Het logo van WILMAONLINE
Menu
  1. WILMA Online
  2. 2.7 Maatregelen bewustwording en training

2.7 Maatregelen bewustwording en training

2.7.1 Medewerkers[bewerken]

Medewerker WN WN WN WN Aanwezig Gebruikt Gestuurd
No. Vereiste 1 2 3 4
TMe1 Bedienaars, beheerders en overig ondersteunend personeel zijn verplicht om de door het management aangegeven en beschikbaar gestelde periodieke Cybersecurity bewustwording en awareness cursussen, trainingen, E-Learning modulen te volgen en hiernaar te handelen. De bewustwording en awareness trainingen besteden ook aandacht aan Sociaal Engineering X X X X
TMe2 Iedere bedienaar, beheerder, opdrachtnemer en overig ondersteunend personeel is zich bewust van de voor hem/haar van toepassing zijnde taken, bevoegdheden en verantwoordelijkheden voor beveiliging en weet dat gebruikers- en systeemactiviteiten worden gelogd X X X X
TMe3 Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel nemen de Cybersecurity beveiligingsinstructies strikt in acht en zijn verantwoordelijk voor hun aandeel in de beveiliging van het object X X X X
TMe4 Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel doen aan sociale controle, spreken elkaar aan op ontoelaatbaar en risicovol gedrag en bespreken geconstateerde onregelmatigheden in het periodieke werkoverleg met het eigen management/Objectbeheerder X X X X
TMe5 Bij het constateren van een security incident dienen bedienaar, beheerder, opdrachtnemer en overig ondersteunend personeel dit direct als een security incident te melden bij de verantwoordelijke objecteigenaar/ -beheerder. Er is sprake van een security incident bij het manifest worden van een (dreigend of reeds opgetreden) security risico als gevolg van een (mogelijke) overtreding van het Cybersecurity beleid of onregelmatigheid. Voorbeelden van security incidenten zijn: a. Uitval van diensten, apparatuur of voorzieningen, systeemstoringen of overbelasting als gevolg van cybersecurity inbreuken; b. menselijke fouten die leiden tot functionele verstoring of uitval van systemen; c. inbreuk op fysieke en logische beveiligingsvoorzieningen van het object; d. Cybersecurity incidenten geïnitieerd vanuit de infrastructuur van opdrachtnemer en/of zijn netwerkproviders tot het netwerkdomein van opdrachtgever; e. inbreuk op de bediening en beheer; f. ongeautoriseerde systeemwijzingen; g. niet-naleving van beleid of gedragsregels; h. detectie van malware; i. detectie van virus activiteit; j. verlies of diefstal van ICT en IA bedrijfsmiddelen; k. oneigenlijk gebruik van bevoegdheden; l. vandalisme, moedwillige beschadiging X X X X
TMe6 Afwijkend systeemgedrag kan een aanwijzing zijn voor een aanval op de beveiliging of voor een daadwerkelijk beveiligingslek en behoort daarom altijd direct te worden gerapporteerd als een beveiligingsincident en gemeld aan de Objectverantwoordelijke/-beheerder X X X X
TMe7 Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel moeten bij het constateren van eventuele onregelmatigheden of onveilige situaties als gevolg van cybersecurity inbreuken, die handelingen verrichten of maatregelen treffen die verdere uitbreiding van het incident kunnen voorkomen, dan wel de schade beperken X X X X
TMe8 Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel gaan zorgvuldig om met de verstrekte persoonsgebonden fysieke toegangsmiddelen voor het object en de (systeem, bedien, technische) ruimten hierbinnen en delen deze niet met collega’s X X X X
TMe9 Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel creëren geen eigen netwerkkoppelingen op het object en melden dit als een beveiligingsincident als er een zelf aangelegde netwerkkoppeling wordt geconstateerd X X X X
TMe10 Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel nemen de regels in acht voor de logische toegang tot ICS/SCADA en overige ondersteunende ICT-systemen X X X X
TMe11 Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel koppelen geen mobiele apparatuur of removable media aan de ICS/SCADA omgeving, overige ondersteunende ICT-systemen en object netwerken. Uitgezonderd hiervan zijn de beheerders die dit alleen na autorisatie van de hiertoe gemandateerde functionaris en uitgevoerde actuele malwarecontrole van apparatuur/media mogen doen X X X X
TMe12 Voor bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel is toegang tot internet en het gebruik van email vanaf ICS/SCADA en overige daaraan ondersteunende ICT-systemen strikt verboden X X X X
TMe13 Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel mogen de beschikbaar gestelde toegangsmiddelen (tokens, pasjes) tot ICS/SCADA en ondersteunende systemen en netwerken alleen gebruiken voor het doel waarvoor ze ontworpen zijn. Hierbij mogen de getroffen beveiligingsmaatregelen niet worden omzeild X X X X
TMe14 Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel houden hun voor het object(en) relevante accountgegevens strikt geheim; zij gebruiken hun account en toegekende autorisaties alleen zelf en staan niet toe dat anderen onder hun account kunnen inloggen of werken. Handelingen zijn altijd te herleiden naar de voor dat account geautoriseerde persoon X X X X
TMe15 Bedienaars, beheerders, opdrachtnemers en overig ondersteunend personeel dienen op ICS/SCADA en de overige ondersteunende ICT�systemen en netwerken de standaard/default/fabrieks- accounts en/of wachtwoorden bij ingebruikname te verwijderen, uit te schakelen of ten minste te wijzigen X X X X
TMe16 Bij het constateren van onregelmatigheden in de logische toegang tot ICS/SCADA en overige ondersteunende ICT-systemen dient iedere medewerker dit onverwijld als een beveiligingsincident te melden bij de Objectverantwoordelijke/-beheerder X X X X
TMe17 Alleen geautoriseerde medewerkers/beheerders mogen systemen koppelen aan objectdatanetwerken of ICS/SCADA-systemen. Deze systemen dienen voorzien te zijn van de laatste security updates, patches en actuele viruscontroleprogrammatuur X X X X
TMe18 Gegevensdragers worden altijd vooraf op malware gecontroleerd, voordat deze worden gekoppeld aan ICS/SCADA- of overige ondersteunende ICT-systemen en netwerken X X X X
TMe19 Mobiele apparatuur en gegevensdragers mogen niet onbeheerd achtergelaten worden in openbare, vergader-, en conferentieruimten, in auto’s of andere vervoermiddelen X X X X
TMe20 Verlies of diefstal van mobiele apparatuur en gegevensdragers dienen zo spoedig mogelijk te worden gemeld als een security incident X X X X
TMe21 Incidenten die zich voordoen binnen het wijzigingsproces en afwijkingen van het wijzigingsproces moeten worden gemeld bij de Objectverantwoordelijke/ -beheerder X X X X
TMe22 Onregelmatigheden, incidenten en storingen binnen het back-up en recovery proces moeten worden gemeld bij de Objectverantwoordelijke/ -beheerder X X X X
TMe23 Beheerders, bedienaars, opdrachtnemers en overig ondersteunend personeel zorgen ervoor dat onbeheerde ICS/SCADA-systemen en overige ICT-apparatuur worden vergrendeld, ondersteund door een automatische vergrendeling na een vooraf in te stellen periode van inactiviteit X X X X
TMe24 Bedienaars, beheerders, opdrachtnemers en overig personeel zijn zich bewust van de wijze waarop zij met vertrouwelijke informatie om dienen te gaan, van het aanmaken en gebruiken van informatie tot vernietiging ervan X X X X
TMe25 Medewerkers van opdrachtnemers die beheer- en onderhoudswerkzaamheden uitvoeren aan ICT-en IA-systemen van de objecteigenaar hebben een bewustwordingstraining voor cybersecurity gevolgd waarbinnen ook aandacht is besteed aan het vertrouwelijk omgaan met persoonsgegevens. Voor deze medewerkers geldt verder dat zij strikte geheimhouding in acht nemen en over een Verklaring Omtrent het Gedrag (VOG) beschikken zoals contractueel overeengekomen. De bewustwording en awareness trainingen besteden ook aandacht aan Sociaal Engineering X X X X
TMe26 Medewerkers mogen zonder voorafgaande goedkeuring geen apparatuur, informatie of software van de locatie meenemen X X X X
TMe27 Het is voor gebruikers niet toegestaan zelf software te installeren X X X X


2.7.2 Managers[bewerken]

Manager WN WN WN WN Aanwezig Gebruikt Gestuurd
No. Vereiste 1 2 3 4
TMa1 Er dient bewerkstelligd te worden dat een ieder continu (dus ook bij aanstelling en functiewisseling) bewust wordt gemaakt door objectbeheerder en valideerbaar) geschikte training, regelmatige bijscholing krijgt (en ook begrijpt) en geïnformeerd wordt met betrekking tot het (cybersecurity) beveiligingsbeleid, procedures, en verantwoordelijkheden ten aanzien van cybersecurity, voor zover relevant voor hun functie. De voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging zijn toegankelijk. Een ieder die zich bezig houdt met risicomanagement dient hier kennis van te hebben, dan wel hiervoor specifieke aanvullende training te ontvangen X X X X
TMa2 Objectbeheerder draagt zorg voor en ziet erop toe dat: a. bedienaars, beheerders en overig ondersteunend personeel aantoonbaar kennis hebben van cybersecurity; b. bedienaars, beheerders en overig ondersteunend personeel de periodieke Cybersecurity cursussen, trainingen en e-learningmodulen volgen en een actuele administratie hiervan aanwezig is. Daarbij dient bijgehouden te worden wanneer aanvullende training wenselijk dan wel noodzakelijk is; c. bedienaars, beheerders en overig ondersteunend personeel de beschikking hebben over actuele (technische) beheerdocumentatie, gebruikers- en/of installatiehandleidingen voor de ICS/SCADA en overige ondersteunende ICT-systemen en bedrijfsmiddelen; d. werkzaamheden door gescreend personeel uitgevoerd worden en dat geheimhouding is overeengekomen voor ingehuurd personeel; Objectverantwoordelijke/-beheerder bepaalt in welke situaties dit aan de orde is en de vorm waarin; e. ingehuurd personeel een geheimhoudingsverklaring heeft ondertekend; f. bedienaars, beheerders en overig intern en extern ondersteunend personeel alle bedrijfsmiddelen, ICS/SCADA en overige ondersteunende ICT-systeemdocumentatie van objecten die ze in hun bezit hebben, retourneren bij beëindiging van hun dienstverband, contract of overeenkomst; g. de toegangsrechten van alle bedienaars, beheerders en overig intern en extern ondersteunend personeel de verstrekte toegangsmiddelen direct worden geblokkeerd bij beëindiging van het dienstverband, het contract of na wijziging van de overeenkomst worden aangepast. Objectbeheerder dient veranderingen van personeel of subcontractors die toegang hebben tot de besturingssystemen van objecten ook direct kenbaar te maken aan objecteigenaar; h. dat calamiteitenplannen worden betrokken in de bewustwordingstrainingen, trainingen en testactiviteiten; i. gebruik van de centraal beschikbaar gestelde technische middelen voor fysieke en logische toegang op medewerkers niveau X X X X
TMa3 De Opdrachtnemer/objectverantwoordelijke/-beheerder/verantwoordelijk management bespreken en evalueren in de periodieke werkoverleggen de beveiligingsincidenten van de afgelopen periode, hoe op dergelijke incidenten is geacteerd, hoe het beter kan en hoe deze in de toekomst kunnen worden vermeden alsmede de feedback van de bewustwordingsactiviteiten en specifieke trainingen. Feedback van medewerkers dient actief te worden opgevolgd teneinde cybersecurity te verbeteren X X X
TMa4 Er wordt op toe gezien (en contractueel vastgelegd) dat werknemers en ingehuurd personeel zich houden aan de gedragsregels voor beveiliging, zoals fysieke en logische toegang, melding van beveiligingsincidenten en gebruik van bedrijfsmiddelen. Voor zover controle op naleving van gedragsregels mogelijk is, wordt hiervoor een controleprogramma met steekproefsgewijze controles vastgesteld en uitgevoerd X X
TMa5 Cybersecurity wordt in de functioneringsgesprekken besproken met medewerkers en beheerders en maakt hiertoe opleidingsplannen waarbij wordt toegezien op uitvoering X X X X
TMa6 Objectbeheerder dient bij het constateren van onregelmatigheden in de logische toegang tot ICS/SCADA en overige ondersteunende ICT-systemen uit voorzorg altijd het betreffende account en wachtwoord te blokkeren en, na controle, eventueel zowel het account als het wachtwoord te laten wijzigen X X X X

Een individu die werkactiviteiten uitvoert in opdracht van de organisatie.

De bedrijfsfunctie Management is ervoor verantwoordelijk dat door het plannen, doen uitvoeren, verantwoorden, bijsturen en gericht beïnvloeden van activiteiten de doelstellingen van de waterschappen gerealiseerd worden.

de kans op functieverlies vermenigvuldigd met de economische en maatschappelijke gevolgschade.

Groepering van bedrijfsobejcten die een geo-referenite hebben.

groepering van bedrijfsobjecten die betrekking hebben op het onderhouden, bedienen, monitoren van de assets

Ieder menselijk handelen waarbij, of ieder menselijk nalaten waardoor een verandering of effect in de fysieke leefomgeving wordt of kan worden bewerkstelligd. In de Toepasbare en Juridische regel gaat dit om een Activiteittype. In het Verzoek betreft het een instantie/voorkomen van een Activiteittype, de daadwerkelijke Activiteit zelf. Voor de leesbaarheid wordt hier in beide gevallen Activiteit als term gebruikt. (uit: CIM-OW)

Groepering van bedrijfsobjecten die binnen een waterschap worden ingezet voor het uitvoeren van de dienstverlening

(1) Een bepaalde toestand die men in de toekomst wil bereiken. (2) Een te bereiken effect (een verandering, verbetering, vernieuwing) waarop men zich in het kader van een project richt.

Een standaard is een afspraak tussen organisaties of afdelingen om in specifieke situaties gebruik te maken van een bepaald voorgedefinieerd formaat of protocol.

Een individu die werkactiviteiten uitvoert in opdracht van de organisatie.

Een natuurlijk persoon met een tijdelijk of vaste dienstbetrekking of met een inhuurcontract met het waterschap.

Een verzameling activiteiten die in samenhang plaatsvinden, gericht op een beoogd resultaat en met een zekere mate van herhaalbaarheid.

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Een locatie is een gebied of een gebiedengroep. Een locatie kan ook een lijn of een punt zijn. De locatie beschrijft de ruimtelijke dimensie of ruimtelijke afbakening van een regel. Deze afbakening wordt werkingsgebied genoemd. Anders gezegd, de locatie is het werkingsgebied waar een regel geldt. (uit: CIM-OW)

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Het hanteren van een samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een gewenst niveau van beschikbaarheid, integriteit en vertrouwelijkheid van (stuur-)informatie en informatiesystemen die gebruikt worden binnen een organisatie.

Bewerkstelligen dat vastgesteld beleid in de fysieke leefomgeving nageleefd wordt.

Een schriftelijk vastgelegde overeenkomst tussen twee partijen.

Afspraak tussen twee partijen waarbij kenmerkend is dat men zich vooraf bindt aan de te leveren prestaties.

Overgenomen van "https://www.wilmaonline.nl/index.php?title=2.7_Maatregelen_bewustwording_en_training&oldid=83019"