null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Infrastructuurbeveiliging omvat richtlijnen met betrekking tot de bescherming van de verschillende infrastuctuurcomponenten zoals het netwerk, servers en storage.

 OP DEZE PAGINA

Inhoud

Doel

Het beleid voor infrastructuurbeveiliging omvat richtlijnen en procedures die de organisatie volgt om cruciale infrastructuurcomponenten, zoals netwerken, servers en opslagsystemen, adequaat te beveiligen. Het doel van dit beleid is het waarborgen van de integriteit, beschikbaarheid en vertrouwelijkheid van deze componenten. Dit omvat het beschermen tegen ongeautoriseerde toegang, cyberaanvallen, en andere potentiële bedreigingen die de stabiliteit en veiligheid van de organisatie kunnen ondermijnen.

(blue star) DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

  • Page:
    OD.07

    We nemen de nodige maatregelen om het netwerk en informatiesystemen afdoende te beschermen.

(blue star) DREIGINGEN

Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

Beleid

Wat valt binnen het domein van infrastructuur

Onder infrastructuur worden de volgende componenten en systemen verstaan:

Backup-up van informatie

Vereisten voor de backup van informatie

Na het identificeren en classificeren van informatie dient bepaalt te welke vereisten van toepassing zijn voor de beschikbaarheid van de informatie.

Deze vereisten dienen te zijn gebaseerd op:

  • Informatie classificatie,

  • Beschikbaarheidseisen,

  • Bedreigingen en risico’s,

  • Backupbehoeften,

  • Beschikbare backuptechnologieen,

  • Beschikbare en te ontwikkelen backupprocedures.

Voor specifieke vereisten dient er rekening gehouden te worden met:

  • Bevestigen dat de back-up- en herstelstrategie voldoet aan:

    • Bedrijfscontinuïteitsplannen

    • Beleid, wet- en regelgeving en andere wettelijke verplichtingen.

  • Het documenteren van de backup- en herstelprocessen, inclusief:

    • Soorten informatie waarvan een back-up moet worden gemaakt.

    • Schema's voor de back-up van informatie en informatiesystemen.

    • Beheer van back-upmedia (bijv. bewaartermijn, patroon van back-upcycli).

    • Methoden voor het uitvoeren, valideren en labelen van back-ups.

    • Methoden voor het valideren van het herstel van de informatie en het informatiesysteem.

Implementatiemaatregel

De organisatie MOET back-up- en herstelprocessen definiëren en documenteren die de informatiebeveiliging en de beschikbaarheidseisen van informatie en informatiesystemen weerspiegelen.

Beveiliging van back-up voorzieningen en media

Het beveiligen van backup-voorzieningen en media bedraagt het in staat zijn van herstel van data wanneer deze niet (betrouwbaar) beschikbaar is binnen de primaire bron doormiddel van backup-voorzieningen die op een niveau beveiligd zijn evenredig aan hun ICR classificatie en daardoor een betrouwbare bron van hersteldata zijn.

Onder “back-up voorzieningen” verstaan we systemen, procedures en andere middelen die om regelmatige kopieën of duplicaten van gegevens, bestanden, programma's of andere essentiële informatie te maken en op te slaan. Het primaire doel van een back-up voorziening is om een herstelpunt te creëren waarmee gegevens kunnen worden hersteld in het geval van gegevensverlies, corruptie, onopzettelijke verwijdering, systeemstoringen, rampen of andere onvoorziene gebeurtenissen.

Implementatiemaatregel

De organisatie MOET een dreigings- en risicoanalyse uitvoeren om de beveiligingsmaatregelen voor back-upvoorzieningen en -media vast te stellen die in verhouding staan tot de waarde en de gevoeligheid van de informatie en de informatiesystemen.

Onder de te overwegen beveiligingsmaatregelen verstaan we in ieder geval:

  • Het gebruik van encryptie om de geback-upte informatie te beschermen.

  • Het gebruik van digitale handtekeningen om de integriteit van de informatie te beschermen.

  • Fysieke en omgevingsbeveiliging.

  • Toegangsmaatregelen.

  • Methoden van doorvoer naar en van externe locaties (bijv. door geautoriseerde koeriers, door versleutelde elektronische overdracht).

  • Opslag van media volgens de aanbevelingen van de fabrikant voor opslagomstandigheden en maximale houdbaarheid.

  • Externe opslag van back-upmedia op voldoende afstand om te ontsnappen aan eventuele schade door een ramp op de hoofdlocatie.

Beveiliging van netwerkdiensten

Onder netwerkdiensten worden de volgende elementen verstaan binnen de organisatie:

  • Netwerkbeheer en onderhoud: Het uitvoeren van regelmatig onderhoud aan netwerkapparatuur, zoals routers en switches, en het toepassen van beveiligingsupdates om bekende kwetsbaarheden te verminderen.

  • Firewall- en Inbraak preventie diensten: Het implementeren van firewalls en intrusion prevention-systemen om het netwerk te beschermen tegen ongeautoriseerde toegang, malware en andere bedreigingen.

  • VPN:

Implementatiemaatregel

De organisatie MOET beveiligingsmaatregelen te implementeren om de veiligheid van informatie in netwerken te waarborgen en aangesloten diensten tegen onbevoegde toegang te beschermen.

In het bijzonder behoort met de volgende aspecten rekening te worden gehouden:

  • Het soort informatie dat het netwerk kan ondersteunen en het classificatieniveau ervan.

  • Documentatie / Configuratie / Inzicht

  • Verantwoordelijkheden en procedures voor het beheer van netwerkcomponenten en apparaten;

  • Actuele documentate onderhouden, waaronder netwerkschema's en configuratiebestanden van apparatuur (bijv. routers, switches);

  • De operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten met de ICT-systemen, volgens functiescheiding zoals gestipuleerd in [toegangsbeleid].

  • Beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen.

  • Netwerkbeheeractiviteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast;

  • Systemen op het netwerk authenticeren.

    • Ieder netwerkcomponent ongeacht de sensitiviteit van positie en data doorstroom dient geauthenticeerd en geauthoriseerd te zijn wanneer aangesloten op het netwerk. Zonder deze validatie moet een apparaat niet kunnen worden aangesloten.

  • De verbinding van apparatuur en apparaten met het netwerk detecteren, beperken en authenticeren;

  • Kritieke subnetwerken tijdelijk isoleren (bijv. met 'drawbridges' (ophaalbruggen)) als het netwerk wordt aangevallen;

  • Kwetsbare netwerkprotocollen uitschakelen. In het bijzonder protocollen die zonder versleuteling authenticatie details versturen.

Gebruik van speciale systeemhulpmiddelen

Speciale systeemhulpmiddelen zijn hulpmiddelen die gebruikt worden ter configuratie, monitoring of beheer van systemen en niet binnen het normale toegangsbeheer vallen.

Implementatiemaatregel

De organisatie MOET een proces te implementeren en te onderhouden voor het beheer en gebruik van toegestane (speciale) systeemhulpmiddelen.

Implementatiemaatregel

Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, MOETEN de volgende maatregelen te worden gehandhaafd door de organisatie:

  • Additioneel op het beleid voor toegangsbeveiliging:

    • Beperken van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde gebruikers dat praktisch haalbaar is.

    • Het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen, met inbegrip van de unieke identificatie van de persoon die het systeemhulpmiddel gebruikt.

    • Het definiëren en documenteren van autorisatieniveaus voor systeemhulpmiddelen.

    • Autorisatie voor ad-hocgebruik van systeemhulpmiddelen.

    • Het niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot toepassingen op systemen waarbij functiescheiding vereist is.

  • Het verwijderen of onbruikbaar maken van alle onnodige systeemhulpmiddelen.

  • Beperken van de beschikbaarheid van systeemhulpmiddelen (bijv. voor de duur van een geautoriseerde wijziging).

  • Registreren van alle gebruik van systeemhulpmiddelen.

Ten minste een logische segmentatie tussen systeemhulpmiddelen en toepassingssoftware. Indien mogelijk, de netwerkcommunicatie voor dergelijke systeemhulpmiddelen van het toepassingenverkeer scheiden.

Netwerken dienen niet op via dezelfde netwerkverbindingen beheert en gebruikt te worden. Een duidelijke scheiding moet worden aangebracht op netwerken door een configuratienetwerk te opereren voor netwerk onderhoud.

Installeren van software op operationele systemen

TODO

Kloksynchronisatie

Kloksynchronisatie verwijst naar het proces van coördineren en afstemmen van de tijd tussen verschillende klokken of systemen binnen een netwerk, zodat ze een gemeenschappelijke en nauwkeurige tijdsreferentie delen. Het doel van kloksynchronisatie is ervoor te zorgen dat verschillende apparaten in een netwerk een consistente tijd weergeven, wat belangrijk is voor diverse toepassingen en systemen.

Voor het synchroniseren van klokken worden de volgende tijdsprotocollen toegespast:

  • NTP, of het Network Time Protocol, is een protocol dat wordt gebruikt om klokken op computersystemen in een netwerk te synchroniseren. Het werd ontwikkeld om de tijd op computers en netwerken nauwkeurig te coördineren. NTP maakt gebruik van een hiërarchie van tijdbronnen, waarbij sommige servers als tijdsreferentie dienen en andere systemen hun klokken synchroniseren met deze bronnen. Het protocol compenseert voor variaties in netwerklatentie en zorgt voor een consistente en nauwkeurige tijdweergave tussen apparaten. NTP wordt vaak gebruikt in bredere netwerken zoals het internet.

  • PTP, of het Precision Time Protocol, is een protocol voor kloksynchronisatie, maar het is ontworpen voor toepassingen waar een zeer nauwkeurige synchronisatie vereist is, zoals in industriële automatisering en telecommunicatienetwerken. PTP is gestandaardiseerd als IEEE 1588. In tegenstelling tot NTP, dat de tijd met seconden nauwkeurig synchroniseert, streeft PTP naar submicroseconde-nauwkeurigheid. Het maakt gebruik van een master-slave architectuur, waarbij één apparaat fungeert als de tijdsbron (meester) en andere apparaten (slaven) hun klokken synchroniseren met deze meester. PTP wordt vaak gebruikt in omgevingen waar tijdsynchronisatie van cruciaal belang is, zoals in industriële automatisering, financiële handelssystemen en audio/video-toepassingen waar strakke synchronisatie vereist is.

Implementatiemaatregel

De organisatie MOET de systeemklokken van infrastructuurcomponenten te synchroniseren met een erkende referentieklok. De referentieklok fungeerd als een consistente, vertrouwde bron voor de datum en tijd om nauwkeurige tijdstempels te garanderen voor logsystemen. Daarbij dient de belgische datum- en tijdsnotatie te worden gebruikt om misinterpretantie tussen verschillende formaten te vermijden.

Externe en interne eisen voor weergave, betrouwbare synchronisatie en nauwkeurigheid van tijd MOETEN worden gedocumenteerd en geimplementeerd. zulke eisen kunnen voortvloeien uit wet- en regelgeving, statuten, overeenkomsten, normen en IT interne monitoringbehoeften. Er behoort een standaardreferentietijd voor gebruik binnen de organisatie te worden gedefinieerd en in aanmerking te worden genomen voor alle systemen, met inbegrip van gebouwbeheersystemen, in- en uitgangssystemen en andere systemen die ter ondersteuning van onderzoeken kunnen worden gebruikt.

Protocollen zoals netwerktijdprotocol (ntp) of 'precision time protocol' (ptp) MOETEN worden gebruikt om klokken in een computernetwerk gesynchroniseerd te houden met een referentieklok.

De organisatie kan twee externe tijdsbronnen tegelijk gebruiken om de betrouwbaarheid van externe klokken te verbeteren en naar behoren om te gaan met eventuele afwijkingen.

In het geval van afwijkende klokken MOET de organisatie de klok van elke dienst te controleren en het verschil te worden geregistreerd om risico's als gevolg van verschillen te verkleinen.

Netwerksegmentatie

Netwerksegmentatie is een beveiligingspraktijk waarbij een groot computer- of communicatienetwerk wordt opgedeeld in kleinere, geïsoleerde eenheden genaamd segmenten. Het hoofddoel van netwerksegmentatie is het verbeteren van de beveiliging door het beperken van de communicatie en toegang tussen verschillende delen van het netwerk.

Elk segment binnen het netwerk bevat een specifieke groep apparaten of systemen die vergelijkbare functies of beveiligingsvereisten hebben. Door het implementeren van barrières, zoals firewalls of virtuele LANs (VLANs), tussen deze segmenten, kan de verspreiding van aanvallen worden beperkt en kunnen gevoelige gegevens beter worden beschermd.

Implementatiemaatregel

De organisatie MOET netwerken te verdelen in gesegmenteerde netwerkdomeinen, deze dienen te worden geselecteerd op basis van betrouwbaarheids-, kritikaliteits- en gevoeligheidsniveaus (bijv. publiek domein, werkplek domein, server domein, systemen met laag of hoog risico), op basis van organisatieafdelingen (bijv. personeelszaken, financiën, marketing) of een combinatie ervan (bijv. serverdomein verbonden met meerdere afdelingen van de organisatie).

  • De beoordeling behoort in overeenstemming te zijn met het beleid voor toegangsbeveiliging, de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie.

Implementatiemaatregel

De kriticiteit en informatieclassificatie MOET op ieder segment te worden vastgesteld en te worden gehanteerd in het vaststellen van toegangsbehoefte volgens het beleid voor toegangsbeveiliging.

Implementatiemaatregel

De organisatie MOET de volgende basis beleidsregels toe te passen bij het segmenteren van netwerken:

  • Minimaliseer de blootstelling van kritieke systemen: zorg ervoor dat systemen die gevoelige informatie of kritieke bedrijfsprocessen bevatten, geïsoleerd worden van minder belangrijke systemen en netwerken.

  • Beperk verkeersstromen: gebruik firewalls en netwerkbeveiliging groepen om alleen toegang toe te staan vanaf specifieke bronnen en naar specifieke bestemmingen. Beperk ook het soort verkeer dat tussen segmenten kan plaatsvinden.

  • Implementeer toegangscontrole die past binnen het beleid voor toegangsbeveiliging en ontwerp de segmentatie zo dat deze aansluit op de algehele toegangsbeveiliging methodiek en strategie.

  • Implementeer beveiligingszones: verdeel het netwerk in verschillende zones om te voorkomen dat malware of bedreigingen zich naar andere delen van het netwerk verspreiden. Houd bijvoorbeeld servers en gebruikersapparatuur in afzonderlijke beveiligingszones.

  • Naarmate de gevoeligheid van beschikbare informatie toeneemt op netwerksegmenten dienen de toegangsbeveiligingsmaatregelen (AAAI) equivalent toe te nemen.

  • De netwerken segmenten waartoe toegang wordt verleend dienen te worden bepaald op basis informatieclassificatie en gebruikersbevoegdheden conform het [beleid voor toegangsbeveiliging].

  • De criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domein.

  • De buitengrenzen van elk domein behoren goed te worden gedefinieerd. Indien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een firewall als gateway te gebruiken.

Draadloze netwerken

Implementatiemaatregel

Draadloze netwerken

  • Om te voorkomen dat gegevens die verstuurt worden over een draadloos netwerk worden onderschept, dienen de volgende maatregelen worden genomen:

    • Versleutelde communicatie tussen client en access point door gebruik te maken van WPA2-Enterprise met 802.11[versie] geverifieerde clients naar WLAN-netwerken of equivalente standaarden;

    • Communicatie wordt versleuteld. Authenticatie dient met een veilig authenticatie protocol te worden uitgevoerd op het moment van schrijven is dit minimaal WPA2-versleuteling.

  • Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerk. Aanpassing van de radiodekking van access points behoort te worden overwogen om draadloze netwerken te segmenteren.

  • De organisatie dient een gastnetwerk beschikbaar te maken voor ongeauthoriseerde legitieme gebruikers. Draadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel.

  • Personeel dient alleen beheerste 'endpoint devices' te gebruiken die voldoen aan het beleid voor gebruikersapparatuur. Voor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd.

  • Gebruikersapparatuur die niet aan de security eisen voldoet (bijvoorbeeld: gebruikersapparatuur met oude versies van software met uitbuitbare veiligheidslekken) dienen te worden geweerd van het ‘personeel’ wifi netwerk en kunnen alleen nog gebruik maken van het gastnetwerk.

  • Productie netwerksegmenten dienen te worden gescheiden van de test- en ontwikkelomgevingen.

DMZ

Een DMZ, wat staat voor "Demilitarized Zone," is een netwerksegment dat wordt gebruikt om een extra beveiligingslaag te bieden tussen het interne netwerk van een organisatie en externe, onvertrouwde netwerken, zoals het internet. De DMZ fungeert als een bufferzone waarin organisaties diensten en resources kunnen plaatsen die beperkte toegang tot het interne netwerk hebben. Het doel van de DMZ is om de aanvalsoppervlakte te verminderen en de beveiliging van kritieke interne systemen te versterken.

Implementatiemaatregel

De organisatie dient in het bijzonder regels op te stellen voor toegang tot de DMZ. In ieder geval met:

  • Een administratie van rechtvaardiging voor de toegang voor de persoon, systeem of proces.

De organisatie dient in het bijzonder tijdstip, locatie en andere attributen van de toegang tot deze DMZ netwerken vast te leggen en te monitoren.

Redundantie van informatieverwerkende faciliteiten

De

Implementatiemaatregel

  • De organisatie dient de infrastructuur zo te structureren dat kritieke bedrijfsmiddelen zover mogelijk zonder interruptie beschikbaar blijft conform het ICR: “single point of failures” dienen zover mogelijk gereduceerd te worden.
    (Het ICR beschrijft dat alle informatie vanaf informatieklasse 4 volledig redundant moet zijn en bij lager de reserveonderdelen beschikbaar moeten zijn.)

  • Uitwijk strategieën die het informatieveiligheidsbeleid en informatiebeveiliging in acht nemen dienen opgesteld, getest en onderhouden te worden.

  • De organisatie dient de beschikbaarheidseisen uit te werken voor netwerkdiensten en netwerkcomponenten.

  • Voor netwerkdiensten en -componenten die als kritiek worden beschouwd dient de organisatie DRP’s op te stellen conform het beleid voor ICT-continuiteit.

  • Wanneer de beschikbaarheid van complexe netwerkdiensten of -componenten een hoge prioriteit heeft dienen de uitrol stappen zover mogelijk te worden geautomatiseerd. Dit betekent wel dat dat de beheerders in staat dienen te zijn zonder ontwikkelde automatisering het component of de dienst kunnen herstellen.

  • De organisatie dient het gebruik van content delivery netwerken (CDN) en andere caching technologie te beperken tot gevallen waar met zekerheid kan worden vastgesteld dat er geen gevoelige data beschikbaar wordt gesteld.

Storage

  • De vereiste beschikbaarheid van data dient te worden vastgelegd

  • Kritieke data dienen op verschillende fysieke locaties te worden opgeslagen.

Toepassing van webfilters

Webfilters zijn beveiligingsmaatregelen die worden toegepast om het veilige en gepaste gebruik van online bronnen te waarborgen. Ze omvatten regels en beperkingen voor het blokkeren van ongewenste of ongepaste websites en internetgebaseerde toepassingen. Deze regels moeten actueel worden gehouden en kunnen onder andere de toegang tot websites met uploadfuncties, kwaadaardige websites, command-and-controlservers en websites met illegale inhoud beperken. Uitzonderingen kunnen worden toegestaan op basis van motivatie, maar deze gebruikersaccounts kunnen worden onderworpen aan verhoogde bewaking en aanvullende maatregelen om de bedrijfsmiddelen van de organisatie te beschermen. Daarnaast kunnen webfilters ook IP-filtering op basis van geografische filters en blocklists toepassen om de bereikbaarheid van bedrijfsinfrastructuur te beperken. Het beleid voor webfilters moet ervoor zorgen dat online bronnen veilig en gepast worden gebruikt.

De volgende types van webfiltering worden normaliter overwogen of en toegepast;

  • URL-filtering: Het proces van URL-filtering omvat het analyseren van de URL's van websites waartoe gebruikers toegang proberen te krijgen. Deze URL's worden vergeleken met een database van bekende categorieën, zoals sociale media, gokken, enzovoort. Op basis van deze classificatie kan het webfilter beslissen of de toegang tot de website moet worden toegestaan of geblokkeerd.

  • Content Filtering: Content filtering richt zich op de inhoud van webpagina's. Het kan woorden, zinnen of specifieke inhoudstypen identificeren en filteren op basis van vooraf gedefinieerde regels. Hiermee kan het webfilter ongepaste of niet-zakelijke inhoud blokkeren.

  • Applicatie-identificatie en -beheer: Webfilters kunnen het gebruik van specifieke webapplicaties en diensten beheren. Dit omvat het identificeren van applicaties, zoals instant messaging, peer-to-peer-bestandsdeling of streamingdiensten, en het toepassen van beleidsregels om hun toegang te beperken.

  • Malware- en Phishingdetectie: Dit proces omvat het scannen van websites en hun inhoud op de aanwezigheid van malware en phishing-elementen. Het webfilter kan bekende patronen en handtekeningen gebruiken om schadelijke inhoud te identificeren en te blokkeren.

  • SSL-inspectie: Sommige webfilters ondersteunen SSL-inspectie om versleuteld HTTPS-verkeer te kunnen analyseren. Hiermee kunnen ze de inhoud van versleuteld verkeer inspecteren en filteren om beveiligde verbindingen te beheren.

  • Tijd- en Bandbreedtebeheer: Webfilters kunnen tijd- en bandbreedtebeheerprocessen hebben om de toegang tot bepaalde websites tijdens specifieke periodes te beperken en het gebruik van netwerkbronnen te optimaliseren.

  • Gebruikersauthenticatie en -toewijzing: Authenticatieprocessen stellen het webfilter in staat om gebruikers te identificeren en toe te wijzen aan specifieke beveiligingsgroepen of beleidsregels. Dit maakt gepersonaliseerd beheer van internettoegang mogelijk.

  • Logging en Rapportage: Het webfilter houdt logbestanden bij van internetactiviteiten, inclusief bezochte websites, geblokkeerde inhoud en waarschuwingen. Rapportagefunctionaliteiten bieden beheerders inzicht in het internetgebruik binnen het netwerk.

  • Whitelisting en Blacklisting: Webfilters kunnen whitelists en blacklists gebruiken om specifieke websites toe te staan of te blokkeren op basis van aangepaste beleidsregels. Whitelists bevatten goedgekeurde websites, terwijl blacklists sites bevatten die zijn verboden.

  • Updates en Threat Intelligence: Webfilters moeten regelmatig worden bijgewerkt met de nieuwste URL-classificaties, malware-handtekeningen en threat intelligence. Deze updates zorgen ervoor dat het webfilter effectief blijft bij het identificeren en blokkeren van nieuwe bedreigingen.

Implementatiemaatregel

De organisatie MOET regels op te stellen voor veilig en gepast gebruik van online bronnen, met inbegrip van een eventuele beperking van ongewenste of ongepaste websites en internetgebaseerde toepassingen. De regels behoren actueel te worden gehouden.

De organisatie MOET te identificeren tot welke soorten websites haar personeel wel of niet toegang behoort te hebben. De organisatie behoort te overwegen de toegang tot de volgende soorten websites te blokkeren:

  • Websites met een functie voor het uploaden van informatie, tenzij dit om geldige zakelijke redenen is toegestaan.

  • Websites waarvan bekend is of die ervan verdacht worden kwaadaardig te zijn (bijvoorbeeld websites die malware of phishinginhoud verspreiden).

  • Command-and-controlservers.

  • Websites die volgens informatie en analyses over dreigingen kwaadaardig zijn.

  • Websites die illegale inhoud delen.

Uitzonderingen kunnen op verzoek worden toegestaan op basis van motivatie. Gebruikersaccounts waarvoor uitzonderingen worden toegestaan, kunnen worden onderworpen aan verhoogde bewaking en aanvullende maatregelen om de bedrijfsmiddelen van de organisatie te beschermen.

De organisatie MOET restricties toe te passen op de bereikbaarheid van de voor gebruikers beschikbare bedrijfsinfrastructuur in de vorm van IP-filtering op basis van:

  • Geografische filters (Geo blocking)

  • Blocklists

Scope en toepassingsgebied

De algemene scope en toepassingsgebied van ISMS kan u hier terugvinden, indien hierop afwijkingen of verduidelijkingen van toepassing zijn worden deze hieronder in detail omschreven.

Implementatiemaatregelen

Deze implementatiemaatregelen beschrijven de richtlijnen (verplicht of optioneel) die we noodzakelijk achten om de informatie en bedrijfsmiddelen van Digitaal Vlaanderen afdoende te beschermen. Het vereiste beveiligingsniveau is echter afhankelijk van de informatieklasse van de desbetreffende toepassing.

Rollen en verantwoordelijkheden

Overzicht van de rollen en verantwoordelijkheden die van specifiek van toepassing zijn op dit beleidsdomein. Een algemeen overzicht van alle rollen en verantwoordelijkheden kun u hier terugvinden.
Rollen (personen) aan wie verantwoordelijkheden inzake informatieveiligheid zijn toegekend (=eigenaar), kunnen beveiligingstaken aan anderen toewijzen (=gedelegeerde eigenaar), echter de eigenaar blijft steeds de eindverantwoordelijke. 

ISO Beheersmaatregelen

Hieronder vind u een overzicht van de gerelateerde ISO beheersmaatregelen.

Generating page properties report...

Gerelateerde documentatie

Overzicht van documenten die betrekking hebben tot dit beleidsdomein (Bvb. plan, register, procesbeschrijving, procedure, …), alsook de eigenaar die verantwoordelijk is om deze document aan te leveren en te onderhouden.  

Verklarende woordenlijst

Verklarende woordenlijst van specifieke termen gebruikt in dit beleid.  Een volledig overzicht van termen en afkorting zijn beschreven in de glossary informatieveiligheid

(blue star) Beleidslijn

  • Er is een beleid inzake back-ups, er worden back-upkopieën gemaakt en regelmatig getest overeenkomstig het overeengekomen beleid.

  • Netwerken en netwerkapparaten zijn beveiligd om informatie in systemen en toepassingen te beschermen en worden beheerd en beheerst.

  • Voor alle netwerkdiensten zijn beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen geïdentificeerd, geïmplementeerd en worden gemonitord.

  • Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, worden beperkt en worden nauwkeurig gecontroleerd.

  • Er zijn procedures en maatregelen geïmplementeerd om het installeren van software op operationele systemen op veilige wijze te beheren.

  • De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, zijn gesynchroniseerd met goedgekeurde tijdsbronnen.

  • Netwerken van de organisatie zijn gesegmenteerd in groepen van informatiediensten, gebruikers en informatiesystemen.

  • Informatieverwerkende faciliteiten zijn met voldoende redundantie geïmplementeerd om aan beschikbaarheidseisen te voldoen.

  • De toegang tot externe websites wordt beheerd om blootstelling aan kwaadaardige inhoud te beperken.

(blue star) Eigenaarschap

  • No labels

null

Dit is een document voor publiek gebruik.