2.9 Maatregelen beheer en onderhoud
- Mens
| Mens | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| OM1 | Voor bewustwording, gedragsregels en training van bedienaars, beheerders en overig ondersteunend personeel wordt verwezen naar paragraaf 2.7 de maatregelenset “bewustwording en training” van de Cybersecurity Implementatierichtlijn Objecten | X | X | X | X |
- Procedures en Organisatie
| Procedures en Organisatie | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| OP1 | Objectbeheerder draagt zorg voor het evalueren van risico’s en effectieve werking van de getroffen beheersmaatregelen voor beveiliging in het kader van life-cycle management | X | X | X | X | |||
| OP2 | Objectbeheerder draagt zorg voor en ziet erop toe dat waar nodig in de beheer en onderhoudscontracten met onderaannemers: a. geheimhouding is opgenomen; b. training- en opleidingsvereisten alsmede overige benodigde certificeringen zijn beschreven; c. screening van personeel is geregeld (bijv. VOG); d. beschreven is dat de beveiligingshuisregels van Opdrachtgever strikt in acht moeten worden genomen; e. een concrete procedure is vastgelegd met betrekking tot incidentresponse en voor escalatieprocedures met de leverancier (24*7) en dat deze bij alle betrokkenen bekend is; f. de procedures voor fysieke toegang tot objecten en ruimten, alsook de logische toegang tot systemen zijn vastgelegd; g. de registratie en rapportage van beveiligingsincidenten is geregeld; h. beschreven is dat handelingen van medewerkers en systemen worden gelogd en gemonitord; i. de procedure “Toegang Derden” van de objecteigenaar voor de logische toegang tot netwerken en systemen moet worden gevolgd. De tijdelijke toegang tot de systemen ten behoeve van ondersteuning dient geautoriseerd te zijn en handelingen dienen te worden gelogd; j. beschreven is dat onderhoud en wijzigingen op ICS/SCADA-systemen alleen uitgevoerd mogen worden vanaf systemen die zijn voorzien van de laatste security updates, patches en actuele viruscontroleprogrammatuur; k. beschreven is dat netwerkkoppelingen op objectnetwerken altijd en strikt via de beveiligde centrale voorzieningen van de objecteigenaar verlopen; l. beschreven is dat wijzigingen conform het wijzigingsproces van de objecteigenaar mogen worden uitgevoerd; m. beschreven is dat patchen strikt conform de patchrichtlijnen en doorlooptijden van de objecteigenaar moeten worden uitgevoerd; n. beschreven is hoe omgegaan moet worden met alarmvoorzieningen van het object en de alarmopvolging; o. beschreven is dat het ongeautoriseerd koppelen van removable media en usb sticks aan het objectnetwerk van de objecteigenaar strikt verboden is | X | X | X | X | |||
| OP4 | Objectbeheerder draagt zorg voor de beschikbaarheid, onderhoud en accuraat houden van (technische) beheerdocumentatie (waaronder fysieke en logische netwerktekeningen, verbindingen en configuratie documenten en een inventaris van alle apparatuur en software, inclusief versie- en serienummers), gebruikers- en/of installatiehandleidingen voor de ICT- en IA-systemen alsmede procedures voor het opnieuw opstarten en herstellen van het systeem in geval van systeemstoringen | X | X | X | X | |||
| OP5 | Objectbeheerder draagt zorg voor een geborgde procedure die de personele toegang van al het vaste onderhoudspersoneel regelt voorafgaand aan de uitvoering van werkzaamheden | X | X | |||||
| OP6 | Objectbeheerder houdt toezicht op de operationele uitvoering en naleving van: a. het doorvoeren van wijzigingen conform de wijzigingen procedure; b. de procedure voor fysieke toegang; c. de procedure voor logische toegang; d. patching, back-up procedure en bewaartermijnen; e. incidentmanagement, log- en incidentrapportages en de analyse daarvan | X | X | X | X | |||
| OP7 | Objectbeheerder dient jaarlijks de opzet, het bestaan en de werking van de getroffen maatregelen te (laten) onderzoeken, evalueren en bij te stellen. De resultaten dienen te worden gerapporteerd aan de objecteigenaar en het Cybersecurity Beveiligingsplan bijgewerkt en voorgelegd te worden aan de objecteigenaar | X | X | X | ||||
| OP8 | Bedrijfsvertrouwelijke informatie is alleen op basis van het ‘need-to-know’-principe toegankelijk | X | X | X | X | |||
| OP9 | Objecteigenaar en objectbeheerder zijn vanaf het moment van ontvangst van informatie verantwoordelijk om binnen de eigen organisatie de ontsluiting en verwerking van de informatie op de afgesproken werkwijze van ‘need-to-know’ te verzorgen | X | X | X | X | |||
| OP10 | Geprinte exemplaren van documenten met classificatie Bedrijfsinformatie dienen in afgesloten kasten bewaard te worden. Bij digitale opslag in de eigen kantooromgeving is versleuteling niet verplicht | X | X | X | X | |||
| OP11 | Objectbeheerder dient erop toe te zien dat zowel actieve als passieve apparaten worden gecontroleerd op malware voordat deze worden verbonden met, of gebruikt in, de IA-omgeving | X | X | X | X | |||
| OP12 | Het koppelen van beheer- en onderhoudsapparatuur aan ICT- en IA-systemen bij een object, dient op veilige wijze te gebeuren | X | X | X | X | |||
| OP13 | Apparatuur dient correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen | X | X | X | X |
- Techniek
| Techniek | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| OT1 | Voor de fysieke toegang (ICT-deel) van bedienaars, beheerders en overig ondersteunend personeel tot objecten en de ruimten hierbinnen, wordt gebruikt gemaakt van de PDC (Product en Diensten Catalogus) producten en diensten van de objecteigenaar | X | X | X | X | |||
| OT2 | Voor (remote) logische toegang van bedienaars en beheerders tot het netwerk en ICS/SCADA-systemen wordt gebruikt gemaakt van de PDC-producten en -diensten van de objecteigenaar | X | X | X | X | |||
| OT3 | Gedurende FAT, SAT en onderhoud dient de werking van de cybersecurityfuncties in de systemen te kunnen worden aangetoond | X | X | X | X | |||
| OT4 | Gedurende FAT, SAT en onderhoud dient de werking van de cybersecurityfuncties in de systemen geautomatiseerd te kunnen worden aangetoond, waar mogelijk middels tooling | X | X | |||||
| OT5 | Het koppelen van beheer- en onderhoudsapparatuur aan ICT- en IA-systemen bij een object dient op veilige wijze te gebeuren | X | X | X | X |