Renamed NIS folder, created scratch file longlist
This commit is contained in:
parent
52406b5edb
commit
2ded0b3024
26 changed files with 743 additions and 14 deletions
|
|
@ -1,75 +0,0 @@
|
|||
#nis2
|
||||
# Het Cyberfundamentals Framework
|
||||
|
||||
Het Centre for Cyber Security Belgium ([CBB](https://ccb.belgium.be/nl)) heeft NIS2 vertaald in het [Cyberfundamentals Framework](https://ccb.belgium.be/nl/cyberfundamentals-framework) .
|
||||
|
||||
Het Cyberfundamentals Framework is een reeks concrete maatregelen om:
|
||||
* gegevens te beschermen,
|
||||
* het risico op de meest voorkomende cyberaanvallen aanzienlijk te verminderen,
|
||||
* de cyberweerbaarheid van een organisatie te vergroten.
|
||||
|
||||
Het raamwerk is gebaseerd op en gekoppeld aan 4 veelgebruikte cyberbeveiligingsraamwerken: NIST CSF, ISO 27001 / ISO 27002, CIS Controls en IEC 62443.
|
||||
|
||||
## Vijf Kernfuncties
|
||||
Het CCB Cyberfundamentals Framework is opgebouwd rond vijf kernfuncties: identificeren, beschermen, detecteren, reageren en herstellen. Deze functies helpen de communicatie rond cyberbeveiliging te bevorderen tussen zowel technische vakmensen als belanghebbenden, over organisatie- en sectorgrenzen heen. Ook helpt het om cybergerelateerde risico's te integreren met de algemene risicobeheerstrategie van de organisatie.
|
||||
|
||||
## Vier Zekerheidsniveaus
|
||||
Het framework definieert 4 zekerheidsniveaus met oplopende requirements:
|
||||
1. Small: voor micro-organisaties of organisaties met een beperkte technische kennis. “Hiermee kan een organisatie een eerste inschatting maken”. [PDF met Guidance](https://ccb.belgium.be/sites/default/files/cyberfundamentals/CYFUN_SMALL_NL_20230301.pdf)
|
||||
2. Basis: standaardmaatregelen voor informatiebeveiliging voor alle ondernemingen. Bedoeld om 82% van de aanvallen te kunnen afdekken. [PDF met Guidance](https://ccb.belgium.be/sites/default/files/cyberfundamentals/CYFUN_BASIC_NL_20230301.pdf)
|
||||
3. Belangrijk: risicobeperking voor gerichte, gebruikelijke cyberaanvallen. Bedoeld om 94% van de aanvallen te kunnen afdekken. [PDF met Guidance](https://ccb.belgium.be/sites/default/files/cyberfundamentals/CYFUN_IMPORTANT_NL_20230301.pdf)
|
||||
4. Essentieel: risicobeperking voor gerichte, geavanceerde cyberaanvallen. Bedoeld om 100% van de aanvallen kunnen afdekken. [PDF met Guidance](https://ccb.belgium.be/sites/default/files/cyberfundamentals/CYFUN_ESSENTIAL_NL_20230301.pdf)
|
||||
|
||||
M.b.t. de zekerheidspercentages: voor succesvolle cyberaanvallen uit het verleden zijn de maatregelen bepaald, die de aanval hadden kunnen pareren.
|
||||
|
||||
## Bepalen van het juiste zekerheidsniveau (1-4)
|
||||
De [CyFun Selection tool](https://ccb.belgium.be/sites/default/files/cyberfundamentals/BE-NIS2-RA-v2023-08-03.xlsx) geeft per sector een matrix, met de impactniveaus van 5 soorten aanvallen door 5 soorten bedreigende actoren (’threat actors’).
|
||||
|
||||
De categorieën van aanvallen zijn:
|
||||
* Sabotage/verstoring (DDOS,...)
|
||||
* Informatiediefstal (spionage,...)
|
||||
* Misdaad (losgeldaanvallen)
|
||||
* Hacktivisme (ondermijning, defacement,...)
|
||||
* Desinformatie (politieke beïnvloeding)
|
||||
|
||||
Voor elk van de categorieën is de impact op nationaal, maatschappelijk of bedrijfsniveau bepaald. Er zijn drie niveaus van impact: Hoog, Medium en Laag. Deze niveaus zijn gekwalificeerd in het document [Beschrijving van impactniveaus](https://ccb.belgium.be/sites/default/files/cyberfundamentals/IMPACTNIVEAUS_v2023-07-10.pdf).
|
||||
|
||||
De categorieën bedreigende actoren zijn:
|
||||
* Concurrenten
|
||||
* Ideologen (Hacktivisten)
|
||||
* Terroristen
|
||||
* Cybercriminelen
|
||||
* Actoren gesteund door naties
|
||||
|
||||
Voor elke categorie cyberaanvallen en voor elk type bedreigende actor is de waarschijnlijkheid bepaald (hoog, gemiddeld, laag) van dit type cyberaanval door dit type bedreigende actor.
|
||||
|
||||
Gebruik van de [CyFun Selection tool](https://ccb.belgium.be/sites/default/files/cyberfundamentals/BE-NIS2-RA-v2023-08-03.xlsx):
|
||||
1. Kies de sector waarin uw organisatie actief is (tabblad)
|
||||
2. Selecteer de toepasselijke organisatiegrootte
|
||||
3. Rechtsonder ziet u het van toepassing zijnde zekerheidsniveau.
|
||||
4. U kunt de standaard waarden voor Impact en Waarschijnlijkheid aanpassen aan de specifieke situatie van uw organisatie, maar als u afwijkt van de standaard moet u dat motiveren.
|
||||
|
||||
### Bepalen van de Volwassenheid van de organisatie t.o.v. het Zekerheidsniveau
|
||||
|
||||
Gebruik het [CyFun Self-Assessment tool](https://ccb.belgium.be/nl/cyfun-self-assessment-tool) "om zelfevaluatie voor te bereiden” – dit bevat ook spider-diagrammen ter ondersteuning van managementrapportage.
|
||||
|
||||
* De tool geeft voor ieder van de vier Zekerheidsniveaus de **vereiste maatregelen** (tabblad ‘Details’).
|
||||
* Voor iedere maatregel kun je op de aspecten documentatie en implementatie een **volwassenheidsniveau** ingeven van 1 tot 5. De volwassenheidsniveaus worden gekwalificeerd op het tabblad ‘Maturity Levels’.
|
||||
* Sommige maatregelen zijn geïdentificeerd als Kernmaatregel (‘Key Measure’). Deze maatregelen “vereisen bijzondere aandacht”, volgens de CCB Guidance documenten (zie onder [[/Vier Zekerheidsniveaus]])
|
||||
|
||||
- Op het van toepassing zijnde “Summary” tabblad kunnen vervolgens de volwassenheidsscores op verschillende categorieën van maatregelen worden afgelezen.
|
||||
- De vereiste score verschilt per Zekerheidsniveau: Basis = 2,5 / Belangrijk en Essentieel = 3,0
|
||||
|
||||
Het eerste tabblad vermeldt:
|
||||
> - Het framework kan vrijwillig of verplicht worden ingezet.
|
||||
> - Bij vrijwillig gebruik wordt het gezien als een certificeringsschema voor implementatie van “the statutory mandate of the CCB (RD 10 Oct 2014, Art. 3 8°)”.
|
||||
> - Voor verplicht gebruik van het certificeringsschema gelden de wetten en reguleringen die verplicht gebruik afdwingen.
|
||||
> - De zelfevaluatie-rapportage (‘self-declaration’) kan door een onafhankelijke derde partij (Conformity Assessment Body) geverifieerd worden en geldt dan als een certificering overeenkomstig de Conformity Assessment Scheme.
|
||||
|
||||
## Mapping op bekende security frameworks
|
||||
De [CyberFundamentals Framework mapping](https://ccb.belgium.be/sites/default/files/cyberfundamentals/CyFun%20mapping%20Full_v20230825.xlsx) mapt de maatregelen uit het CyberFundamentals Framework op de maatregelen uit 5 bekende frameworks (ISO 27001:2022, ISO 27002:2022, CIS v8, IEC 62443-2-1:2010, IEC 62443-3-3:2013).
|
||||
|
||||
## Relevante links
|
||||
- [NIS 2 in Vlaanderen](NIS%202%20in%20Vlaanderen.md)
|
||||
- [CCB: Cyberfundamentals NL](https://ccb.belgium.be/nl/cyberfundamentals-framework)
|
||||
- [Cert.be](https://www.cert.be/nl)
|
||||
Loading…
Add table
Add a link
Reference in a new issue