Document toolboxDocument toolbox

5.4.3. Aanvullende informatie over de maatregelen (PAM) 3.0

Owned by Kenzo Vertenten (VO)
Last updated: 12 Dec, 2024 by Tom De CubberVersion comment
5 min read

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

5.4.3.1. Het onderscheid tussen IAM en PAM

n een operationele context is het essentieel om Identity and Access Management (IAM) en Privileged Access Management (PAM) te scheiden om de veiligheid en efficiëntie van onze IT-systemen te waarborgen.  

  • IAM (Identity and Access Management): Richt zich op de identificatie en toegangscontrole van alle gebruikers, inclusief persoonlijke accounts. Het doel is om toegang te geven op basis van de minimale rechten die nodig zijn voor dagelijkse taken. 

  • PAM (Privileged Access Management): Beheert geprivilegieerde accounts die toegang hebben tot kritieke systemen. PAM biedt extra beveiligingsmaatregelen zoals sessiemonitoring, opname en gedetailleerde toegangslogs. Dit is essentieel voor compliance, zoals NIS2. 

 Unieke identificatie 

Een vereiste vanuit NIS2 is het gebruik van unieke identificatoren voor elke gebruiker, elk apparaat en elk proces om volledige traceerbaarheid te garanderen. 

5.4.3.2. Gebruik van de maatregelen in operationele context

We onderscheiden drie implementatieniveaus van de minimale maatregel PAM. Elk van deze niveaus laat de gebruiker toe om zowel de functionele behoeften bij de beheersactiviteiten in te vullen als tegemoet te komen aan de informatieverwerkingseisen die we terugvinden in de implementatiecriteria.

Laag niveau

In dit niveau kan, bij niet-afname van de bouwsteen PAMaaS, het PAM-proces volledig manueel verlopen. 

  • Toegangsbeheer 

    • Elke toegang is geautoriseerd door de toegangsbeheerder en minstens jaarlijks valideert de toepassingseigenaar de toegangsrechten 

    • Er is een permanente, gemonitorde toegang tot het target account waarmee de privileged toegangen worden verworven 

  • Change, configuratie en release management 

    • Motivatie van de gebruiker om toegang te krijgen tot het target is niet verplicht 

    • Er is geen verplichte integratie van change managementinformatie 

  • Auditeerbaarheid 

    • Gebaseerd op documentatie en ad hoc audits van zowel de operationele processen als de informatie verwerkende configuraties (Basis ISO27001/-2 dekt de generieke verwerkingscontext af) 

  • Toepassingsgebied 

    • Dit toepassingsniveau is geschikt voor beheer van componenten die algemene informatie verwerk tot en met Informatieklasse 3 en dit voor zowel Vertrouwelijkheid als Integriteit. 

    • Dit toepassingsniveau is niet geschikt voor de verwerking van persoonsgegevens 

Middel niveau

Vanaf dit niveau is een automatische invulling van PAM verplicht. Het afnemen van PAMaaS is echter niet verplicht – entiteiten kunnen dit ook zelf invullen. 

  • Toegangsbeheer 

    • Sterke identificatie en authenticatie van de gebruiker van het PAM-proces 

      • Ook voor identificatie en authenticatie van geprivilegieerde systeemaccounts voor communicatie tussen systemen onderling dient MFA toegepast te worden 

    • Elke toegang is geautoriseerd door de toegangsbeheerder en minstens jaarlijks valideert de toepassingseigenaar de toegangsrechten 

    • Er is een permanente gemonitorde en gemotiveerde toegang tot het target account waarmee de privileged toegangen worden verworven 

    • Alle activiteiten tijdens de uitvoering van de privileged toegang worden geregistreerd 

      • Session recording, ook manueel, maakt dat de activiteiten in real-time en uitgesteld kunnen bekeken worden. 

      • Bij connectie naar endpointdevice of werkplek is een notificatie en expliciete toestemming van de eindgebruiker verplicht 

      • Automatisch beëindigen van sessie op afstand is geïmplementeerd vanaf informatie [Klasse 3] en dit voor zowel Vertrouwelijkheid als Integriteit. 

  • Change, configuratie en release management 

    • Er gebeurt een verplichte validatie van de motivatie van de gebruiker. 

    • Er is geen dubbele controle van de toegang op voorhand noodzakelijk. Periodieke controle gebeurt ‘post-mortem’ op basis van correlatie van logs die voortkomen uit de processen Change en Release Management en de logs van PAM zelf. 

      • Als je de veiligheidsbouwsteen PAMaaS afneemt, is dit een standaard rapportage. 

  • Auditeerbaarheid  

    • Periodieke risico rapportering dekt zowel de operationele processen als de informatie verwerkende configuratie 

      • Procescontrole: werd elke toegang correct afgedekt door een geregistreerde activiteit (change) 

      • Pre-approved changes en operationele activiteiten (Changes) met een maximale duurtijd tot één jaar zijn toegestaan voor operationele teams 

    • Alle activiteiten van de gebruiker van het PAM-proces worden geregistreerd. Dit is de implementatie van het controleprincipe op basis van manueel logboek registratie of geautomatiseerde session recording in combinatie met de log informatie. 

  • Toepassingsgebied 

    • Dit toepassingsniveau is geschikt voor beheer van componenten die algemene informatie verwerk tot en met [Informatieklasse 4] en dit voor zowel Vertrouwelijkheid als Integriteit. 

    • Dit toepassingsniveau is geschikt bij de verwerking van persoonsgegevens tot en met [Informatieklasse 3] en dit enkel voor Vertrouwelijkheid 

Hoog niveau

  • Toegangsbeheer 

    • Sterke identificatie en authenticatie van de gebruiker van het PAM-proces 

      • Sterke authenticatie voor communicatie tussen systemen via TLS certificaten is verplicht. 

    • Elke toegang is geautoriseerd via toegangsbeheer op basis van functionele noodzaak. Denk hierbij aan een interventie in kader van een incident. 

    • Er is geen permanente toegang tot het account met privileged toegangen binnen de informatieverwerking 

    • Er is een permanente gemonitorde en gemotiveerde toegang tot het target account waarmee de privileged toegangen worden verworven 

    • Alle activiteiten tijdens de uitvoering van de privileged toegang worden geregistreerd 

      • Session recording, ook manueel, maakt dat de activiteiten in realtime en uitgesteld kunnen bekeken worden. 

      • Bij connectie naar endpointdevice of werkplek is een notificatie en expliciete toestemming van de eindgebruiker verplicht 

      • Automatisch beëindigen van sessie op afstand is geïmplementeerd vanaf informatie [Klasse 3] en dit voor zowel Vertrouwelijkheid als Integriteit. 

  • Change, configuratie en release management 

    • Er gebeurt een verplichte validatie van de motivatie van de gebruiker. 

    • Er is een dubbele controle voorzien op de aangeleverde motivatie vooraleer toestemming kan gegeven worden voor de toegang. 

    • De periodieke controle gebeurt net als bij de medium implementatie van het PAM-proces ‘post-mortem’ op basis van logs die voortkomen uit de processen Change en Release Management en de logs van PAM zelf. 

  • Auditeerbaarheid  

    • Periodieke risico rapportering dekt zowel de operationele processen als de informatie verwerkende configuratie 

      • Procescontrole: werd elke toegang correct afgedekt door een geregistreerde activiteit (change) 

      • Pre-approved changes en operationele activiteiten (Changes) zijn beperkt tot de reële functionele duurtijd van de activiteiten 

    • Alle activiteiten van de gebruiker van het PAM-proces worden geregistreerd. 

      • Dit is de implementatie van het 4EYES principe op basis van manueel logboek registratie of geautomatiseerde session recording in combinatie met de log informatie 

  • Toepassingsgebied 

    • Dit toepassingsniveau is geschikt voor beheer van alle componenten in de informatie verwerken, en dit dus vanzelfsprekend voor zowel Vertrouwelijkheid als Integriteit 

5.4.3.3. Rapportering in functie PAM  

Proces anomalieën

Proces anomalieën worden opgespoord op basis van de correlaties van informatie uit verschillende processen of hun ondersteunende technische platformen in real-time via SIEM

  • Doel :

    • Operationele toegang tot informatieverwerking infrastructuur verantwoorden door gebruik te maken van de change managementprocessen 

    • Niet geautoriseerde toegangen opsporen en corrigerende maatregelen initiëren 

  • Input:

    • Change log (Bron: Wijzigingsbeheer)

    • PAM log (Bron: Operationeel beheer informatieverwerking)

  • Output:

    • Niet-gemotiveerde toegangen op basis van het ontbreken van een change record

    • Niet-gemotiveerde toegangen op basis van een ongeldig change record

    • Toegang buiten het gevalideerde change venster (tijdframe)

    • Toegang op basis van een niet gevalideerde change.

    • Tijd van toestemming wordt gebruikt om antidatering te detecteren.

Configuratie anomalieën

Configuratie anomalieën worden opgespoord op basis van de correlaties van informatie uit het PAM proces en de technische log uit de informatieverwerkingscomponenten

  • Doel :

    • Efficiëntie van het PAM proces aantonen door het actief opsporen van achterdeur toegangen 

    • Niet geautoriseerde toegangen opsporen en corrigerende maatregelen initiëren 

  • Input:

    • PAM log (Bron: Operationeel beheer informatieverwerking)

    • Target log (Bron: Configuratie beheer van de technische component; Voorbeeld: security log host, middleware of toepassing)

  • Output:

    • Identificatie van toegangen tot de informatieverwerking die buiten het PAM proces verlopen