Skip to end of metadata
Go to start of metadata
Vertrouwelijkheid
IC klasse | Minimale maatregelen |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Patching en hardening: Besturingssystemen van ICT-systemen moeten up-to-date zijn (dus niet kwetsbaar voor gekende kwetsbaarheden ondersteund door leverancier); Beveiligingsupdates dienen zo snel mogelijk geïnstalleerd te worden; Er worden alleen protocollen gebruikt die nodig zijn voor de benodigde functionaliteit, andere protocollen worden verwijderd of disabled; Alle onnodige services dienen uitgezet te worden; Toepassen van een goedgekeurd en up-to-date paswoordbeleid voor systeemaccounts en voor geprivilegieerde accounts, dit houdt o.a. in dat alle paswoorden ingesteld door derden (bv. leveranciers) dienen te worden gewijzigd; Voor het beheer van ICT-systemen zijn geprivilegieerde accounts nodig, beheer van deze accounts moet via PAM-proces: zie ook pagina 5.4. Minimale maatregelen - Priviliged Access Management (PAM); en Indien IDS/ IPS/ antimalware-oplossingen aanwezig zijn, dienen deze periodiek updates te ontvangen via een automatisch proces.
Detectie: Inbraakpreventie: Host-based firewall inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based firewall versleutelde trafiek te inspecteren. Host-based IPS inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren.
Antimalware: Alle datastromen die het ICT-systeem binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; Gecentraliseerd beheer; Altijd actief; Mogelijkheid tot real-time scanning; Niet-intrusief: de gebruiker minimaal belasten; Automatische updates van de signature database; Tegen zero-day-aanvallen; en Genereren van alarmen naar de antimalware-beheerders.
Logging: |
| Alle maatregelen van Klasse 1 / Klasse 2 + Interne controle op kwetsbaarheden: |
| Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Interne controle op kwetsbaarheden: Logging: |
Integriteit
IC klasse | Minimale maatregelen |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Patching en hardening: Besturingssystemen van ICT-systemen moeten up-to-date zijn (dus niet kwetsbaar voor gekende kwetsbaarheden ondersteund door leverancier); Beveiligingsupdates dienen zo snel mogelijk geïnstalleerd te worden; Er worden alleen protocollen gebruikt die nodig zijn voor de benodigde functionaliteit, andere protocollen worden verwijderd of disabled; Alle onnodige services dienen uitgezet te worden; Toepassen van een goedgekeurd en up-to-date paswoordbeleid voor systeemaccounts en voor geprivilegieerde accounts, dit houdt o.a. in dat alle paswoorden ingesteld door derden (bv. leveranciers) dienen te worden gewijzigd; Voor het beheer van ICT-systemen zijn geprivilegieerde accounts nodig, beheer van deze accounts moet via PAM-proces: zie ook pagina 5.4. Minimale maatregelen - Priviliged Access Management (PAM); en Indien IDS/ IPS/ antimalware-oplossingen aanwezig zijn, dienen deze periodiek updates te ontvangen via een automatisch proces.
Detectie: Inbraakpreventie: Host-based firewall inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based firewall versleutelde trafiek te inspecteren. Host-based IPS inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren.
Antimalware: Alle datastromen die het ICT-systeem binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; Gecentraliseerd beheer; Altijd actief; Mogelijkheid tot real-time scanning; Niet-intrusief: de gebruiker minimaal belasten; Automatische updates van de signature database; Beveiliging tegen zero-day-aanvallen; en Genereren van alarmen naar de antimalware-beheerders.
Logging: |
| Alle maatregelen van Klasse 1 / Klasse 2 + Interne controle op kwetsbaarheden: |
| Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Interne controle op kwetsbaarheden: Logging: |
Beschikbaarheid
IC klasse | Minimale maatregelen |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Detectie: Inbraakpreventie: Host-based firewall inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based firewall versleutelde trafiek te inspecteren. Host-based IPS inzetten op hosts in hoog-risico omgevingen zoals bvb DMZ als het niet opportuun is om via netwerk-based IPS versleutelde trafiek te inspecteren.
Antimalware: Alle datastromen die het ICT-systeem binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen; Gecentraliseerd beheer; Altijd actief; Mogelijkheid tot real-time scanning; Niet-intrusief: de gebruiker minimaal belasten; Automatische updates van de signature database; Beveiliging tegen zero-day-aanvallen; en Genereren van alarmen naar de antimalware-beheerders.
Logging: High-availability: |
| Alle maatregelen van Klasse 1 / Klasse 2 + Interne controle op kwetsbaarheden: High-availability |
| Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Interne controle op kwetsbaarheden: |