2.3 Maatregelen beveiligingsincidenten en incident response plan
- Mens
| Mens | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| IM1 | Voor bewustwording, gedragsregels en training van bedienaars, beheerders en overig ondersteunend personeel wordt verwezen naar paragraaf 2.7 de maatregelen-set “bewustwording en training” van de Cybersecurity Implementatierichtlijn Objecten | X | X | X | X |
- Procedures en Organisatie
| Procedures en Organisatie | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| IP1 | Er dient een geborgde procedure te bestaan die regelt dat bedienaars, beheerders en overig ondersteunend personeel (zowel intern als extern) beveiligingsincidenten en zwakke plekken in de beveiliging zo snel mogelijk melden bij de daartoe ingerichte meldpunten. Van bedienaars, beheerders en overig ondersteunend personeel (zowel intern als extern) wordt geëist dat zij alle beveiligingsincidenten, verdachte of zwakke plekken in systemen of diensten registreren en rapporteren aan de Objectverantwoordelijke/-beheerder | X | X | X | X | |||
| IP2 | Er is een Incident Manager benoemd en bijbehorende verantwoordelijkheden voor Cybersecurity zijn vastgesteld | X | X | X | X | |||
| IP3 | Er bestaat een geborgde procedure voor de reactie op en eventuele escalatie van security incidenten. De security incidenten worden vastgelegd, gerapporteerd, gerouteerd, geanalyseerd, gekwantificeerd en afgewikkeld in relatie tot het betrouwbaarheidsniveau en de ernst van het incident. Bepaald wordt welke rolhouders aanspreekbaar zijn inzake storingen, security incidenten en zwakke plekken. De verantwoordelijkheden en incidentenprocedure moeten worden gecommuniceerd naar en worden besproken met de bedienaars, beheerders en overig ondersteunend personeel (zowel intern als extern) | X | X | X | X | |||
| IP4 | De verschillende incidentmanagementprocessen dienen op elkaar aan te sluiten | X | X | X | X | |||
| IP5 | Voor het afhandelen van urgente en niet-standaard security incidenten (bijv. bij computervirusinfecties en aanvallen via publieke netwerken zoals internet) wordt de Incident Manager van de objecteigenaar ingeschakeld | X | X | X | X | |||
| IP6 | Er dient een operationeel incident response plan te bestaan voor reactie op en afhandeling van incidenten en calamiteiten | X | X | X | X | |||
| IP7 | Er dient een operationeel recovery plan te bestaan voor recovery na incidenten of calamiteiten | X | X | X | X | |||
| IP8 | Jaarlijks dienen de incident response en recovery te worden beproefd aan de hand van een actueel oefenplan om te bewerkstelligen dat ze doeltreffend blijven. Onderdeel van de jaarlijkse oefening is het testen van de noodbediening | X | X | X | X | |||
| IP9 | Tijdens een calamiteit kan het noodzakelijk zijn om het object te evacueren of deuren die toegang bieden tot IA-systemen, te openen voor hulpdiensten. Hierdoor hebben ook kwaadwillenden op dat moment toegang tot de IA-systemen. De bescherming van de vitale delen van het IA-systeem dient gedurende calamiteiten te zijn geborgd middels een procedure | X | X |
- Techniek
| Techniek | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| IT1 | De ingebouwde beveiligingsfuncties, controlemechanismen en waarschuwingen die systemen genereren dienen te worden geactiveerd en benut voor registratie en rapportage van beveiligingsincidenten | X | X | X | X | |||
| IT2 | Indien het control systeem niet meer normaal kan functioneren als gevolg van een aanval, dient het control system naar een vooraf gedefinieerde veilige situatie te schakelen (bijvoorbeeld: unpowered, hold of fixed) | X | X | X | X | |||
| IT3 | Het ICS/SCADA systeem dient na onderbreking of falen terug te kunnen keren naar een bekende veilige staat | X | X | X | X | |||
| IT4 | Het ICS/SCADA systeem en de bediening dienen te kunnen schakelen naar en van de geïnstalleerde noodstroomvoorziening zonder dat dit invloed heeft op de beveiligingsstatus van het object | X | X | X | X | |||
| IT5 | In geval van een DOS-aanval dient het ICS/SCADA systeem in een beperkte modus te kunnen functioneren om ten minste de toegang tot de safety systemen te waarborgen | X | X |