Medewerker |
|
WN |
WN |
WN |
WN |
Aanwezig |
Gebruikt |
Gestuurd
|
No. |
Vereiste |
1 |
2 |
3 |
4 |
|
|
|
TMe1 |
Bedienaars, beheerders en overig ondersteunend personeel zijn verplicht om de door het management aangegeven en beschikbaar gestelde periodieke Cybersecurity bewustwording en awareness cursussen, trainingen, E-Learning modulen te volgen en hiernaar te handelen. De bewustwording en awareness trainingen besteden ook aandacht aan Sociaal Engineering |
X |
X |
X |
X |
|
|
|
TMe2 |
Iedere bedienaar, beheerder, opdrachtnemer en overig ondersteunend personeel is zich bewust van de voor hem/haar van toepassing zijnde taken, bevoegdheden en verantwoordelijkheden voor beveiliging en weet dat gebruikers- en systeemactiviteiten worden gelogd |
X |
X |
X |
X |
|
|
|
TMe3 |
Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel nemen de Cybersecurity beveiligingsinstructies strikt in acht en zijn verantwoordelijk voor hun aandeel in de beveiliging van het object |
X |
X |
X |
X |
|
|
|
TMe4 |
Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel doen aan sociale controle, spreken elkaar aan op ontoelaatbaar en risicovol gedrag en bespreken geconstateerde onregelmatigheden in het periodieke werkoverleg met het eigen management/Objectbeheerder |
X |
X |
X |
X |
|
|
|
TMe5 |
Bij het constateren van een security incident dienen bedienaar, beheerder, opdrachtnemer en overig ondersteunend personeel dit direct als een security incident te melden bij de verantwoordelijke objecteigenaar/ -beheerder. Er is sprake van een security incident bij het manifest worden van een (dreigend of reeds opgetreden) security risico als gevolg van een (mogelijke) overtreding van het Cybersecurity beleid of onregelmatigheid. Voorbeelden van security incidenten zijn: a. Uitval van diensten, apparatuur of voorzieningen, systeemstoringen of overbelasting als gevolg van cybersecurity inbreuken; b. menselijke fouten die leiden tot functionele verstoring of uitval van systemen; c. inbreuk op fysieke en logische beveiligingsvoorzieningen van het object; d. Cybersecurity incidenten geïnitieerd vanuit de infrastructuur van opdrachtnemer en/of zijn netwerkproviders tot het netwerkdomein van opdrachtgever; e. inbreuk op de bediening en beheer; f. ongeautoriseerde systeemwijzingen; g. niet-naleving van beleid of gedragsregels; h. detectie van malware; i. detectie van virus activiteit; j. verlies of diefstal van ICT en IA bedrijfsmiddelen; k. oneigenlijk gebruik van bevoegdheden; l. vandalisme, moedwillige beschadiging |
X |
X |
X |
X |
|
|
|
TMe6 |
Afwijkend systeemgedrag kan een aanwijzing zijn voor een aanval op de beveiliging of voor een daadwerkelijk beveiligingslek en behoort daarom altijd direct te worden gerapporteerd als een beveiligingsincident en gemeld aan de Objectverantwoordelijke/-beheerder |
X |
X |
X |
X |
|
|
|
TMe7 |
Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel moeten bij het constateren van eventuele onregelmatigheden of onveilige situaties als gevolg van cybersecurity inbreuken, die handelingen verrichten of maatregelen treffen die verdere uitbreiding van het incident kunnen voorkomen, dan wel de schade beperken |
X |
X |
X |
X |
|
|
|
TMe8 |
Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel gaan zorgvuldig om met de verstrekte persoonsgebonden fysieke toegangsmiddelen voor het object en de (systeem, bedien, technische) ruimten hierbinnen en delen deze niet met collega’s |
X |
X |
X |
X |
|
|
|
TMe9 |
Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel creëren geen eigen netwerkkoppelingen op het object en melden dit als een beveiligingsincident als er een zelf aangelegde netwerkkoppeling wordt geconstateerd |
X |
X |
X |
X |
|
|
|
TMe10 |
Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel nemen de regels in acht voor de logische toegang tot ICS/SCADA en overige ondersteunende ICT-systemen |
X |
X |
X |
X |
|
|
|
TMe11 |
Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel koppelen geen mobiele apparatuur of removable media aan de ICS/SCADA omgeving, overige ondersteunende ICT-systemen en object netwerken. Uitgezonderd hiervan zijn de beheerders die dit alleen na autorisatie van de hiertoe gemandateerde functionaris en uitgevoerde actuele malwarecontrole van apparatuur/media mogen doen |
X |
X |
X |
X |
|
|
|
TMe12 |
Voor bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel is toegang tot internet en het gebruik van email vanaf ICS/SCADA en overige daaraan ondersteunende ICT-systemen strikt verboden |
X |
X |
X |
X |
|
|
|
TMe13 |
Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel mogen de beschikbaar gestelde toegangsmiddelen (tokens, pasjes) tot ICS/SCADA en ondersteunende systemen en netwerken alleen gebruiken voor het doel waarvoor ze ontworpen zijn. Hierbij mogen de getroffen beveiligingsmaatregelen niet worden omzeild |
X |
X |
X |
X |
|
|
|
TMe14 |
Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel houden hun voor het object(en) relevante accountgegevens strikt geheim; zij gebruiken hun account en toegekende autorisaties alleen zelf en staan niet toe dat anderen onder hun account kunnen inloggen of werken. Handelingen zijn altijd te herleiden naar de voor dat account geautoriseerde persoon |
X |
X |
X |
X |
|
|
|
TMe15 |
Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel dienen op ICS/SCADA en de overige ondersteunende ICT�systemen en netwerken de standaard/default/fabrieks- accounts en/of wachtwoorden bij ingebruikname te verwijderen, uit te schakelen of ten minste te wijzigen |
X |
X |
X |
X |
|
|
|
TMe16 |
Bij het constateren van onregelmatigheden in de logische toegang tot ICS/SCADA en overige ondersteunende ICT-systemen dient iedere medewerker dit onverwijld als een beveiligingsincident te melden bij de Objectverantwoordelijke/-beheerder |
X |
X |
X |
X |
|
|
|
TMe17 |
Alleen geautoriseerde medewerkers/beheerders mogen systemen koppelen aan objectdatanetwerken of ICS/SCADA-systemen. Deze systemen dienen voorzien te zijn van de laatste security updates, patches en actuele viruscontroleprogrammatuur |
X |
X |
X |
X |
|
|
|
TMe18 |
Gegevensdragers worden altijd vooraf op malware gecontroleerd, voordat deze worden gekoppeld aan ICS/SCADA- of overige ondersteunende ICT-systemen en netwerken |
X |
X |
X |
X |
|
|
|
TMe19 |
Mobiele apparatuur en gegevensdragers mogen niet onbeheerd achtergelaten worden in openbare, vergader-, en conferentieruimten, in auto’s of andere vervoermiddelen |
X |
X |
X |
X |
|
|
|
TMe20 |
Verlies of diefstal van mobiele apparatuur en gegevensdragers dienen zo spoedig mogelijk te worden gemeld als een security incident |
X |
X |
X |
X |
|
|
|
TMe21 |
Incidenten die zich voordoen binnen het wijzigingsproces en afwijkingen van het wijzigingsproces moeten worden gemeld bij de Objectverantwoordelijke/ -beheerder |
X |
X |
X |
X |
|
|
|
TMe22 |
Onregelmatigheden, incidenten en storingen binnen het back-up en recovery proces moeten worden gemeld bij de Objectverantwoordelijke/ -beheerder |
X |
X |
X |
X |
|
|
|
TMe23 |
Beheerders, bedienaars, opdrachtnemers en overig ondersteunend personeel zorgen ervoor dat onbeheerde ICS/SCADA-systemen en overige ICT-apparatuur worden vergrendeld, ondersteund door een automatische vergrendeling na een vooraf in te stellen periode van inactiviteit |
X |
X |
X |
X |
|
|
|
TMe24 |
Bedienaars, beheerders, opdrachtnemers en overig personeel zijn zich bewust van de wijze waarop zij met vertrouwelijke informatie om dienen te gaan, van het aanmaken en gebruiken van informatie tot vernietiging ervan |
X |
X |
X |
X |
|
|
|
TMe25 |
Medewerkers van opdrachtnemers die beheer- en onderhoudswerkzaamheden uitvoeren aan ICT-en IA-systemen van de objecteigenaar hebben een bewustwordingstraining voor cybersecurity gevolgd waarbinnen ook aandacht is besteed aan het vertrouwelijk omgaan met persoonsgegevens. Voor deze medewerkers geldt verder dat zij strikte geheimhouding in acht nemen en over een Verklaring Omtrent het Gedrag (VOG) beschikken zoals contractueel overeengekomen. De bewustwording en awareness trainingen besteden ook aandacht aan Sociaal Engineering |
X |
X |
X |
X |
|
|
|
TMe26 |
Medewerkers mogen zonder voorafgaande goedkeuring geen apparatuur, informatie of software van de locatie meenemen |
X |
X |
X |
X |
|
|
|
TMe27 |
Het is voor gebruikers niet toegestaan zelf software te installeren |
X |
X |
X |
X |
|
|
|