Note |
---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
Vertrouwelijkheid & integriteit
...
IC klasse
...
Minimale maatregelen
...
PAS TOE
...
Inrichten, documenteren, valideren en regelmatig reviewen van een kwetsbaarhedenbeheersproces:
Documenteren, goedkeuren, onderhouden en testen (effectiviteit) van een kwetsbaarhedenbeheersproces
Melden van een kwetsbaarheid aan een meldpunt;
Registratie en documentatie van de kwetsbaarheid minimaal in een logboek;
Beoordeling van de geregistreerde kwetsbaarheid op basis van dreigingen en de waarschijnlijkheid dat deze effectief voorkomen bij specifieke business processen en assets
Beheersing van de geregistreerde kwetsbaarheid
Validatie van de genomen maatregelen ihkv de beheersing van de geregistreerde kwetsbaarheid;
Rapportering van de geregistreerde kwetsbaarheid
Uitvoeren van lessons learned voor kwetsbaarheden met het oog op het verkrijgen van inzichten in procesoptimalisaties.
...
Note |
---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
5.6.2.1. Minimale maatregelen
Vertrouwelijkheid & integriteit
IC klasse | Minimale maatregelen |
---|---|
PAS TOE | |
Inrichten, documenteren, valideren en regelmatig reviewen van een kwetsbaarhedenbeheersproces:
| |
| Klasse 1, Klasse 2 enKlasse 3 kennen dezelfde maatregelen:
|
PAS TOE OF LEG UIT | |
Klasse 4 kent volgende maatregelen: Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 +
| |
| Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 en Klasse 4 +
|
Beschikbaarheid
IC klasse | Minimale maatregelen |
---|---|
| PAS TOE |
Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen: |
|
Statische code reviews vanaf de start van de ontwikkeling
Automatische unit tests
Vulnerability Scanning
Regelmatige scans gericht op detectie van kwetsbaarheden
Auditlogging actief
Gebruikte tool moet alle DIM/DIU versleutelen
Actieve detectie en behandeling van kwetsbaarheden gemeld door externe bronnen (zoals CVE-databases of leveranciers)
Automatische aanmaak van incident voor verdere afhandeling binnen incidentbeheer
Scans dienen zorgvuldig uitgevoerd te worden zonder dat ze de systeemfuncties nadelig beïnvloeden (CyFun DE.CM-8.1)
Penetratietesten
Specifieke penetratietesten waarbij bekende aanvalsvectoren op data worden getest. Scope vastgelegd in overleg met de specialist informatieveiligheid van je organisatie.
Auditlogging actief
Gebruikte tool moet alle DIM/DIU versleutelen
Responsible Disclosure
Algemene responsible disclosure programma’s
Rapportage en Risicoaanvaarding
Formeel vastleggen risico appetijt (CyFun ID.RM-2.1, ID.BE-2.1)
Duidelijke rapportageprocedures voor alle processen met KRI’s en formele (rest-)risicoaanvaarding door het management.
Beoordeling of bepaalde informatie nuttig is voor verdere verspreiding buiten de organisatie (kwetsbaarheid in algemeen gebruikte software, scope van onze scanning, wanneer stoppen we met OT scanning om geen downtime te creëren, ...) en hiernaar handelen bij informatiedeling (CyFun ID.RA-2.1).
Continue verbetering
Regelmatige evaluatie van incidenten, kwetsbaarheden en testresultaten om beveiligingsmaatregelen aan te passen.
Integratie van geleerde lessen uit vulnerability scans, penetratietesten en code reviews om toekomstige risico’s te mitigeren.
PAS TOE OF LEG UIT
Klasse 4 kent volgende maatregelen:
Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 +
Code Review
Dynamische reviews vanaf de test omgeving
Vulnerability Scanning
Frequente en diepgaande scans op alle data verwerkende systemen, met alarmen en directe actie bij geconstateerde kwetsbaarheden (CyFun DE.DP-5.2).
Penetratietesten
Gerichte penetratietesten waarbij alle mogelijke aanvalstechnieken worden getest.
Rapportage en Risicoaanvaarding
Intensieve automatische rapportage met expliciete (rest-)risicoaanvaarding door het hoogste management (CyFun RS.AN-5.2).
Alle kwetsbaarheden worden onmiddellijk geëscaleerd naar het hoogste managementniveau.
Continue verbetering
Continue evaluatie van incidenten, kwetsbaarheden en testresultaten bij kritische systemen om beveiligingsmaatregelen aan te passen.
Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 en Klasse 4 +
Vulnerability Management
Automatische opvolging van de remediëring van gemelde kwetsbaarheden
Beschikbaarheid
IC klasse | Minimale maatregelen | |
---|---|---|
| PAS TOE | |
Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:
| ||
PAS TOE OF LEG UIT | Klasse 4 en Klasse 5 kennen dezelfde maatregelen Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 +
| |
PAS TOE OF LEG UIT | ||
Klasse 4 en Klasse 5 kennen dezelfde maatregelen Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 +
|
5.6.2.2. Minimale specifieke (GDPR) maatregelen
De minimale algemene maatregelen voor kwetsbaarhedenbeheer moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').
Vertrouwelijkheid en beschikbaarheid
IC klasse | Minimale maatregelen |
---|---|
Er zijn geen GDPR specifieke maatregelen voor Klasse 1 en Klasse 2 | |
Klasse 3 maatregelen:
| |
| Klasse 4 maatregelen: Alle maatregelen van Klasse 3 +
|
Er zijn geen GDPR specifieke maatregelen voor klasse 5. |
Integriteit: alles van vertrouwelijkheid en beschikbaarheid +
IC klasse | Minimale maatregelen |
---|---|
Klasse 3 bijkomende maatregelen:
| |
5.6.2.3. Minimale specifieke (NIS2) maatregelen
NIS2 is een Europese richtlijn, bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.
Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).
Afhankelijk van het CyFun zekerheidsniveau van de entiteit moet het proces voldoen aan volgende vereisten:
Cyfun Basis: zie algemene minimale maatregelen voor processen (klasse onafhankelijke maatregelen)
CyFun belangrijk: de basisvereisten, aangevuld met automatisatie en toezicht van het proces;
CyFun essentieel: de vereisten voor ‘belangrijk’, aangevuld met integratie van het proces met andere processen waar nodig.
Daarnaast zijn volgende NIS2 specifieke maatregelen van kracht:
Integriteit
IC klasse | Minimale maatregelen |
---|---|
Er zijn geen NIS2 specifieke maatregelen voor Klasse 1, Klasse 2, Klasse 3 en Klasse 4 | |
Voor Klasse 5 gelden volgende maatregelen: Vulnerability Management
|
5.6.2.3. Minimale specifieke (KSZ) maatregelen
Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van veiligheidstesten toegepast worden:
Er zijn geen specifieke KSZ maatregelen