Categorie A: Veilige configuratie van technische apparatuur
|
|
1. Het minimaliseren en afschermen van de functionaliteit van technische systemen
conform erkende practices en richtlijnen.
|
a. Functies en software applicaties die niet
noodzakelijk zijn voor de correcte werking van een systeem of netwerkelement worden
verwijderd of gedeactiveerd.
b. Het gebruik van netwerkpoorten, -protocollen en -diensten is slechts toegestaan
als daaraan een gevalideerde bedrijfstoepassing ten grondslag ligt.
c. Besturingssystemen, software omgevingen en
netwerkapparaten worden, voor zover beschikbaar, geconfigureerd conform CIS benchmarks.
|
2. Het verifiëren en uitrollen van kritieke security patches voor software die wordt
toegepast in de technische infrastructuur.
|
a. Door leveranciers ter beschikking gestelde kritieke security patches worden structureel
op instanties van de betreffende software uitgerold.
b. Een kritieke security patch wordt slechts dan geïnstalleerd als de integriteit
en de bron waarvan deze afkomstig is met succes zijn geverifieerd.
c. Bij het verifiëren en uitrollen van kritieke security patches wordt een zo kort
mogelijke doorlooptijd gerealiseerd.
d. Indien de in onderdeel c bedoelde doorlooptijd niet haalbaar is, worden tijdelijk
compenserende mitigaties getroffen om de risico’s zoveel mogelijk te beperken.
|
3. Het actief en geautomatiseerd beschermen van beheerwerkstations die voor beheerdoeleinden
worden ingezet tegen malware.
|
a. Op beheerwerkstations zijn mechanismen actief die kwaadaardige malware geautomatiseerd
detecteren en deactiveren.
b. De onder a bedoelde mechanismen worden geautomatiseerd actueel gehouden.
|
4. Het door middel van een gestructureerd proces reguleren en tot een minimum beperken
van toegang voor beheerdoeleinden van apparatuur en software van de netwerkaanbieder.
|
a. Voor toegang om beheerwerkzaamheden te verrichten wordt uitsluitend gebruik gemaakt
van persoonsgebonden accounts die specifiek voor dat doel zijn uitgegeven.
b. Toegangsrechten van beheerpersoneel worden beperkt tot functies en gegevens die
de desbetreffende medewerker aantoonbaar nodig heeft ter vervulling van de rol of
taak.
c. Alle accounts en toegangsrechten die voor beheerdoeleinden zijn uitgegeven, worden
periodiek op juistheid en noodzaak geëvalueerd en geactualiseerd.
d. Alle beheertoegang vereist Multi Factor Authenticatie. De beheertoegang is herleidbaar
naar individuele medewerkers.
|
5. Het onderhouden van een actuele inventaris van technische assets en het actief
toezien op het voorkomen van toelating van ongeautoriseerde hardware en software in
de technische infrastructuur.
|
a. Er is een actuele inventaris van hardware en software assets die geautoriseerd
in bedrijf zijn in de technische infrastructuur van de netwerkaanbieder.
b. In de inventaris van hardware en software assets zijn zowel de functionele beschrijvingen
als de eigenaren van alle technische assets geregistreerd.
c. De netwerkaanbieder ziet er actief op toe dat zich in de technische infrastructuur
geen ongeautoriseerde apparatuur bevindt.
d. De netwerkaanbieder ziet er actief op toe dat in de technische infrastructuur geen
ongeautoriseerde software applicaties actief zijn.
|
Categorie B: Veilige configuratie van netwerken
|
|
1. Het structureel opdelen van de technische netwerkinfrastructuur in fysiek of logisch
afgescheiden zones waarvan de buitengrenzen actief worden beschermd.
|
a. De technische infrastructuur is aan de hand van door de netwerkaanbieder vastgestelde
criteria, classificaties of vertrouwensniveaus in fysiek of logisch afgescheiden segmenten
opgedeeld.
b. De netwerkaanbieder onderhoudt een actueel overzicht van alle technische koppelingen
met betrekking tot netwerksegmenten onderling en met betrekking tot externe technische
netwerken.
c. De netwerkaanbieder hanteert een eenduidig beleid ten aanzien van verkeersstromen
die op de grens met externe technische infrastructuren zijn toegestaan.
d. Het onder c bedoelde beleid en de uitvoering ervan worden periodiek op juistheid
en volledigheid geëvalueerd en geactualiseerd.
|
2. Het uitsluitend verlenen van toegang tot apparatuur en software van de netwerkaanbieder
aan derde partijen die uitbestede beheertaken verrichten via een afgeschermde virtual
desktop omgeving.
|
a. Alle beheertoegang door personeel van derde partijen verloopt via een specifiek
voor dat doel ingerichte virtual desktop omgeving.
b. Toegang tot de virtual desktop omgeving wordt uitsluitend verleend vanaf werkstations
die conform security richtlijnen van de netwerkaanbieder zijn geconfigureerd en die
configuratie voorafgaand technisch is geverifieerd.
c. Toegang tot de virtual desktop omgeving vereist Multi Factor Authenticatie (MFA),
niet zijnde het gebruik van SMS, waarbij de authenticatiemiddelen aan individuele
medewerkers van de derde partij worden uitgereikt.
d. De virtual desktop omgeving beperkt de toegang tot systemen en netwerkelementen
waarop de derde partij beheerwerkzaamheden moet verrichten.
|
3. Het gericht beschermen met cryptografische technieken van netwerkverbindingen die
voor beheerdoeleinden worden ingezet.
|
a. Op netwerkverbindingen waarover beheertaken worden verricht, wordt zowel de vertrouwelijkheid
als de integriteit van de gegevensuitwisseling cryptografisch beschermd met een beveiligingssterkte
van minimaal 112 bits.
b. De cryptografische sleutels die voor de versleuteling worden ingezet, worden per
sessie, per vastgestelde tijdeenheid of per vastgesteld aantal datablokken vernieuwd.
c. Bij gebruik van (3)TDES worden maximaal 2^20 datablokken met dezelfde cryptografische
sleutels vercijferd.
d. Gebruik van (3)TDES wordt uiterlijk 31 december 2023 uitgefaseerd.
|
4. Het uitsluitend verrichten van bedrijfsinterne beheertaken vanaf afgescheiden beheerwerkstations
met geminimaliseerde communicatievoorzieningen.
|
a. Bedrijfsinterne beheerwerkstations van waaraf beheerwerkzaamheden worden verricht,
worden gescheiden van reguliere werkplekken.
b. De netwerkaanbieder ziet er op toe dat bedrijfsinterne beheerwerkstations geen
toegang hebben tot openbare communicatienetwerken en – diensten.
|
5. Het cryptografisch beschermen van te beschermen kritieke gegevens bij transport
door technische infrastructuren.
|
a. Te beschermen kritieke gegevens worden bij transport met minimaal 112 bits sterkte
versleuteld.
b. De cryptografische sleutels die voor de versleuteling, bedoeld in onderdeel a,
worden ingezet, worden
per sessie, per vastgestelde tijdeenheid of per
vastgesteld aantal datablokken vernieuwd.
c. Gebruik van (3) TDES wordt uiterlijk 31 december 2023 uitgefaseerd en tot die tijd
wordt bij dit gebruik verzekerd dat maximaal 2^20 datablokken met dezelfde sleutel
worden vercijferd.
d. Met uitzondering van signaleringsverkeer ziet de netwerkaanbieder erop toe dat
de versleuteling, bedoeld in onderdeel a, in alle gevallen end-to-end is.
|
Categorie C: Bewaking van technische infrastructuur
|
|
1. Het onderhouden van voorzieningen voor near real-time detectie van mogelijke beveiligingsincidenten
die een passende risico-gedreven doorsnede van de technische infrastructuur bestrijken
en de netwerkaanbieder aantoonbaar in staat stellen om de aanwezigheid van geavanceerde
dreigingsactoren waar te nemen.
|
a. De technische infrastructuur van de netwerkaanbieder wordt actief bewaakt met security
monitoring oplossingen die geautomatiseerd en in real-time melding maken van mogelijke
security incidenten.
b. Alarmen en waarnemingen afkomstig uit de security monitoring, bedoeld in onderdeel
a, worden tijdig en vervolgens structureel geanalyseerd en opgevolgd.
c. Security monitoring oplossingen zijn aantoonbaar geconfigureerd om bijvoorbeeld
lateral movement technieken, data exfiltratie en misbruik van accounts met hoge toegangsrechten
te detecteren.
d. Configuraties van security monitoring oplossingen worden structureel getoetst op
het vermogen om geavanceerde dreigingsactoren waar te nemen.
|
2. Het onderhouden van voorzieningen om historische manifestaties van geavanceerde
dreigingen en aanvalsvectoren in de technische infrastructuur op te sporen.
|
a. De netwerkaanbieder onderhoudt een structurele historie van systeem- en netwerkdata
met een retentietijd van minimaal drie maanden.
b. De data, bedoeld in onderdeel a, omvatten in elk geval een selectie van logbestanden
van systemen en netwerkelementen, DNS en netflow-gegevens en packet captures van netwerkverkeer
die de netwerkaanbieder met risicoafwegingen kan onderbouwen.
c. De netwerkaanbieder beschikt over analytische oplossingen waarmee de data, bedoeld
in onderdeel a, met gebruik van dreigingsindicatoren kunnen worden doorzocht.
|
3. Het actief toetsen van de technische infrastructuur op mogelijke kwetsbaarheden
en het structureel opvolgen van bevindingen die daaruit voortvloeien.
|
a. De netwerkaanbieder verzamelt structureel rapportages over kwetsbaarheden in de
hardware en software die in de technische infrastructuur worden ingezet.
b. De netwerkaanbieder past een combinatie van geautomatiseerde vulnerability scans,
penetratietesten en red team oefeningen toe om kwetsbaarheden in de technische infrastructuur
op te sporen.
c. De netwerkaanbieder hanteert een structurele en geformaliseerde proces om kwetsbaarheden
die door middel van de activiteiten, bedoeld in onderdeel b, aan het licht zijn gekomen
te analyseren, prioriteren en indien noodzakelijk deze op te lossen.
|
Categorie D: Security assurance op software en beheerdiensten
|
|
1. Het opleggen van vergelijkbare beveiligingsverplichtingen aan beheerdienstverleners
die uitbestede beheertaken verrichten in de technische infrastructuur en in de fysieke
werkomgeving van de netwerkaanbieder.
|
a. De netwerkaanbieder komt contractueel met de beheerdienstverlener overeen dat in
de technische en fysieke werkomgeving die voor dienstverlening aan de netwerkaanbieder
worden ingezet beveiligingsmaatregelen worden getroffen die overeenkomen met de op
dat moment geldende beveiligingsmaatregelen van de netwerkaanbieder.
b. De netwerkaanbieder komt contractueel met de beheerdienstverleners overeen dat
kwetsbaarheden en vermoedens van beveiligingsincidenten in de werkomgeving, bedoeld
in onderdeel a, terstond worden gemeld aan het beveiligingsaanspreekpunt van de netwerkaanbieder.
c. Voor zover uitbestede beheertaken geheel of gedeeltelijk buiten Nederland worden
verricht, brengt de netwerkaanbieder structureel in kaart in hoeverre de door de overheid
vastgestelde en richting netwerkaanbieder gecommuniceerde juridische of politieke
context van het land waar vandaan de beheertaken worden verricht tot specifieke beveiligingsrisico’s
kan leiden en treft vervolgens passende maatregelen om deze te beheersen.
|
2. Het opleggen van de contractuele verplichting aan toeleveranciers dat bij de ontwikkeling
en levering van software oplossingen gangbare beveiligingspractices worden toegepast.
|
De netwerkaanbieder komt contractueel met de softwareleveranciers overeen dat:
a. een Secure Software Development Life-Cycle (SSDLC) wordt toegepast die aantoonbaar
conformeert aan een erkende standaard of richtlijn;
b. software, inclusief generieke componenten, op het moment van ingebruikname volledig
is gepatcht, voldoet aan door de netwerkaanbieder vastgestelde hardening vereisten
en is opgewaardeerd naar versies waar nog actief support op wordt verleend;
c. terstond melding wordt gemaakt van kwetsbaarheden in de geleverde software en dat
wordt voorzien, conform vastgestelde oplostijden en al naar gelang de ernst van de
kwetsbaarheid, in updates of patches om die kwetsbaarheden te verhelpen.
|
3. Het uitsluitend in productie nemen van software die met succes een onafhankelijke
beveiligingsevaluatie of penetratietest heeft ondergaan.
|
a. Op softwareproducten wordt voorafgaand aan uitrol een passende technische beveiligingsevaluatie
of penetratietest verricht, door de netwerkaanbieder of door een onafhankelijke derde
partij.
b. De netwerkaanbieder legt de verplichting op aan de softwareleveranciers dat wordt
aangetoond dat productiesoftware die in de infrastructuur van de netwerkaanbieder
wordt uitgerold overeenkomstig is aan de geëvalueerde software, bedoeld in onderdeel
a.
c. De netwerkaanbieder stuurt actief op opvolging van bevindingen uit de beveiligingsevaluatie,
bedoeld in onderdeel a, en neemt het software product in gebruik op voorwaarde dat
eventuele bevindingen, die naar hun aard dusdanig ernstig en/of urgent zijn, dienen
te worden opgelost.
|
4. Het structureel beoordelen van beheerdienstverleners en softwareleveranciers op
naleving van contractuele beveiligingsafspraken.
|
a. De netwerkaanbieder toetst structureel en met passende instrumenten de naleving
van contractuele beveiligingsafspraken.
b. Indien er tekortkomingen worden geconstateerd, komt de netwerkaanbieder met de
desbetreffende beheerdienstverlener of softwareleverancier een verbeterplan met tijdlijnen
overeen.
|
Categorie E: Human resource security
|
|
1. Het gericht uitvoeren van een programma om het beveiligingsbewustzijn van bedrijfsintern
beheerpersoneel te verhogen.
|
a. De netwerkaanbieder voert voor beheerpersoneel een gericht bewustzijnsprogramma
uit met betrekking tot spear-phishing.
b. De netwerkaanbieder verricht periodiek onaangekondigde spear-phishing campagnes
om te toetsen of het personeel die campagnes herkent en conform interne beleidsregels
reageert.
|
2. Het structureel screenen van personeel van derde partijen die uitbestede beheertaken
verrichten alvorens hen toegang wordt verleend tot apparatuur en software van de netwerkaanbieder.
|
Personeel van een derde partij dat uitbestede beheertaken verricht:
a. is op persoonsgegevensniveau bij de netwerkaanbieder bekend en geadministreerd;
b. heeft voorafgaand aan het verkrijgen van toegang aantoonbaar een passend en schriftelijk
bekrachtigde achtergrondonderzoek ondergaan.
|