Beleid voor de beveiliging van werkstations

LOGO Instelling

Beleid voor de beveiliging van werkstations (Information Security Policy) Versie 1.0

24/06/2009

ISMS (Information Security Management System)

Beleid voor werkstations

de

beveiliging

van

2009

Version control – please always check if you’re using the latest version Doc. Ref. : isms.039.workstation.nl Release

Status

Date

Written by (*)

Approved by

NL_1.0

Voorstel voor de instellingen van sociale zekerheid

24/06/2009

Johan Costrop

Werkgroep Informatieveiligheid (24/06/2009)

Opmerking: In dit document zijn de opmerkingen verwerkt van een werkgroep waaraan de volgende personen hebben deelgenomen: van de heren Bochart (KSZ), De Vuyst (KSZ), Petit (FBZ), Quewet (FOD Volksgezondheid), Symons (RVA), Vandergoten (RIZIV) en Vertongen (RSZ)

(*) Referentie: Dit document is gebaseerd op de workstation policy van Smals (auteur: Rolf Coucke)

Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document bezit. De inhoud van dit document mag vrij worden verspreid voor niet-commerciële doeleinden mits vermelding van de bron (Kruispuntbank van de Sociale Zekerheid, http://www.ksz.fgov.be). Eventuele verspreiding voor commerciële doeleinden dient het voorwerp uit te maken van de voorafgaande en schriftelijke toestemming vanwege de Kruispuntbank van de Sociale Zekerheid.

P1

LOGO Instelling

Beleid voor de beveiliging van werkstations (Information Security Policy) Versie 1.0

24/06/2009

Inhoudsopgave ISMS.................................................................................................................................................1 (INFORMATION SECURITY MANAGEMENT SYSTEM) ..................................................................1 1

INLEIDING.................................................................................................................................3

2

SCOPE ......................................................................................................................................3 2.1 2.2 2.3 2.4

3

DEFINITIE WERKSTATION ........................................................................................................3 DOELPUBLIEK .......................................................................................................................3 DOEL ...................................................................................................................................3 TOEPASSINGSGEBIED ............................................................................................................3

BEVEILIGING VAN WERKSTATIONS ......................................................................................4 3.1 ALGEMENE PRINCIPES ............................................................................................................4 3.2 HARDWARE GEORIËNTEERDE ASPECTEN ..................................................................................4 3.3 SOFTWARE GEORIËNTEERDE ASPECTEN...................................................................................5 3.3.1 Besturingssysteem .......................................................................................................5 3.3.2 SOFTWARE buiten het besturingssysteem...................................................................6 3.3.3 Patchingbeheer ............................................................................................................6 3.4 ORGANISATORISCHE RICHTLIJNEN ...........................................................................................7 3.5 PROCEDURES .......................................................................................................................7

P2

LOGO Instelling

1

Beleid voor de beveiliging van werkstations (Information Security Policy) Versie 1.0

24/06/2009

Inleiding

Werkstations zijn kwetsbare toestellen die toegang kunnen hebben tot het netwerk. Fouten die zich in de software op de werkstations bevinden kunnen bijvoorbeeld resulteren in mogelijkheden om aanvallers van op afstand toegang te verschaffen tot de systemen, om gegevens te kopiëren of om wachtwoorden te achterhalen. Het groot aantal werkstations impliceert dat het risico daarenboven ook recht evenredig groter wordt. Dit document kadert in de opbouw van het ISMS (Information Security Management System) van de sociale zekerheid. Het kan ingedeeld worden onder de controlemaatregelen “Operationeel Beheer”.

2

Scope

2.1

Definitie werkstation

De term werkstation omvat alle computersystemen (vb.desktop, laptop) inclusief de daarop aanwezige software waar de eindgebruikers rechtstreeks op werken in een netwerk of standalone. Wij beschouwen servers of specifieke consoles (veelal voor administratie) niet als werkstations.

2.2

Doelpubliek

Het doelpubliek van dit beleid is niet de eindgebruiker maar de bevoegde diensten voor het beheer van de werkstations bij de instelling.

2.3

Doel

Het doel van dit beleid is een richtlijn in te voeren voor het beveiligen van de werkstations door de bevoegde diensten en dit ten einde de informatie op de werkstations en de toegang van de werkstations tot de informatie op het netwerk te beveiligen, rekening houdend met de potentiële impact van een verlies aan confidentialiteit, integriteit en beschikbaarheid.

2.4

Toepassingsgebied

Het beleid is van toepassing op alle werkstations van de instelling die binnen of buiten het netwerk van de instelling gebruikt worden. Het beleid is niet van toepassing op werkstations van derden (bvb. 1 consultants) die niet aangesloten mogen worden op de netwerkinfrastructuur .

1

Indien hiervan in uitzonderlijke gevallen afgeweken moet worden, dient voorafgaandelijk het advies van de veiligheidsdienst ingewonnen te worden.

P3

LOGO Instelling

Beleid voor de beveiliging van werkstations (Information Security Policy) Versie 1.0

3

Beveiliging van werkstations

3.1

Algemene principes o

Verschillende veiligheidslagen op werkstationniveau (hardware, besturingssysteem, applicaties, …) moeten voorzien worden om te voorkomen dat de veiligheid in gedrang komt indien een laag gecompromitteerd wordt.

o

Er moet getracht worden het werkstationpark zo homogeen mogelijk te houden.

o

Een auditbeleid (logging) op alle werkstations wordt aanbevolen.

o

Alle werkstations moeten geïnventariseerd worden.

o

In functie van hun classificatie, moet de vertrouwelijkheid en de integriteit van de gegevens op laptops / draagbare media verzekerd worden2.

o

Bij de configuratie van de werkstations moet rekening gehouden worden met de veiligheidspolicies op het niveau van de eindgebruiker om de implementatie van deze policies op te leggen.

3.2

2

24/06/2009

Hardware georiënteerde aspecten o

Alle werkstations bevatten een BIOS-wachtwoord voor toegang tot de BIOS parameters, enkel gekend door de ICT-diensten. Dit BIOS-wachtwoord moet voldoende complex zijn en mag niet worden doorgegeven. Wij bevelen dus ook aan om hardware te kopen met een slot om te voorkomen dat deze beveiliging wordt omzeild.

o

Alle verschillende typeconfiguraties van werkstations moeten geïnventariseerd worden op basis van veiligheidsrisico’s (alle mogelijke input- en outputkanalen). Het aantal typeconfiguraties moet beperkt worden.

o

Per typeconfiguratie moeten de mogelijke veiligheidsrisico’s zo veel mogelijk beperkt worden op basis van de voorgaande inventaris. Onnodige input- en outputkanalen3 moeten beperkt worden en dit kan gebeuren op hard- en/of softwareniveau.

o

De gebruiker kan het werkstation enkel opstarten vanaf de interne systeem harde schijf.

o

Er moeten maatregelen genomen worden zodat enkel hardware aangereikt door de instelling aan werkstations kan gekoppeld worden.

o

Bij heringebruikname van een werkstation moeten de bedrijfsgegevens indien nodig gekopieerd worden om daarna het werkstation te herformatteren.

o

Bij het uitdienstnemen van een werkstation moeten de harde schijven met speciale tools volledig onleesbaar gemaakt worden.

o

Gebruik geen verouderde file allocation systemen.

Zie ook de overeenkomstige policies op het niveau van de eindgebruiker.

3

Voorbeelden input- en outputkanalen: USB, Firewire, Wifi, seriële en parallelle poorten, bluetooth, infrarood, floppy, cd-schrijver …

P4

LOGO Instelling

Beleid voor de beveiliging van werkstations (Information Security Policy) Versie 1.0

3.3

Software georiënteerde aspecten

3.3.1

Besturingssysteem A.

24/06/2009

Rechten / autorisaties

o

Het aantal gebruikers met speciale rechten4 zal tot een minimum beperkt worden. Het creëren van een administrator (local / domain) voor een bepaald functieprofiel zal geautoriseerd worden door de veiligheidsdienst. Accounts met speciale rechten mogen enkel gebruikt worden voor het uitvoeren van specifieke taken die speciale rechten vereisen. Dit wil dus zeggen dat de dagdagelijkse taken uitgevoerd worden met een account met beperkte rechten.

o

Beperk het aantal lokale accounts op een werkstation. voorgeïnstalleerde accounts.

o

Implementeer een wachtwoordbeleid om sterke wachtwoorden op te leggen, stel een minimum wachtwoordlengte in. Maak ook gebruik van een wachtwoordgeschiedenis en een account lockout threshold om de kans op een geslaagde “brute force attack” te voorkomen. Het specifieke wachtwoordbeleid zal bepaald worden in samenwerking met de informatieveiligheidsdienst.

o

Vermijd het hergebruik van wachtwoorden op verschillende accounts / platformen (vb. lokale administrator paswoord verschillend van domein paswoord, database paswoord, …).

o

Voorkom, behalve bij specifieke en beveiligde systemen zoals SSO, de automatische opslag van wachtwoorden voor netwerk- en, internetverbindingen, verbindingen naar toepassingen, ...

B.

Deactiveer dus ook de

Services

o

Deactiveer alle lokale sharing-functies5.

o

Verminder de risico’s door de uitschakeling van gekende risicovolle en/of ongebruikte processen / protocols / services.

o

Voorkom het gebruik van “Memory Dump Files” en zorg dat “Paging files” en “Temporary files” worden leeggemaakt tijdens het herstarten of afsluiten van het werkstation.

o

Deactiveer de universal plug & play mogelijkheden om het ongeautoriseerde gebruik van extra hardware te voorkomen.

o

Schakel alle communicatiekanalen6 uit die niet nodig zijn in het kader van geautoriseerde activiteiten.

o

Streef naar een methode om het gebruik van ongeautoriseerde toepassingen te voorkomen in combinatie met een software beperkingsbeleid.

4

elke gebruikersgroep die afwijkt van een standaard geconfigureerde gebruiker, zoals bvb.domain admin, local admin, superusers, … 5

“simple file sharing”, “shared folders” en “internet connection sharing”

6

(wireless network, firewire, bluetooth, infrared, serial, …)

P5

LOGO Instelling

Beleid voor de beveiliging van werkstations (Information Security Policy) Versie 1.0

C.

24/06/2009

Connecties

o

Verwijder ongebruikte / uit dienst genomen werkstations uit het domein.

o

De interne firewall moet geactiveerd worden. Deze firewall moet doorlopend geactualiseerd worden, en mag niet buiten werking gesteld worden door de eindgebruiker. Laat enkel poorten open die nodig zijn voor het uitvoeren van de professionele taken. Maak tevens een onderscheid tussen connecties nodig voor het interne netwerk en externe connecties. Afhankelijk van de noden moeten de mogelijkheden voorzien worden om verschillende profielen aan te maken (VPN op laptops, …)

3.3.2

SOFTWARE buiten het besturingssysteem A.

Browser

o

Configureer de internetsettings van de browser om installatie van malware via het internet te voorkomen (beperk active content, scripting, …).

o

Laat de browser controleren of elk digitaal certificaat nog geldig is.

o

Beperk het gebruik van cookies tot het hoogst noodzakelijke.

o

Maak gebruik van een windows popup blocker.

B.

Antimalware

o

Laat de antimalware software regelmatig een volledige systeemscan uitvoeren (alle bestanden, ook van de startup files, bios, boot records).

o

Maak gebruik van de real-time functies aanwezig in de antimalware programma’s.

o

De gebruiker mag zelf de antimalware software niet kunnen wijzigen.

o

De antimalware software moet regelmatig automatisch bijgewerkt worden.

C.

Andere Software

o

Maximale maatregelen moeten genomen worden om de integriteit van de software te verzekeren.

o

Indien systemen worden geïnstalleerd om de overname van op afstand van het werkstation mogelijk te maken, mag deze overname alleen kunnen gebeuren na goedkeuring van de eindgebruiker.

3.3.3

Patchingbeheer o

Veiligheidsupdates moeten eerst getest worden alvorens ze in productie uit te voeren.

o

Na de testfase moeten de patches automatisch uitgevoerd worden op elk werkstation dat connecteert op het domein.

o

Nieuwe werkstations mogen niet op het netwerk geïnstalleerd worden totdat deze systemen op een aanvaardbaar niveau i.v.m. patching gebracht zijn.

o

Voor de installatiefrequentie van de veiligheidsupdates moet een gezond evenwicht gevonden worden tussen de veiligheidsnoden en de operationele doelstellingen. Voor

P6

LOGO Instelling

Beleid voor de beveiliging van werkstations (Information Security Policy) Versie 1.0

24/06/2009

updates die door erkende instellingen7 als dringend worden aangegeven moeten onmiddellijk de gepaste maatregelen genomen worden. o

3.4

Een regelmatige communicatie tussen de dienst verantwoordelijk voor het patchingbeheer van de werkstations en de netwerkdienst moet georganiseerd worden. Het doel hiervan is om veiligheidsincidenten die door de netwerkdienst gedetecteerd worden te evalueren in het kader van het patchingbeheer en om indien nodig onmiddellijk maatregelen te treffen.

Organisatorische richtlijnen o

Een lijst van toegelaten software moet worden opgesteld en alleen software goedgekeurd door een daartoe aangeduide bevoegde dienst mag aan deze lijst toegevoegd worden.

o

Voor alle software die geïnstalleerd wordt door de bevoegde diensten (alleen zij zijn hiertoe bevoegd) moet nagegaan worden of de instelling in regel is met de licentieovereenkomsten die hierop betrekking hebben.

o

De installatie van niet geautoriseerde software op werkstations kan het voorwerp uitmaken van een gerichte audit.

o

Er moet een systeem ingevoerd worden zodat enkel toegelaten werkstations zich toegang kunnen verschaffen tot het domein (naast eventuele systemen die de toegang beletten op netwerkniveau).

o

Er wordt een systeem aanbevolen voor het centraal beheer van het werkstationpark.

3.5

Procedures Er dienen procedures opgesteld, geactualiseerd en nageleefd te worden:

7

o

om te verzekeren dat de in dit document vermelde richtlijnen gerespecteerd worden

o

voor het autoriseren van het gebruik van een software op een werkstation

o

voor de installatie van een software die door de instelling beschikbaar gesteld wordt

o

rond de configuratie en het onderhoud van werkstations met bijzondere aandacht voor veiligheidsinstellingen

o

voor het beheer van softwarepakketten op basis van het personeelsprofiel (bij indienstname / vertrek / functieverandering van een personeelslid)

o

voor het beheer van de evolutie van softwarepakketten (nieuwe versies, up-dates, patching,…).

Sans, Secunia,…

P7