet zo worden geplaatst en beschermd dat risico’s van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang worden verminderd (Ref. KSZ 5.8.2 a.). Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, moeten tegen interceptie of beschadiging worden beschermd (Ref. KSZ 5.8.2 c.). Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder voorafgaande toestemming van de locatie worden meegenomen (Ref. KSZ 5.8.2 e.). Apparatuur buiten de locaties moet worden beveiligd, waarbij rekening wordt gehouden met de diverse risico's van werken buiten het terrein van de organisatie Gebruikers moeten zeker stellen dat onbewaakte apparatuur gepast beschermd wordt (Ref. KSZ 5.8.2 f.). Gebruikers moeten zeker stellen dat onbewaakte apparatuur gepast beschermd wordt (Ref. KSZ 5.8.2 h.). Bij het gebruik van vercijfering als preventieve basismaatregel in geval van diefstal, misbruik of verlies van de informatiedrager: De encryptiesleutels nooit aanbrengen in een duidelijke vorm op de drager zelf. De vercijfering moet betrekking hebben op logische volumes in hun geheel (in plaats van op bestanden of individuele repertoria). De vercijfering dient als aanvulling op de toepasbare organisatorische en procedurele maatregelen die erop gericht zijn om misbruiken tegen te gaan (Ref. KSZ 5.8.3 a.).
Bij hergebruik van de informatiedrager deze opnieuw gebruiken in een minstens vergelijkbaar dataclassificatieniveau (Ref. KSZ 5.8.3 b.). Een risico-beoordeling uitvoeren om de gepaste methode te bepalen voor het wissen van een informatiedrager (Ref. KSZ 5.8.3 c.). De gepaste maatregelen voor het wissen van gegevens contractueel vastleggen wanneer: de organisatie informatiedragers gebruikt die geen eigendom zijn (bijvoorbeeld in het kader van leasing of disaster recovery) de organisatie de technologie niet beheerst voor toegang tot alle niveaus van de informatiedrager (bijvoorbeeld in het kader van cloud computing) (Ref. KSZ 5.8.3 e.).
Elke organisatie moet de nodige maatregelen treffen opdat alle gegevens op opslagmedia gewist of ontoegankelijk gemaakt worden vóór verwijdering of hergebruik (Ref. KSZ 5.8.2 g.) Bij een voor de organisatie niet aanvaardbaar residuele risico van het terugvinden van de gegevens na het wissen, de informatiedrager fysiek vernietigen, zelfs als het residuele risico hypothetisch is (Ref. KSZ 5.8.3 d.).
|
