3.2.2.1. Minimale algemene maatregelen voor ICT-systemen 3.0

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Vertrouwelijkheid & Integriteit (beide kennen dezelfde maatregelen)

IC klasse	Minimale maatregelen

IC klasse	Minimale maatregelen
	PAS TOE
	Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Patching en hardening: Besturingssystemen van ICT-systemen moeten up-to-date zijn Beveiligingsupdates dienen zo snel mogelijk geïnstalleerd te worden; Alle niet-essentiële software, services, functionaliteiten en netwerkpooorten dienen uitgeschakeld en indien mogelijk verwijderd te worden; Deze lijst moet periodiek worden herzien om te garanderen dat ze accuraat en actueel blijft; Enkel goedgekeurde software mag gebruikt worden. Toepassen van een goedgekeurd en up-to-date paswoordbeleid voor systeemaccounts en voor geprivilegieerde accounts alle paswoorden ingesteld door derden (bv. leveranciers) dienen te worden gewijzigd; Gebruik van geprivilegieerde accounts voor het beheer van ICT-systemen via het PAM-proces: zie ook pagina https://vlaamseoverheid.atlassian.net/wiki/x/BpIHpwE; en IDS / IPS / antimalware-oplossingen moeten actief zijn en dienen periodiek updates te ontvangen via een automatisch proces. Interne controle op kwetsbaarheden: Zie pagina https://vlaamseoverheid.atlassian.net/wiki/x/1ZQHpwE . Antimalware: Alle datastromen die het ICT-systeem binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria: Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; Gecentraliseerd beheer; Altijd actief; Mogelijkheid tot real-time scanning; Niet-intrusief: de gebruiker minimaal belasten; Automatische updates van de signature database; Tegen zero-day-aanvallen; en Genereren van alarmen naar de antimalware-beheerders. Logging: Event logging wordt opgezet op alle systemen; Voor logging van toegangsbeheer: zie pagina https://vlaamseoverheid.atlassian.net/wiki/x/BpIHpwE ; Zie ook pagina https://vlaamseoverheid.atlassian.net/wiki/x/VZAHpwE
	PAS TOE OF LEG UIT
	Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Patching en hardening: Het is niet toegestaan data op te slaan op draagbare media Detectie: Host-based IDS inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based IDS versleutelde trafiek te inspecteren. Inbraakpreventie: Host-based firewall inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based firewall versleutelde trafiek te inspecteren. Host-based IPS inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren. Logging: IDS/ IPS-use cases moeten beschikbaar zijn voor SIEM

Beschikbaarheid

IC klasse	Minimale maatregelen

IC klasse	Minimale maatregelen
	PAS TOE
	Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Patching en hardening: IDS/IPS/antimalware-oplossingen moeten actief zijn en dienen periodiek updates te ontvangen via een automatisch proces. Antimalware: Alle datastromen die het ICT-systeem binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria: Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; Gecentraliseerd beheer; Altijd actief; Mogelijkheid tot real-time scanning; Niet-intrusief: de gebruiker minimaal belasten; Automatische updates van de signature database; Beveiliging tegen zero-day-aanvallen; en Genereren van alarmen naar de antimalware-beheerders. Logging: Event logging wordt opgezet op alle systemen; Voor logging van toegangsbeheer: zie pagina https://vlaamseoverheid.atlassian.net/wiki/x/BpIHpwE Zie ook pagina https://vlaamseoverheid.atlassian.net/wiki/x/1ZQHpwE. High-availability: High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …) Offsite backup implementeren
	PAS TOE OF LEG UIT
	Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Patching en hardening: Deny by default, permit by exception voor het opstarten en uitvoeren van software Detectie: Host-based IDS inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based IDS versleutelde trafiek te inspecteren. Inbraakpreventie: Host-based firewall inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based firewall versleutelde trafiek te inspecteren. Host-based IPS inzetten op hosts in hoog-risico omgevingen als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren.