Beheer van Activa

Alle elementen die de organisatie helpen om haar bedrijfsdoelstellingen te bereiken, zoals gegevens, personeel, apparaten, systemen en faciliteiten, worden geïdentificeerd en beheerd. Dit gebeurt op basis van hun relatieve belang voor de bedrijfsdoelstellingen en de risicostrategie van de organisatie.

• Fysieke apparaten en systemen binnen de organisatie worden geïnventariseerd.
• Softwareplatforms en applicaties binnen de organisatie worden geïnventariseerd.
• Communicatie- en gegevensstromen binnen de organisatie worden in kaart gebracht.
• Externe informatiesystemen worden gecatalogiseerd.
• Middelen zoals hardware, apparaten, gegevens en software worden geprioriteerd op basis van hun classificatie en bedrijfswaarde.
• Cyberbeveiligingsrollen en -verantwoordelijkheden voor al het personeel en externe belanghebbenden, zoals leveranciers, klanten en partners, worden vastgesteld.

Risicobeoordeling

De organisatie begrijpt de cyberbeveiligingsrisico's die haar activiteiten (inclusief missie, functies, imago of reputatie), bedrijfsmiddelen en personen kunnen beïnvloeden.

• Kwetsbaarheden van bedrijfsmiddelen worden geïdentificeerd en gedocumenteerd.
• Informatie over bedreigingen en kwetsbaarheden wordt verkregen van informatie-uitwisselingsforums en bronnen.
• Bedreigingen, zowel intern als extern, worden geïdentificeerd en gedocumenteerd.
• Potentiële bedrijfsimpact en waarschijnlijkheid worden vastgesteld.
• Bedreigingen, kwetsbaarheden, waarschijnlijkheden en gevolgen worden gebruikt om het risico te beoordelen.
• Risicomaatregelen worden geïdentificeerd en geprioriteerd.

Strategie voor Risicobeheer

De organisatie stelt haar prioriteiten, beperkingen, risicotoleranties en veronderstellingen vast om operationele risicobeslissingen te ondersteunen.

• Risicomanagementprocessen worden vastgesteld, beheerd en goedgekeurd door belanghebbenden binnen de organisatie.
• De risicotolerantie van de organisatie is bepaald en duidelijk geformuleerd.
• De organisatie bepaalt haar risicotolerantie op basis van haar rol binnen de kritieke infrastructuur en sectorspecifieke risicoanalyse.

Proces en Procedures voor Informatiebeveiliging

Beveiligingsbeleid, processen en procedures worden onderhouden en toegepast om de bescherming van informatiesystemen en -middelen effectief te beheren. Dit omvat richtlijnen over doel, toepassingsgebied, rollen, verantwoordelijkheden, managementbetrokkenheid en coördinatie tussen organisatorische eenheden.

• Een basisconfiguratie voor informatietechnologie en industriële controlesystemen wordt opgesteld en onderhouden.
• Een systeemontwikkelingscyclus voor het beheer van systemen wordt geïmplementeerd.
• Configuratiewijzigingen worden gecontroleerd via processen.
• Back-ups van informatie worden gemaakt, onderhouden en periodiek getest.
• Er wordt voldaan aan het beleid en de voorschriften voor de fysieke bedrijfsomgeving van de organisatie.
• Gegevens worden volgens het beleid vernietigd.
• Beveiligingsprocessen worden voortdurend verbeterd.
• De effectiviteit van beschermingstechnologieën wordt gedeeld met de juiste partijen.
• Er zijn responsplannen (Incident Response en Business Continuity) en herstelplannen (Incident
• Recovery en Disaster Recovery) aanwezig en beheerd.
• Response- en herstelplannen worden getest.
• Cyberbeveiliging wordt opgenomen in het personeelsbeleid, zoals personeelsscreening.
• Er wordt een plan voor kwetsbaarheidsbeheer ontwikkeld en uitgevoerd.

Onderhoud

Onderhoud en reparaties van industriële besturings- en informatiesysteemcomponenten worden uitgevoerd volgens vastgestelde beleid en procedures.

• Onderhoud en reparatie van organisatorische middelen worden tijdig uitgevoerd en gedocumenteerd, met gebruik van goedgekeurde en gecontroleerde gereedschappen.
• Onderhoud op afstand van bedrijfsmiddelen wordt goedgekeurd, geregistreerd en uitgevoerd op een manier die ongeautoriseerde toegang voorkomt.

Anomalieën en Gebeurtenissen

Anomalieën worden tijdig gedetecteerd en de potentiële impact van gebeurtenissen wordt begrepen.

• Een basislijn van netwerkactiviteiten en verwachte gegevensstromen voor gebruikers en systemen wordt opgesteld en beheerd.
• Gedetecteerde gebeurtenissen worden geanalyseerd om aanvalsdoelen en -methoden te begrijpen.
• Gebeurtenisgegevens worden verzameld en gecorreleerd uit meerdere bronnen en sensoren.
• De impact van gebeurtenissen wordt beoordeeld en drempelwaarden voor incidentwaarschuwingen worden vastgesteld.

Doorlopende Beveiligingsbewaking

Het informatiesysteem en de bedrijfsmiddelen worden periodiek gemonitord om cyberbeveiligingsgebeurtenissen te identificeren en de effectiviteit van beschermingsmaatregelen te verifiëren.

• Het netwerk wordt gemonitord om mogelijke cyberbeveiligingsgebeurtenissen te detecteren.
• De fysieke omgeving wordt gemonitord om mogelijke cyberbeveiligingsgebeurtenissen te detecteren.
• Personeelsactiviteiten worden gemonitord om mogelijke cyberbeveiligingsgebeurtenissen te detecteren.
• Kwaadaardige code wordt gedetecteerd.
• Ongeautoriseerde mobiele code wordt gedetecteerd.
• Activiteiten van externe dienstverleners worden gecontroleerd om mogelijke cyberbeveiligingsgebeurtenissen te detecteren.
• Er wordt gecontroleerd op ongeautoriseerd personeel, ongeautoriseerde verbindingen, ongeautoriseerde apparaten en ongeautoriseerde software.
• Er worden kwetsbaarheidsscans uitgevoerd.

Detectieprocessen

Detectieprocessen en -procedures worden onderhouden en getest om een tijdige en adequate bewustwording van afwijkende gebeurtenissen te waarborgen.

Reactieplanning

Responsprocessen en -procedures worden uitgevoerd en onderhouden om een snelle reactie op gedetecteerde cyberbeveiligingsgebeurtenissen te verzekeren.

• Het responsplan wordt geactiveerd tijdens of na een gebeurtenis.

Communicatie

Responsactiviteiten worden gecoördineerd met interne en externe belanghebbenden, inclusief externe ondersteuning door rechtshandhavingsinstanties, waar nodig.

• Het personeel kent zijn rol en de volgorde van operaties tijdens een respons.
• Gebeurtenissen worden gerapporteerd volgens vastgestelde criteria.
• Informatie wordt gedeeld volgens de reactieplannen.
• Coördinatie met belanghebbenden gebeurt volgens de reactieplannen.
• Vrijwillige informatie-uitwisseling met externe belanghebbenden bevordert een breder situationeel bewustzijn van cyberbeveiliging.

Analyse

Een grondige analyse wordt uitgevoerd om ervoor te zorgen dat er een passende reactie volgt en om herstelactiviteiten te ondersteunen.

• Onderzoek van meldingen van detectiesystemen: Alle meldingen van beveiligingsdetectiesystemen worden zorgvuldig onderzocht om de aard en ernst van het incident te bepalen.
• Begrip van de impact van het incident: De gevolgen en reikwijdte van het incident worden volledig begrepen om de impact op de organisatie te evalueren.
• Forensisch onderzoek: Een diepgaand forensisch onderzoek wordt uitgevoerd om de oorzaak, methoden en omvang van het incident te achterhalen.
• Categorisatie van incidenten volgens reactieplannen:
• Incidenten worden geclassificeerd volgens vooraf opgestelde reactieplannen om een gestructureerde en efficiënte respons te waarborgen.

Mitigatie

Er worden maatregelen genomen om de verdere verspreiding van een gebeurtenis te voorkomen, de impact ervan te minimaliseren en het incident volledig te elimineren.

• Inperking van incidenten: Acties worden ondernomen om de verspreiding van het incident direct te stoppen en verdere schade te voorkomen.
• Beperking van incidenten: Er wordt gewerkt aan het verminderen van de gevolgen en schade veroorzaakt door het incident.
• Beheersen van nieuwe kwetsbaarheden: Nieuw geïdentificeerde kwetsbaarheden worden aangepakt door ze te verminderen of, indien nodig, als een aanvaard risico te documenteren.

Verbeteringen

De organisatorische reactieactiviteiten worden geoptimaliseerd door te leren van huidige en eerdere detectie- en reactie-ervaringen.

• Integratie van geleerde lessen in reactieplannen:
• Reactieplannen worden aangepast en verbeterd op basis van de inzichten en lessen die zijn getrokken uit eerdere incidenten en reacties.
• Actualisering van responsstrategieën: De strategieën voor incidentrespons worden bijgewerkt om effectiever en efficiënter te reageren op toekomstige incidenten, gebaseerd op de opgedane ervaringen.

Planning van Herstel

Herstelprocessen en -procedures worden geïmplementeerd en bijgehouden om een tijdig herstel van systemen of activa die door cyberbeveiligingsincidenten zijn getroffen, te waarborgen.

• Uitvoering van het herstelplan: Het herstelplan wordt ingezet tijdens of direct na een incident om zo snel mogelijk de normale bedrijfsvoering te hervatten.

Verbeteringen

De herstelplanning en -processen worden geoptimaliseerd door geleerde lessen in toekomstige activiteiten te integreren.

• Verwerken van geleerde lessen in herstelplannen:
• Herstelplannen worden aangepast en verbeterd op basis van inzichten en ervaringen uit eerdere herstelactiviteiten.
• Actualisering van herstelstrategieën: Herstelstrategieën worden bijgewerkt om effectiever en efficiënter herstel te waarborgen bij toekomstige incidenten.

Communicatie

De herstelactiviteiten worden gecoördineerd met interne en externe partijen, waaronder coördinatiecentra, Internet Service Providers, eigenaars van aanvallende systemen, slachtoffers, andere CSIRT's en verkopers.

• Beheer van public relations: De communicatie met de buitenwereld wordt zorgvuldig beheerd om de reputatie van de organisatie te beschermen.
• Herstel van reputatie na een incident: Actieve maatregelen worden genomen om het vertrouwen en de reputatie van de organisatie te herstellen na een beveiligingsincident.
• Communicatie van herstelactiviteiten: Informatie over de herstelactiviteiten wordt gedeeld met interne belanghebbenden, inclusief directie- en managementteams, om hen op de hoogte te houden van de voortgang en resultaten.