Set van minimale IB maatregelen van AVANS Hogeschool. 1 Inleiding Doel Voor wie? Risico en maatregelen

Set van minimale IB maatregelen van AVANS Hogeschool

Inhoudsopgave 1

Inleiding ............................................................................................................................................. 1 1.1

Doel .......................................................................................................................................... 1

1.2 2

Voor wie? ................................................................................................................................... 2 Risico en maatregelen .......................................................................................................................... 2

2.1

Risicoanalyse .............................................................................................................................. 2

2.2 3

Aanvullende maatregelen ............................................................................................................. 2 De set van minimale maatregelen .......................................................................................................... 3

3.1

Risicobeoordeling en –behandeling ................................................................................................ 3

3.2

Beveiligingsbeleid........................................................................................................................ 3

3.3

Organisatie van informatiebeveiliging ............................................................................................ 3

3.4

(classificatie en) beheer van bedrijfsmiddelen ................................................................................. 4

3.5

Beveiliging van personeel ............................................................................................................. 4

3.6

Fysieke beveiliging en beveiliging van de omgeving ......................................................................... 4

3.7

Beheer van communicatie- en bedieningsprocessen ........................................................................ 4

3.8

Toegangsbeveiliging .................................................................................................................... 5

3.9

Verwerving, ontwikkeling en onderhoud van informatiesystemen ...................................................... 7

3.10

Beheer van informatiebeveiligingsincidenten................................................................................... 7

3.11

Bedrijfscontinuïteitsbeheer ........................................................................................................... 7

3.12

Controle/ naleving ....................................................................................................................... 7

1 1.1

Inleiding Doel

De set minimale maatregelen vormt een uitwerking van het informatiebeveiligingsbeleid van AVANS Hogeschool en omvat een set van beveiligingsmaatregelen die wanneer geïmplementeerd voorzien in een basisniveau aan beveiliging voor de hogeschool informatiesystemen. Met de vaststelling en invoering van deze set maatregelen wordt uitvoering gegeven aan de strategische beleidsuitgangspunten die zijn vastgelegd in het Informatiebeveiligingsbeleid van AVANS * Deze set is samengesteld om tot een vastgesteld toetsbaar basisbeveiligingsniveau te kunnen komen en het biedt een kader aan diegenen die vanuit hun functie of rol belast zijn met informatiebeveiliging. De set is samengesteld o.b.v. een pragmatische selectie uit de ISO/NEN 27002 maatregelenset en kruisbestuiving met maatregelensets van andere onderwijsinstellingen. Resulterend in een set maatregelen passend bij het risicoprofiel van AVANS. De gekozen set dient de juiste balans te bieden tussen enerzijds gebruiksgemak en anderzijds beveiliging. * Bron Informatiebeveiligingsbeleid AVANS Hogeschool “Deze baseline beschrijft de maatregelen die minimaal nodig zijn om instellingsbreed een minimaal niveau van informatiebeveiliging te kunnen waarborgen. Dit vloeit voort uit het beleid of uit besluiten die door het tactisch overleg genomen zijn. Deze basis maatregelen dienen dus overal in de instelling genomen te worden. De baseline wordt gemaakt door de Information Security Manager, vastgesteld door de Information Security Officer en (zonodig) goedgekeurd door de Raad van Bestuur. Wanneer er systemen zijn die na een risicoanalyse hogere beveiligingseisen nodig hebben, dan worden deze bovenop de minimale maatregelen genomen.”

Pagina 1 van 9

Set van minimale IB maatregelen van AVANS Hogeschool

1.2

Voor wie?

In de eerste plaats is dit document is bedoeld voor het degenen die in het AVANS informatiebeveiligingsbeleid verantwoordelijk worden gesteld voor de uitvoering van, de controle op en het uitdragen van het Informatiebeveiligingsbeleid. In de praktijk zijn dat de directeuren van diensten en academies én in het bijzonder de systeemeigenaren van de concerninformatiesystemen, de directeur DIF en de adjunctdirecteur DIF-ICT. De minimale maatregelen, inclusief eventuele tussentijdse wijzigingen, worden vastgesteld door de directie DIF i.o. met de portefeuillehouder informatiebeveiliging van het CvB.

2

Risico en maatregelen

2.1

Risicoanalyse

Om tot de juiste maatregelenset voor een systeem te komen is het nodig om het bewuste systeem te classificeren. Op basis van de aangebrachte classificering kunnen de juiste maatregelen worden getroffen. De te nemen maatregelen worden bepaald aan de hand van de mogelijke risico’s die het systeem loopt en deze worden bepaald in een risicoanalyse. De risicoanalyses op systemen worden door de Security Manager in samenwerking met de systeemeigenaar of een gemandateerde. In een risicoanalyse wordt gekeken naar de aspecten: beschikbaarheid, de exclusiviteit en de integriteit van een systeem*. Met behulp van een vragenlijst wordt een rating aan deze onderwerpen gegeven en wordt bepaald of een systeem een normaal, verhoogd of hoog risico loopt. Aan de hand van de classificatie wordt een advies aan de systeemeigenaar verstrekt hoe de beveiliging van het systeem ervoor staat en welke maatregelen nog zouden moeten worden genomen. Als uit de risicoanalyse wordt geconcludeerd dat het systeem een normaal risicoprofiel heeft dan is het voldoen aan de minimale maatregelen voldoende. Wanneer uit de classificatie blijkt dat een informatiesysteem een hoger beveiligingniveau nodig heeft dan zijn er mogelijk aanvullende maatregelen nodig. Systeemeigenaren zijn verantwoordelijk voor het inventariseren van de risico’s die verbonden zijn aan het verlenen van toegang tot hun voorziening aan derden; zij zijn ook verantwoordelijk voor het treffen van specifieke maatregelen hiervoor. Het uitvoeren van de risicoanalyse dient minimaal 2 jaarlijks te worden uitgevoerd. * 

Beschikbaarheid: de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar zijn voor gebruikers;



Integriteit: de mate waarin gegevens of functionaliteit juist ingevuld zijn;



Vertrouwelijkheid: de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. 1

2.2

Aanvullende maatregelen

Wanneer is een hoger beveiligingsniveau noodzakelijk? Een hoger niveau is nodig in situaties waarin bijvoorbeeld met zeer vertrouwelijke gegevens wordt gewerkt of een hoge beschikbaarheid van het systeem of (hoge) integriteit van informatie vereist is. Aanvullende maatregelen kunnen ook betrekking hebben op privacybescherming. Dit is onder andere het geval indien bij verlies of onrechtmatig / onzorgvuldig gebruik van persoonsgegevens er extra negatieve gevolgen ontstaan voor de betrokken persoon. De volgende maatregelen kunnen worden genomen als uit de risicoanalyse blijkt dat het systeem een verhoogd of hoog risico heeft:

1

Overbeek, Roos Lindgreen, Spruit: Informatiebeveiliging onder controle, ISBN 90-430-0289-5

Pagina 2 van 9

Set van minimale IB maatregelen van AVANS Hogeschool

Voorbeelden van mogelijke aanvullende maatregelen zijn Maatregelen beschikbaarheid: • Redundantie van systemen • Virtualisatie van systemen • Noodstroomvoorziening • Fail-over voorziening • Monitoring • Veilige opslag van bronprogrammatuur Maatregelen integriteit: • Invoercontrole • Autorisatie naar rol • Training (kern)gebruikers • Tegengaan schaduwbestanden Maatregelen vertrouwelijkheid: • Encryptie tijdens datatransport en opslag • Sterke authenticatie • Autorisatie naar rol • Clear desk • Gecontroleerde afvoer

3

De set van minimale maatregelen

3.1  



3.2   

3.3   

Risicobeoordeling en –behandeling Voor de meest kritische bedrijfssystemen en/of applicaties is een risicoanalyse uitgevoerd; Voor geïdentificeerde risico’s bepaalt de organisatie (dit is de verantwoordelijkheid van de systeemeigenaar) of er aanvullende beveiligingsmaatregelen op de minimale set moeten worden getroffen of dat het risico wordt aanvaard. De systeemeigenaars zijn verantwoordelijk voor het inventariseren van de risico’s die verbonden zijn aan het verlenen van toegang tot hun voorziening aan derden; zij zijn ook verantwoordelijk voor het treffen van specifieke maatregelen in deze

Beveiligingsbeleid Het Informatiebeveiligingsbeleid is door het College van Bestuur goedgekeurd en gepubliceerd. Het IB beleidsdocument wordt 2 jaarlijks geëvalueerd en indien nodig aangepast. De gebruiksbeleidsregels (Protocol Voorzieningen en huisregels Avans Hogeschool 2011-2012) zijn opgesteld en kenbaar gemaakt

Organisatie van informatiebeveiliging Er is een formeel goedkeuringsproces voor nieuwe IT-voorzieningen; Wijzigingen aan IT-systemen worden conform ITIL gepland en goedgekeurd middels een change-procedure Er worden 2 jaarlijks onafhankelijke beoordelingen van IB uitgevoerd.

Pagina 3 van 9

Set van minimale IB maatregelen van AVANS Hogeschool

3.4 

 

3.5 





3.6  

   

3.7    



(classificatie en) beheer van bedrijfsmiddelen Er is een administratie waarin wordt bijgehouden welke informatiesystemen aanwezig zijn, voor welk doel en wie de eigenaar is. Tevens bevat deze administratie referenties naar de CMDB en de risicoaanduiding van de verwerkte informatie. Alle belangrijke bedrijfsmiddelen hebben een ‘eigenaar’; Er zijn regels voor aanvaardbaar gebruik van de bedrijfsmiddelen vastgelegd.

Beveiliging van personeel Vooraf o Van iedereen die bij de instelling komt werken, wordt instemming met de geldende baseline gedragscodes gevraagd en bekendheid met de huisregels verondersteld o Voor werknemers die binnen de instelling een vertrouwensfunctie gaan vervullen, kan een antecedentenonderzoek of integriteitonderzoek onderdeel uitmaken van de selectieprocedure Tijdens o Er worden Informatie beveiliging gerelateerde opleidingen gefaciliteerd o Awareness wordt gestimuleerd Beëindiging of wijziging o De systeemeigenaar is verantwoordelijk voor het ‘exit’ beleid (formuleren/opstellen).

Fysieke beveiliging en beveiliging van de omgeving Op elke locatie is tenminste één beveiligde ruimte beschikbaar voor opslag of installatie van gevoelige of kritische componenten. De toegang tot beveiligde ruimten is voorbehouden aan daartoe gemachtigden; in geval van calamiteiten heeft ook de bewakingsdienst en de technische dienst toegang. Er dient fysieke bescherming te zijn tegen bedreigingen van buitenaf (brand, explosies etc.). Er dienen richtlijnen te zijn voor werken in beveiligde ruimten . Kabels dienen beveiligd te zijn tegen interceptie of beschadiging. Gevoelige gegevens moeten afdoende worden gewist/ overschreven bij verwijdering of hergebruik van apparatuur.

Beheer van communicatie- en bedieningsprocessen Er zijn gedocumenteerde bedieningsprocedures. Wijzigingsbeheer is ingericht om gecontroleerde en beheerste aanpassingen uit te voeren. Het lokale netwerk wordt waar noodzakelijk onderverdeeld in aparte en gescheiden segmenten. Verkeer tussen de verschillende segmenten wordt per default geblokkeerd. In overeenstemming met de relevante systeemeigenaar wordt bepaald welke verbindingen moeten worden opengezet. Ten behoeve van gevoelige communicatie (gegevens) is voorzien in een versleutelde e-mail voorziening.

Pagina 4 van 9

Set van minimale IB maatregelen van AVANS Hogeschool











 





 



 

3.8   





Default of standaard wachtwoorden moeten op alle systemen worden vervangen door niet-standaard wachtwoorden. Wachtwoorden worden niet in leesbare tekst opgeslagen in een systeem. Voor beheertoepassingen en bij inloggen dient gebruik gemaakt te worden van veilige netwerkprotocollen zoals ssh, https, imaps, pop3s etc. ter vervanging van hun niet-versleutelde tegenhangers. Indien dit niet mogelijk is dient gebruik gemaakt te worden van een beveiligde verbinding (VPN). Op computers met speciale rechten/toegang (bijv beheer pc’s) dient de toegang tot de werkplek (automatisch) te worden geblokkeerd indien de betreffende gebruiker deze plek (tijdelijk) verlaat. Servers en werkstations zijn voorzien van een actuele, malware scanner welke geautomatiseerd, centraal up to date wordt gehouden. Op servers en werkplekken zijn verschillende actief. Voor werkplekken is real-time scanning vereist. De malware scanner op servers is afwijkend van de malware scanner op werkplekken of binnen het koppelvlak (twee lagenstructuur): een andere engine en andere definities. Dit om te voorkomen dat er een afhankelijkheid is van 1 malware scanner- leverancier voor actuele virusdefinities. Er is een databack-up policy overeengekomen met de gebruikersgroepen, die gebaseerd is op wensen en behoeften van de gebruikersgroepen. Back-upmedia met een bewaartermijn langer dan 1 jaar worden tenminste éénmaal per jaar gecontroleerd op leesbaarheid. Bij twijfel over de kwaliteit van de media wordt deze gedupliceerd teneinde een kopie van goede kwaliteit te verkrijgen. Tenminste de maandback-ups worden off-site opgeslagen. Overige back-ups worden bewaard in een ruimte die zich niet in de nabijheid van de computerruimte(n) bevindt. De logfiles (zie voor verdere uitwerking bijlage 1) van servers e.d. worden centraal opgeslagen en worden regelmatig gecheckt op onregelmatigheden zoals bijvoorbeeld pogingen tot het verkrijgen van onbevoegde toegang of root/admin toegang. Logging gegevens moeten alleen toegankelijk zijn voor geautoriseerde personen Op gezette tijden worden de integriteit van alle server en netwerksystemen geverifieerd m.b.v. vulnerability scans. De resultaten (categorie: high en critical) hiervan worden doorgezet naar de betreffende beheerders(groep). T.a.v. systemen geldt dat kritische patches binnen tenminste 2 weken dienen te worden geïnstalleerd. Als high gekwalificeerde patches dienen tenminste maandelijks te worden geïnstalleerd. Bovenstaande regels gelden voor zowel servers als werkplekken. Alle netwerkcomponenten moeten zijn gehard, d.w.z. dat er geen overbodige diensten op draaien en dat alle software up-to-date is. Bij uitwisseling van (privacy/AVANS) gegevens\informatie met derden worden gebruiksvoorwaarden kenbaar gemaakt en deze worden periodiek gecontroleerd.

Toegangsbeveiliging De systeemeigenaar is verantwoordelijk voor het opstellen van het toegangsbeleid en –rechten voor het betreffende systeem en de controle daarop. Anoniem computergebruik is niet toegestaan. Gebruikersidentificatie is te allen tijde verplicht indien een gebruiker toegang zoekt tot de AVANS ICT infrastructuur. Elke AVANS gebruiker heeft de beschikking over een persoonlijk account en bij een toegangspoging is minimaal een account/ wachtwoord combinatie verplicht. Bij toegang tot kritische systemen van buitenaf is sterke authenticatie verplicht. Er worden sterke wachtwoorden toegepast en deze dienen te bestaan uit minimaal 8 karakters waarvan minimaal 1 kleine letter en 1 hoofdletter en 1 cijfer en 1 leesteken en dient geen woord (als basis) te bevatten. Het wachtwoord is maximaal een half jaar geldig. Voor het activeren van een account mag een 'one time key' als wachtwoord worden verstrekt die door de gebruiker in de eerste sessie dient te worden Pagina 5 van 9

Set van minimale IB maatregelen van AVANS Hogeschool

        

gewijzigd. Wachtwoorden worden slechts versleuteld opgeslagen en getransporteerd en hebben een beperkte geldigheidstermijn. Ten aanzien van systemen en gebruikers wordt er netwerksegmentatie toegepast op need to know/ have basis. Voor connecties met voorzieningen en services gelden sessietijd restricties. Er moet een screensaver (activatie tijd 3 minuten) actief zijn welke wachtwoord beveiligd is. Op computers zijn up-to-date virusscanners actief en het besturingssysteem wordt (automatisch) up to date gehouden v.w.b. security patches. Wachtwoorden van admin accounts worden centraal beheerd en dienen halfjaarlijks te worden gewijzigd. Remote (externe) beheertoegang tot servers vereist 2-factor authenticatie. Remote (interne) beheertoegang tot werkplekken vereist expliciete toestemming van de gebruiker van de werkplek. De expiratie datum van een gebruikersaccount is gebonden aan het einde van de relatie van de instelling met de persoon. Na expiratie moet een account automatisch worden geblokkeerd, waarbij via de procedures het account eventueel weer ontsloten kan worden.



Voor mobile devices geldt verder ook dat: o gebruikers van mobiele apparatuur zelf verantwoordelijk zijn voor een veilig gebruik en het voorkomen van diefstal van deze middelen. o gebruikers de aanwezige toegangs- en/of opslagbeveiliging dienen te gebruiken (wachtwoord, pin, swipe e.d.) iig wanneer er AVANS gegevens op het device worden verwerkt en/of opgeslagen, moet deze voorzien moet zijn van een betrouwbaar toegangscontrole mechanisme. Indien mogelijk dient dit wachtwoord te voldoen aan de eerder genoemde criteria qua lengte en opbouw. o Indien mogelijk wordt een device toegerust met “remote wipe” functionaliteit. Dit dient wel bekend te zijn bij de gebruiker en de gebruiker moet verlies/diefstal zo spoedig mogelijk melden. o gebruikers* toestemming dienen te hebben van de (systeem)eigenaar wanneer zij AVANS gegevens wensen te transporteren naar\ opslaan op hun mobiele device. o gebruikers AVANS data, die vertrouwelijke informatie bevat, en is opgeslagen op een mobiel apparaat, dienen te versleutelen. o gebruikers* worden geacht een back-up van de gegevens te (laten) maken. o gebruikers* dienen toestemming te hebben van de (systeem)eigenaar wanneer zij AVANS gegevens wensen te transporteren naar\ opslaan op hun mobiele device. o gebruikers** verantwoordelijk zijn voor de aanwezigheid van en het up to date houden van antivirus software op het device en dat hun device moet zijn voorzien van de meest recente (security) patches. o verlies of diefstal van mobiele apparatuur met AVANS data moet worden gemeld aan de leidinggevende. o gebruikers van dergelijke systemen (Smartphone/Tablet/Laptop/PC gebruikers) bewust moeten worden gemaakt van de risico’s van het gebruik van Wireless, USB-disk/sticks e.d. gebruik en krijgen richtlijnen voor het gebruik hiervan)



Bij externe toegang (geldt ook bij draadloze toegang) naar gevoelige gegevens/ systemen: autorisatie o.b.v. 2-factor authenticatie indien mutatie rechten, bij kritische geldt 2-factor voor elk soort toegang. * Dit betreft AVANS medewerkers **Dit betreft AVANS medewerkers of gebruikers, de laatst genoemden indien zij gebruik maken van de AVANS infrastructuur

Pagina 6 van 9

Set van minimale IB maatregelen van AVANS Hogeschool

3.9

 





 

 

Verwerving, ontwikkeling en onderhoud van informatiesystemen Alle informatiesystemen hebben een eigenaar, functioneel beheerder en een technisch beheerder. Vóór invoering van een nieuw informatiesysteem wordt, middels een risicoanalyse, bepaald in welke risicocategorie de informatie die dit systeem verwerkt valt en wat de invloed van dit nieuwe systeem is op de bestaande omgeving. Hiervoor geldt de methodiek en de drie categorieën ‘basis risico’, ‘verhoogd risico’ en ‘hoog risico’. Voor systemen die in de categorie ‘basis risico’ vallen volstaan de minimale maatregelen. Voor systemen die in de categorie ‘verhoogd risico’ en “hoog risico” vallen wordt een aanvullende risicoanalyse uitgevoerd die kan resulteren in aanvullende maatregelen. Informatie uit de categorie ‘verhoogd risico’ of ‘hoog risico’ mag niet gebruikt worden voor testdoeleinden. Tenzij er aanvullende maatregelen zijn overeengekomen die door de eigenaar van de informatie zijn goedgekeurd. Een informatiesysteem wordt pas onderdeel van de operationele IT omgeving na een formele goedkeuring en acceptatie van de systeemeigenaar en DIF. Besturingssystemen zijn gehardened, d.w.z. dat er geen overbodige diensten draaien en geen overbodige applicaties geïnstalleerd zijn, rechten van gebruikersaccounts zijn geminimaliseerd, alle software is up-to-date. Werkplek apparatuur start alleen op van geautoriseerde media en is alleen bruikbaar na identificatie en authenticatie door geautoriseerde gebruiker Indien van toepassing dienen instellingen overgenomen te worden uit standaarden zoals NIST, zolang deze niet in tegenspraak zijn met normen/richtlijnen uit deze baseline.



3.10   

3.11  

3.12 

Beheer van informatiebeveiligingsincidenten De afhandeling (incl. de registratie) van security incidenten geschiedt door het AVANS-Csirt team o.l.v. de security manager. Rapportage door security manager van incidenten vindt minimaal een keer per jaar plaats naar de directie DIF. Er zijn procedures m.b.t. het verzamelen van bewijsmateriaal

Bedrijfscontinuïteitsbeheer Wijzigingen worden via een formele procedure ter goedkeuring aangeboden en doorgevoerd. Er dient een minimale beschikbaarheid te zijn vwb de ICT infrastructuur (obv een risico analyse) die gerelaseerd dient te worden dmv een mix van de volgende maatregelen: o Supportcontracten met leveranciers (met juiste “time to repair” afspraken). o Reserve onderdelen of apparaten op de plank o Dubbele uitvoering essentiële onderdelen (Failover/Standby/Redundancy)

Controle/ naleving Periodiek, tenminste 4 keer per jaar, wordt de gehele ICT (netwerk) omgeving gescand op aanwezigheid van zwakke plekken m.b.v. een vulnerabilityscanner

Pagina 7 van 9

Set van minimale IB maatregelen van AVANS Hogeschool





Tenminste één keer per jaar peilt de security manager naleving en voortgang m.b.t. de minimum set, en op basis van deze peiling wordt gerapporteerd aan de directie DIF. Minimaal éénmaal per jaar rapporteert de security manager de security incidenten over de laatste 12 maanden aan de directie DIF.

Pagina 8 van 9

Set van minimale IB maatregelen van AVANS Hogeschool

Bijlage 1: Logging, monitoring en alerting

(bron: SURFibo)

Baseline 1. Standaard

Vastlegging van gebeurtenissen  De volgende typen informatie moeten gelogd worden: o Authenticatiepogingen (al dan niet succesvol) o Gedetecteerde malware (wormen/virussen/spyware e.d.) o Beheeracties van beheerders (denk aan config wijziging) o Storingen in de dienstverlening  Een logregel moet de volgende informatie bevatten: o Datum en tijdstip, minimaal tot op seconden niveau o Gebruikersnaam/identificatie o Werkstation/locatie-informatie o Activiteit o Het object waarop de activiteit wordt uitgevoerd o Indien relevant, het resultaat van de activiteit.  De netwerkcomponenten dienen gebruik te maken van een en dezelfde tijdsbron (NTP), namelijk de tijd van de centrale NTP-service van de instelling, die weer gesynchroniseerd worden met de NTP-services van SURFnet (NTP-service)  Bij gegevensuitwisseling tussen systemen van twee organisaties wordt afhankelijk van de belangen aan één of beide zijden een log bijgehouden. Controle, Alarmering, Rapportering  Op het mogelijk vollopen van het opslagmedium van logging-informatie dient actief gemonitord te worden.  Logbestanden worden regelmatig gecontroleerd op verdachte, /afwijkende dan wel onverwachtte activiteiten, verkeerstromen.  Beveiligingsinstellingen dienen regelmatig te worden gemonitord, en wijzigingen van beveiligingsinstellingen gelogd.  De belasting van serversystemen wordt automatisch gemeten en kan worden uitgelezen via bijvoorbeeld SNMP, minimaal versie 3.  Wijzigingen in firewallinstellingen worden gelogd.  Rapportage over logging-informatie met betrekking tot beveiliging dient maandelijks te worden opgeleverd aan de security manager.  Beveiligingsincidenten worden z.s.m. (volgens een vooraf opgestelde procedure) aan de security manager gemeld. Bewijsmateriaal wordt hierbij aan de security manager overhandigd.  De configuratie van systemen moet zijn vastgelegd en moet inzichtelijk zijn voor beheerders en ander geautoriseerd personeel. Zonering  De integriteit van logbestanden moet worden gewaarborgd, schrijftoegang moet zoveel mogelijk worden beperkt.  Een logregel bevat geen wachtwoorden of andere informatie die tot beveiligingsincidenten kan leiden. Identificatie, authenticatie, autorisatie  Logging-informatie mag alleen door geautoriseerde personen benaderd kunnen worden.  Alleen geautoriseerde systemen kunnen in de centrale log-database schrijven.  Alleen geautoriseerde beheerders hebben de mogelijkheid om de log-instellingen te wijzigen of logbestanden aan te passen. Continuïteitsvoorzieningen  Het overschrijven of verwijderen van logbestanden wordt in het nieuwe logbestand gelogd.  Bewaartermijnen: alle logging-informatie moet minimaal 3 maanden (toegevoegd 15/9/’14: max 6 maanden) bewaard blijven, en gedurende die tijd kunnen worden ingezien.  Voor archivering van (centrale) logbestanden dient een hash van het logbestand gemaakt te worden, die apart wordt gearchiveerd.

Pagina 9 van 9