Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Aanpassingen ICR3 - update links - toevoeging Warning Banner
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Vertrouwelijkheid & integriteit

...

IC klasse

...

Minimale maatregelen

...

PAS TOE

...

Inrichten, documenteren, valideren en regelmatig reviewen van een kwetsbaarhedenbeheersproces: 

  • Documenteren, goedkeuren, onderhouden en testen (effectiviteit) van een kwetsbaarhedenbeheersproces

  • Melden van een kwetsbaarheid aan een meldpunt; 

  • Registratie en documentatie van de kwetsbaarheid minimaal in een logboek; 

  • Beoordeling van de geregistreerde kwetsbaarheid op basis van dreigingen en de waarschijnlijkheid dat deze effectief voorkomen bij specifieke business processen en assets

  • Beheersing van de geregistreerde kwetsbaarheid

  • Validatie van de genomen maatregelen ihkv de beheersing van de geregistreerde kwetsbaarheid; 

  • Rapportering van de geregistreerde kwetsbaarheid

  • Uitvoeren van lessons learned voor kwetsbaarheden met het oog op het verkrijgen van inzichten in procesoptimalisaties. 

 

...

Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

5.6.2.1. Minimale maatregelen 

Vertrouwelijkheid & integriteit

IC klasse

Minimale maatregelen

PAS TOE

Inrichten, documenteren, valideren en regelmatig reviewen van een kwetsbaarhedenbeheersproces: 

  • Documenteren, goedkeuren, onderhouden en testen (effectiviteit) van een kwetsbaarhedenbeheersproces

  • Melden van een kwetsbaarheid aan een meldpunt; 

  • Registratie en documentatie van de kwetsbaarheid minimaal in een logboek; 

  • Beoordeling van de geregistreerde kwetsbaarheid op basis van dreigingen en de waarschijnlijkheid dat deze effectief voorkomen bij specifieke business processen en assets

  • Beheersing van de geregistreerde kwetsbaarheid

  • Validatie van de genomen maatregelen ihkv de beheersing van de geregistreerde kwetsbaarheid; 

  • Rapportering van de geregistreerde kwetsbaarheid

  • Uitvoeren van lessons learned voor kwetsbaarheden met het oog op het verkrijgen van inzichten in procesoptimalisaties. 

 

Image AddedImage AddedImage AddedImage AddedImage AddedImage Added

Klasse 1, Klasse 2 enKlasse 3 kennen dezelfde maatregelen:  

  • Code Review 

    • Statische code reviews vanaf de start van de ontwikkeling 

    • Automatische unit tests 

  • Vulnerability Scanning 

    • Regelmatige scans gericht op detectie van kwetsbaarheden

    • Auditlogging actief 

    • Gebruikte tool moet alle DIM/DIU versleutelen 

    • Actieve detectie en behandeling van kwetsbaarheden gemeld door externe bronnen (zoals CVE-databases of leveranciers) 

    • Automatische aanmaak van incident voor verdere afhandeling binnen incidentbeheer 

    • Scans dienen zorgvuldig uitgevoerd te worden zonder dat ze de systeemfuncties nadelig beïnvloeden (CyFun DE.CM-8.1) 

  • Penetratietesten 

    • Specifieke penetratietesten waarbij bekende aanvalsvectoren op data worden getest. Scope vastgelegd in overleg met de specialist informatieveiligheid van je organisatie. 

    • Auditlogging actief 

    • Gebruikte tool moet alle DIM/DIU versleutelen 

  • Responsible Disclosure 

    • Algemene responsible disclosure programma’s 

  • Rapportage en Risicoaanvaarding 

    • Formeel vastleggen risico appetijt (CyFun ID.RM-2.1, ID.BE-2.1

    • Duidelijke rapportageprocedures voor alle processen met KRI’s en formele (rest-)risicoaanvaarding door het management. 

    • Beoordeling of bepaalde informatie nuttig is voor verdere verspreiding buiten de organisatie (kwetsbaarheid in algemeen gebruikte software, scope van onze scanning, wanneer stoppen we met OT scanning om geen downtime te creëren, ...) en hiernaar handelen bij informatiedeling (CyFun ID.RA-2.1). 

  • Continue verbetering 

    • Regelmatige evaluatie van incidenten, kwetsbaarheden en testresultaten om beveiligingsmaatregelen aan te passen. 

    • Integratie van geleerde lessen uit vulnerability scans, penetratietesten en code reviews om toekomstige risico’s te mitigeren.

PAS TOE OF LEG UIT

Image AddedImage Added

Klasse 4 kent volgende maatregelen:

Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 +

  • Code Review 

    • Dynamische reviews vanaf de test omgeving 

  • Vulnerability Scanning 

    • Frequente en diepgaande scans op alle data verwerkende systemen, met alarmen en directe actie bij geconstateerde kwetsbaarheden (CyFun DE.DP-5.2)

  • Penetratietesten 

    • Gerichte penetratietesten waarbij alle mogelijke aanvalstechnieken worden getest. 

  • Rapportage en Risicoaanvaarding 

    • Intensieve automatische rapportage met expliciete (rest-)risicoaanvaarding door het hoogste management (CyFun RS.AN-5.2)

    • Alle kwetsbaarheden worden onmiddellijk geëscaleerd naar het hoogste managementniveau. 

  • Continue verbetering 

    • Continue evaluatie van incidenten, kwetsbaarheden en testresultaten bij kritische systemen om beveiligingsmaatregelen aan te passen.

Image AddedImage Added

 

Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 en Klasse 4 +

  • Vulnerability Management 

    • Automatische opvolging van de remediëring van gemelde kwetsbaarheden 

Beschikbaarheid

IC klasse

Minimale maatregelen

 

PAS TOE

Image AddedImage AddedImage Added

Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:  

Code Review
  • Performantietesten 

  • Statische code reviews vanaf de start van de ontwikkeling 

  • Automatische unit tests 

  • Vulnerability Scanning 

    • Regelmatige scans gericht op detectie van kwetsbaarheden

    • Auditlogging actief 

    • Gebruikte tool moet alle DIM/DIU versleutelen 

    • Actieve detectie en behandeling van kwetsbaarheden gemeld door externe bronnen (zoals CVE-databases of leveranciers) 

    • Automatische aanmaak van incident voor verdere afhandeling binnen incidentbeheer 

    • Scans dienen zorgvuldig uitgevoerd te worden zonder dat ze de systeemfuncties nadelig beïnvloeden (CyFun DE.CM-8.1) 

  • Penetratietesten 

    • Specifieke penetratietesten waarbij bekende aanvalsvectoren op data worden getest. Scope vastgelegd in overleg met de specialist informatieveiligheid van je organisatie. 

    • Auditlogging actief 

    • Gebruikte tool moet alle DIM/DIU versleutelen 

  • Responsible Disclosure 

    • Algemene responsible disclosure programma’s 

  • Rapportage en Risicoaanvaarding 

    • Formeel vastleggen risico appetijt (CyFun ID.RM-2.1, ID.BE-2.1

    • Duidelijke rapportageprocedures voor alle processen met KRI’s en formele (rest-)risicoaanvaarding door het management. 

    • Beoordeling of bepaalde informatie nuttig is voor verdere verspreiding buiten de organisatie (kwetsbaarheid in algemeen gebruikte software, scope van onze scanning, wanneer stoppen we met OT scanning om geen downtime te creëren, ...) en hiernaar handelen bij informatiedeling (CyFun ID.RA-2.1). 

  • Continue verbetering 

    • Regelmatige evaluatie van incidenten, kwetsbaarheden en testresultaten om beveiligingsmaatregelen aan te passen. 

    • Integratie van geleerde lessen uit vulnerability scans, penetratietesten en code reviews om toekomstige risico’s te mitigeren.

  • PAS TOE OF LEG UIT

    Image Removed

    Klasse 4 kent volgende maatregelen:

    Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 +

    • Code Review 

      • Dynamische reviews vanaf de test omgeving 

    • Vulnerability Scanning 

      • Frequente en diepgaande scans op alle data verwerkende systemen, met alarmen en directe actie bij geconstateerde kwetsbaarheden (CyFun DE.DP-5.2)

    • Penetratietesten 

      • Gerichte penetratietesten waarbij alle mogelijke aanvalstechnieken worden getest. 

    • Rapportage en Risicoaanvaarding 

      • Intensieve automatische rapportage met expliciete (rest-)risicoaanvaarding door het hoogste management (CyFun RS.AN-5.2)

      • Alle kwetsbaarheden worden onmiddellijk geëscaleerd naar het hoogste managementniveau. 

    • Continue verbetering 

      • Continue evaluatie van incidenten, kwetsbaarheden en testresultaten bij kritische systemen om beveiligingsmaatregelen aan te passen.

    Image Removed

     

    Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 en Klasse 4 +

    • Vulnerability Management 

      • Automatische opvolging van de remediëring van gemelde kwetsbaarheden 

    Beschikbaarheid

    IC klasse

    Minimale maatregelen

     

    PAS TOE

    Image RemovedImage RemovedImage Removed

    Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:  

    • Performantietesten 

      • Specifieke test op beschikbaarheid en stabiliteit van het systeem onder hoge belasting 

    • Beschikbaarheid van het proces kwetsbaarhedenbeheer is minimaal kantooruren (5d x 10u)  

    PAS TOE OF LEG UIT

    Image RemovedImage Removed

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen

    Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 +

    • Beschikbaarheid van het proces kwetsbaarhedenbeheer is minimaal permanente beschikbaarheid (7d x 24u) 
      • Specifieke test op beschikbaarheid en stabiliteit van het systeem onder hoge belasting 

    • Beschikbaarheid van het proces kwetsbaarhedenbeheer is minimaal kantooruren (5d x 10u)  

    PAS TOE OF LEG UIT

    Image AddedImage Added

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen

    Alle maatregelen van Klasse 1, Klasse 2, Klasse 3 +

    • Beschikbaarheid van het proces kwetsbaarhedenbeheer is minimaal permanente beschikbaarheid (7d x 24u) 

    5.6.2.2. Minimale specifieke (GDPR) maatregelen 

    De minimale algemene maatregelen voor kwetsbaarhedenbeheer moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').

    Vertrouwelijkheid en beschikbaarheid

    IC klasse

    Minimale maatregelen

    Image AddedImage AddedImage AddedImage Added

    Er zijn geen GDPR specifieke maatregelen voor Klasse 1 en Klasse 2

    Image AddedImage Added

    Klasse 3 maatregelen:

    • Event correlatie toepassen. 

    • Real-time alarmen genereren en opvolgen bij problemen met de auditfunctie. 

    • 4-ogen toepassen bij elke wijziging aan de audit functionaliteit. 

    • Elke toegang tot persoonsgegevens, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving: 

      • Tot natuurlijke persoon herleidbare gebruikersnaam of ID, tijdsstip (datum/uur), identificatie van het werkstation of locatie, gebruikte toepassing.  

      • De persoon die het object is van de handeling 

      • Het resultaat van de handeling

      

    Image AddedImage Added

     

    Klasse 4  maatregelen:

     Alle maatregelen van Klasse 3 +

    • Elke toegang tot gegevens behorende tot de bijzondere categorieën van de GDPR, moet gelogd worden in overeenstemming met de toepasselijke wetgeving en regelgeving. 

    Image AddedImage Added

    Er zijn geen GDPR specifieke maatregelen voor klasse 5.

    Integriteit: alles van vertrouwelijkheid en beschikbaarheid +

    IC klasse

    Minimale maatregelen

    Image AddedImage Added

    Image Added

    Klasse 3 bijkomende maatregelen:

    • Timestamps in combinatie met digitale handtekening toepassen

    Image AddedImage Added

    5.6.2.3. Minimale specifieke (NIS2) maatregelen 

    NIS2 is een Europese richtlijn, bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren. 

    Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).  

    Afhankelijk van het CyFun zekerheidsniveau van de entiteit moet het proces voldoen aan volgende vereisten: 

    • Cyfun Basis: zie algemene minimale maatregelen voor processen (klasse onafhankelijke maatregelen) 

    • CyFun belangrijk: de basisvereisten, aangevuld met automatisatie en toezicht van het proces; 

    • CyFun essentieel: de vereisten voor ‘belangrijk’, aangevuld met integratie van het proces met andere processen waar nodig. 

    Daarnaast zijn volgende NIS2 specifieke maatregelen van kracht: 

    Integriteit

    IC klasse

    Minimale maatregelen

    Image AddedImage AddedImage AddedImage Added

    Er zijn geen NIS2 specifieke maatregelen voor Klasse 1Klasse 2, Klasse 3 en  

    Klasse 4 

    Image Added

    Voor Klasse 5 gelden volgende maatregelen:

    Vulnerability Management  

    • Code moet digitaal gesigned zijn

      • Bij inbreuk: automatisch antwoord zodat dit direct gestopt wordt 

    5.6.2.3. Minimale specifieke (KSZ) maatregelen

    Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van veiligheidstesten toegepast worden:  

    Er zijn geen specifieke KSZ maatregelen