CyberFundamentals-Rahmenwerk

CyberFundamentals-Anforderung

Brainframe-Lösung

ID.AM-1: Physische Geräte und Systeme, die innerhalb der Organisation verwendet werden, sind inventarisiert.

Organisationen müssen ein aktuelles Inventar aller Vermögenswerte im Zusammenhang mit der Informationsverarbeitung führen. Dieses Inventar sollte regelmäßig überprüft und aktualisiert werden, um die Verantwortlichkeit sicherzustellen, mit Details wie Gerätetyp, Hersteller, Seriennummern und physischem Standort. Die Verwendung von IT-Asset-Management-Tools wird empfohlen, um diesen Prozess zu optimieren.

• Brainframe bietet ein umfassendes Dokumentenmanagementsystem, in dem Sie alle Ihre physischen Vermögenswerte inventarisieren und in einer Übersicht visualisieren können.
• Sie können die Eigenschaften jedes Vermögenswerts anpassen, um alle wichtigen Informationen wie Gerätetyp, Seriennummer, Eigentümer usw. zu speichern...
• Sie können regelmäßige Überprüfungsdaten für Vermögenswerte festlegen, um sicherzustellen, dass sie auf dem neuesten Stand sind.
• Sie können einen Vermögenswert den relevanten Stakeholdern zuweisen und Benachrichtigungen einrichten, um sicherzustellen, dass sie für das Management des Vermögenswerts verantwortlich sind.

ID.AM-2: Softwareplattformen und Anwendungen, die innerhalb der Organisation verwendet werden, sind inventarisiert.

Organisationen müssen ein detailliertes und aktuelles Inventar aller Softwareplattformen und Anwendungen führen, einschließlich der ausgelagerten. Dieses Inventar sollte wesentliche Details wie Name, Beschreibung, Version und Geschäftszweck abdecken. Regelmäßige Überprüfungen und Aktualisierungen sind erforderlich, und IT-Asset-Management-Tools können verwendet werden, um den Prozess zu optimieren. Die Verantwortung für das Softwaremanagement sollte ebenfalls klar definiert sein.

• Mit dem Dokumentenmanagementsystem von Brainframe können Sie ein Inventar aller Ihrer digitalen Vermögenswerte führen und es in einer Übersicht visualisieren.
• Sie können die Eigenschaften jedes Vermögenswerts anpassen, um alle wichtigen Informationen wie Version, Geschäftszweck, Lieferant usw. zu speichern...
• Sie können regelmäßige Überprüfungsdaten für Vermögenswerte festlegen, um sicherzustellen, dass sie auf dem neuesten Stand sind.
• Sie können einen Vermögenswert den relevanten Stakeholdern zuweisen und Benachrichtigungen einrichten, um sicherzustellen, dass sie für das Management des Vermögenswerts verantwortlich sind.

ID.AM-3: Die organisatorische Kommunikation und Datenflüsse sind abgebildet.

Organisationen müssen die Arten von Informationen identifizieren und kartieren, die sie speichern und verwenden, und diese Daten mit physischen Geräten, Systemen und Softwareplattformen verknüpfen. Alle Verbindungen innerhalb der ICT/OT-Umgebung sollten dokumentiert, genehmigt und regelmäßig aktualisiert werden. Diese Dokumentation muss Details zu Schnittstellen, Datenmerkmalen, Sicherheitsanforderungen und Protokollen enthalten.

• Brainframe ermöglicht es Ihnen, ein Dokument mit einem anderen zu verknüpfen und die Abhängigkeiten in einer Übersicht darzustellen.
• Sie können jedem Asset Eigenschaften hinzufügen, um eine ordnungsgemäße Dokumentation sicherzustellen.
• Um den Datenfluss zu visualisieren, haben Sie Zugriff auf einen Diagrammersteller, mit dem Sie die Assets grafisch untereinander abbilden und den Informationsfluss steuern können.
• Um sicherzustellen, dass Ihre Dokumentation genehmigt und aktuell ist, können Sie regelmäßige Überprüfungen planen, um die Stakeholder automatisch zu benachrichtigen, dass eine Überprüfungsaktion erforderlich ist.

ID.AM-4: Externe Informationssysteme sind katalogisiert.

Organisationen müssen alle externen Dienste und deren Verbindungen kartieren, dokumentieren, autorisieren und regelmäßig aktualisieren. Dazu gehören Systeme, über die die Organisation keine direkte Kontrolle hat, wie Cloud-Dienste, SaaS und APIs. Informationsflüsse zu und von externen Systemen sollten ebenfalls dokumentiert und bei Bedarf aktualisiert werden, wobei externe Dienstanbieter verpflichtet sind, die Funktionen, Ports, Protokolle und Dienste anzugeben, die für diese Verbindungen erforderlich sind.

• Brainframe ermöglicht es Ihnen, alle Ihre Assets in einem umfassenden Dokumentenmanagementsystem zu erstellen und anzupassen, einschließlich externer.
• Sie können Ihre benutzerdefinierten Formulare an externe Lieferanten senden und von ihnen verlangen, eine Aktion wie das Ausfüllen oder Genehmigen Ihrer Dokumentation vorzunehmen.
• Sie können Ihre externen Assets ganz einfach mit einer Übersicht visualisieren.
• Sie können Ihre Lieferanten mit dem Modul "Lieferanten" im Auge behalten, wo Sie auch die mit diesen Lieferanten verbundenen Vermögenswerte visualisieren können.

ID.AM-5: Ressourcen werden basierend auf ihrer Klassifizierung, Kritikalität und Geschäftswert priorisiert.

Organisationen sollten ihre Ressourcen, einschließlich Hardware, Software, Daten und Personal, basierend auf ihrer Klassifizierung, Kritikalität und Geschäftswert priorisieren. Dies beinhaltet die Bewertung der potenziellen Auswirkungen von Daten, die offengelegt, beschädigt oder unzugänglich sind. Ressourcen sollten kategorisiert werden (z. B. Öffentlich, Intern, Vertraulich) und klar kommuniziert werden, um eine ordnungsgemäße Handhabung sicherzustellen. Die Klassifizierung sollte Vertraulichkeit, Integrität und Verfügbarkeit (C-I-A) berücksichtigen, um einen umfassenden Schutz der Vermögenswerte zu gewährleisten.

• Mit Brainframes Konzept "Alles ist ein Dokument" können Sie die Eigenschaften jedes Vermögenswerts einfach ändern und Vorlagen erstellen, wenn Sie diese wiederverwenden möchten, um ihm ein Kritikalitätsniveau, einen Geschäftswert oder eine Klassifizierung zuzuweisen.
• Das Risikomodul ermöglicht es Ihnen, das Risiko im Zusammenhang mit einem Vermögenswert zu bewerten und es gemäß Ihren geschäftlichen Anforderungen zu konfigurieren, damit Sie einen besseren Überblick darüber haben, wo Ressourcen zugewiesen werden sollten.
• Brainframe verfügt über ein vorkonfiguriertes Klassifizierungssystem für Vertraulichkeit, Integrität und Verfügbarkeit.
• Sie können Ihre Risiken basierend auf ihren Kritikalitätsstufen visualisieren.

ID.AM-6: Cybersecurity-Rollen, -Verantwortlichkeiten und -Befugnisse für die gesamte Belegschaft und Dritte sind festgelegt.

Organisationen müssen die Rollen, Verantwortlichkeiten und Befugnisse im Bereich Informationssicherheit und Cybersicherheit dokumentieren, überprüfen und aktualisieren, um die Übereinstimmung mit internen und externen Interessengruppen sicherzustellen. Dies beinhaltet die klare Definition, wer für verschiedene Sicherheitsaufgaben verantwortlich, rechenschaftspflichtig, konsultiert und informiert ist. Wichtige Funktionen, einschließlich rechtlicher Aspekte und Bedrohungserkennung, sollten gut etablierte Rollen haben, und die Verantwortlichkeiten sollten sich auch auf Drittanbieter erstrecken, die Zugang zur ICT/OT-Umgebung der Organisation haben.

• Das Dokumentenmanagementsystem von Brainframe ermöglicht es Ihnen, Rollen für Ihre Cybersicherheitsinitiativen zu erstellen und diese einem beliebigen Mitarbeiter zuzuweisen.
• Die Eigenschaften jeder Rolle sind vollständig anpassbar, sodass Sie alle Aufgaben definieren können, die einem Stakeholder zugewiesen sind.
• Mit dem Modul zur Aufgabenverwaltung können Sie eine Aufgabe jeder Rolle zuweisen, und der relevante Stakeholder wird benachrichtigt, egal ob er intern oder extern ist.
• Der Stakeholder kann alle seine Aufgaben in einer Kanban-Ansicht visualisieren, um seine Verantwortlichkeiten im Blick zu behalten.

CyberFundamentals-Anforderung

Brainframe-Lösung

ID.BE-1: Die Rolle der Organisation in der Lieferkette ist identifiziert und kommuniziert.​

Organisationen müssen ihre Rolle innerhalb der Lieferkette identifizieren, dokumentieren und kommunizieren und dabei klar verstehen, wer upstream und downstream ist. Dazu gehört die Anerkennung, welche Lieferanten kritische Dienstleistungen, Produkte oder Fähigkeiten bereitstellen. Die Organisation sollte auch sicherstellen, dass ihre Position und Bedeutung innerhalb der Lieferkette sowohl den upstream- als auch den downstream-Partnern klar kommuniziert werden.

• Unser spezielles "Lieferanten"-Modul ermöglicht es Ihnen, Ihre Lieferanten basierend auf Kritikalität, Position, Bedeutung oder einer anderen von Ihnen konfigurierten Eigenschaft zu klassifizieren.
• Es ermöglicht Ihnen auch, sie mit den Dienstleistungen oder Produkten zu verknüpfen, die sie anbieten.

ID.BE-3: Prioritäten für die organisatorische Mission, Ziele und Aktivitäten werden festgelegt und kommuniziert.

Organisationen müssen klare Prioritäten für ihre Geschäftsziele und Aktivitäten festlegen und kommunizieren. Dazu gehört die Bestimmung und Priorisierung der organisatorischen Mission und Ziele sowie die Bewertung der Informationsschutzbedürfnisse. Prozesse sollten bei Bedarf angepasst werden, um mit diesen Prioritäten in Einklang zu stehen und eine praktische und erreichbare Sicherheitsstrategie zu gewährleisten.

• Brainframe hilft bei der Erstellung, Dokumentation und Verteilung von Sicherheitsrichtlinien, die mit den Geschäftsziele übereinstimmen, und sorgt für Konsistenz in der gesamten Organisation.
• Mit dem Risikomodul können Sie die Risiken im Zusammenhang mit verschiedenen Vermögenswerten und Prozessen leicht bewerten, was hilft, Aktivitäten basierend auf ihrer Kritikalität und geschäftlichen Auswirkungen zu priorisieren.
• Verfolgt die Einhaltung der festgelegten Ziele und Standards und sendet Warnungen bei Abweichungen, was sicherstellt, dass die Prioritäten konsequent eingehalten werden.

ID.BE-4: Abhängigkeiten und kritische Funktionen für die Bereitstellung kritischer Dienstleistungen werden festgelegt.

Organisationen müssen Abhängigkeiten und geschäftskritische Funktionen identifizieren, dokumentieren und priorisieren, die für die Bereitstellung wesentlicher Dienstleistungen erforderlich sind. Dieser Prozess sollte in die gesamte Risikoanalyse integriert werden, um sicherzustellen, dass alle kritischen Komponenten, einschließlich Unterstützungsdienste, erkannt und basierend auf ihrer Bedeutung für die Geschäftskontinuität verwaltet werden.

• Mit dem Dokumentenmanagementsystem können Sie Funktionen den Dienstleistungen zuordnen und die Abhängigkeiten zwischen ihnen leicht visualisieren.
• Bei der Durchführung Ihrer Risikoanalyse können Sie die Kritikalität von Funktionen basierend auf ihrer Bedeutung für Ihre wesentliche Dienstleistung definieren.
• Brainframe bietet einen umfassenden Überblick über diese Risiken, um Ihnen zu helfen, basierend auf Risikoniveau und Funktionswichtigkeit Prioritäten zu setzen.

ID.BE-5: Resilienzanforderungen zur Unterstützung der Bereitstellung kritischer Dienstleistungen sind für alle Betriebszustände festgelegt.

Organisationen müssen die notwendigen Anforderungen für Cyber-Resilienz identifizieren, dokumentieren und testen, mit Genehmigung für deren Umsetzung. Dazu gehören Mechanismen wie Ausfallsicherheitssysteme, Lastverteilung und Redundanz in Daten- und Netzwerk-Infrastrukturen. Effektive Praktiken des Business Continuity Managements (BCM), einschließlich Business Impact Analysis (BIA), Disaster Recovery Plan (DRP) und Business Continuity Plan (BCP), sind entscheidend für die Aufrechterhaltung der Serviceverfügbarkeit. Darüber hinaus sollten Organisationen Wiederherstellungszeitziele (RTO) und Wiederherstellungspunktziele (RPO) definieren, um eine schnelle Wiederherstellung wesentlicher Systeme zu gewährleisten.

• Brainframe bietet Vorlagen für Business Continuity Plans (BCP), Dokumente zur Business Impact Analysis (BIA) und Disaster Recovery Plans (DRP), um Ihnen zu helfen, Ihre Richtlinien an Ihre Abläufe anzupassen.
• Sie können Ihre Richtlinien direkt im Tool an die relevanten Stakeholder zur Genehmigung senden und eine Aktion anfordern, um sicherzustellen, dass sie diese abschließen.
• Sie können Überprüfungsdaten direkt an Vermögenswerte zuweisen, um sicherzustellen, dass sie aktuell sind.
• Für jedes identifizierte Risiko können Sie eine Kontrolle erstellen und visualisieren, wie sie das Risiko beeinflusst, mit einem umfassenden Überblick über das ursprüngliche Risiko und das verbleibende Risiko.

CyberFundamentals-Anforderung

Brainframe-Lösung

ID.GV-1: Die organisatorische Cybersecurity-Politik ist festgelegt und kommuniziert.

Organisationen müssen Richtlinien und Verfahren für Informationssicherheit und Cybersicherheit festlegen, dokumentieren und regelmäßig überprüfen. Diese Richtlinien sollten akzeptable Praktiken, Rollen, Verantwortlichkeiten und Erwartungen zum Schutz der Ressourcen der Organisation klar umreißen. Die Richtlinien müssen für alle Mitarbeiter zugänglich sein, für Schulungen verwendet werden und mindestens einmal jährlich oder bei Änderungen in der Organisation oder Technologie aktualisiert werden. Die Geschäftsführung muss diese Richtlinien genehmigen und in der gesamten Organisation verbreiten, um die Koordination zwischen den verschiedenen Sicherheitsfunktionen während des Lebenszyklus von IKT/OT-Systemen sicherzustellen.

• Brainframe bietet eine Reihe von integrierten Vorlagenrichtlinien und -verfahren an, um Ihnen bei Ihrer Dokumentation zu helfen. Diese sind vollständig anpassbar und an die Bedürfnisse Ihrer Organisation anpassbar.
• Sie können dieses Dokument mit den relevanten Stakeholdern und Verantwortlichen teilen, Aufgaben wie die Genehmigung oder Überprüfung des Dokuments zuweisen und verfolgen, ob der Verantwortliche seine Aufgabe abgeschlossen hat, was besonders nützlich ist, um die Geschäftsführung einzubeziehen.
• Sie können Dokumente direkt über Brainframe an Ihre Mitarbeiter senden, um sie über Ihre Richtlinien und Verfahren auf dem Laufenden zu halten.

ID.GV-3: Rechtliche und regulatorische Anforderungen an die Cybersicherheit, einschließlich Datenschutz- und Bürgerrechtsverpflichtungen, sind verstanden und werden verwaltet.

Organisationen müssen sicherstellen, dass die rechtlichen und regulatorischen Anforderungen in Bezug auf Informationen und Cybersicherheit, einschließlich der Datenschutzverpflichtungen, vollständig verstanden, umgesetzt und verwaltet werden. Regelmäßige Überprüfungen sind notwendig, um die kontinuierliche Einhaltung zu gewährleisten, und diese Anforderungen gelten auch für Auftragnehmer und Dienstleister, die möglicherweise mit sensiblen Informationen umgehen oder Zugang dazu haben.

• Im Modul "Workbench" haben Sie Zugriff auf eine umfassende Übersicht über Ihren rechtlichen und regulatorischen Status. Dies ermöglicht es Ihnen, Ihre regulatorischen Prozesse in eine Kanban-Ansicht zu übersetzen und einen guten Überblick über Ihren Fortschritt zu haben.
• Jedes Anforderungsdokument kann im Workbench-Modul dokumentiert, zur Überprüfung eingeplant und verwaltet werden.
• Optional können Sie Ihr rechtliches und regulatorisches Dokument direkt im Modul "Risiken" für ein weiteres Risikomanagement hinzufügen.

ID.GV-4: Governance- und Risikomanagementprozesse adressieren Cybersecurity-Risiken.

Eine umfassende Strategie zur Verwaltung von Informationssicherheits- und Cybersecurity-Risiken muss als Teil des gesamten Risikomanagements des Unternehmens entwickelt werden. Diese Strategie sollte die Zuweisung der notwendigen Ressourcen zum Schutz geschäftskritischer Vermögenswerte umreißen und sicherstellen, dass alle identifizierten Risiken dokumentiert, formell genehmigt und regelmäßig aktualisiert werden, um Änderungen zu berücksichtigen. Die Nutzung von Risikomanagement-Tools kann diesen Prozess optimieren.

• Mit Brainframe haben Sie Zugriff auf alle Werkzeuge, um Cybersecurity-Risiken zu identifizieren, zu bewerten und zu priorisieren, und gewährleisten ein klares Verständnis potenzieller Bedrohungen über das Risiko-Modul.
• Brainframe ermöglicht es Ihnen, ein umfassendes Protokoll aller identifizierten Risiken, genehmigten Strategien und Minderungspläne zu führen, was einfache Aktualisierungen und Zugriffe gewährleistet.
• Haben Sie einen klaren Überblick über Ihre Risikolandschaft mit einer Risikomatrix, die an Ihren Risikomanagementprozess anpassbar ist, und weisen Sie Ihre Ressourcen entsprechend Ihren Bedürfnissen zu.

CyberFundamentals-Anforderung

Brainframe-Lösung

ID.RA-1: Vermögensanfälligkeiten werden identifiziert und dokumentiert.

Organisationen müssen einen Prozess einrichten, um kontinuierlich Schwachstellen in ihren geschäftskritischen Systemen zu überwachen, zu identifizieren und zu dokumentieren. Effektives Schwachstellenmanagement umfasst regelmäßiges Scannen, Testen und Validieren, um sicherzustellen, dass potenzielle Risiken identifiziert und adressiert werden, ohne den normalen Betrieb zu stören.

• Sie können Ihre eigenen Risiken erstellen oder eines der gängigen Risiken verwenden, die in die Software integriert sind, und es einem beliebigen Asset in Ihrem Inventar zuweisen.
• Brainframe bietet ein Dashboard, um Schwachstellen zu dokumentieren, zu verfolgen und zu priorisieren, was effiziente Risikominderungsmaßnahmen ermöglicht.
• Sie können eine regelmäßige Prüfung aller Schwachstellen einrichten und diese gemäß ihrer Kritikalität mithilfe des Task-Management-Moduls priorisieren und Ihren Fortschritt in einer Kanban-Ansicht visualisieren.

ID.RA-5: Bedrohungen, Schwachstellen, Wahrscheinlichkeiten und Auswirkungen werden verwendet, um Risiken zu bestimmen.

Organisationen müssen umfassende Risikoanalysen durchführen, um Risiken basierend auf identifizierten Bedrohungen, Schwachstellen und deren Auswirkungen auf Geschäftsprozesse und Vermögenswerte zu bewerten. Diese Bewertungen sollten sowohl interne als auch externe Bedrohungen berücksichtigen und die potenziellen Konsequenzen für die Vertraulichkeit, Integrität und Verfügbarkeit von Vermögenswerten bewerten. Organisationen werden ermutigt, sowohl qualitative als auch quantitative Analysemethoden zu verwenden und die Ergebnisse zu dokumentieren. Die Ergebnisse der Risikoanalyse sollten den relevanten Interessengruppen mitgeteilt werden, um sicherzustellen, dass angemessene Minderungsmaßnahmen ergriffen werden.

• Dank der Sichtbarkeit, die Sie über Ihre Vermögenswerte und deren Abhängigkeiten haben, können Sie umfassende Risikoanalysen durchführen und sicherstellen, dass Sie nichts versehentlich übersehen.
• Mit der Möglichkeit, Vermögenswerte mit Bedrohungen, Schwachstellen und Geschäftsprozessen zu verknüpfen, können Sie ein Risiko und dessen Auswirkungen leicht bewerten.
• Sie können Ihre Risikobewertungsinitiativen organisieren, indem Sie sie der Abteilung oder Geschäftseinheit zuweisen, die für jedes Asset verantwortlich ist. Diese Methode vereinfacht den Prozess und ermöglicht gleichzeitig eine vollständige Sichtbarkeit in Brainframe, sodass Sie sehen können, wie Assets und Prozesse in verschiedenen Abteilungen miteinander verbunden sind.
• Kommunikationen zu Ihren Ergebnissen der Risikobewertung können innerhalb von Brainframe leicht geteilt werden, was es Ihnen ermöglicht, sie an die Stakeholder zu senden und deren Überprüfung anzufordern.

ID.RA-6: Risikoreaktionen werden identifiziert und priorisiert.

Organisationen müssen eine umfassende Strategie entwickeln und umsetzen, um Risiken für ihre kritischen Systeme zu managen, die die Identifizierung und Priorisierung geeigneter Risikoreaktionen umfasst. Diese Strategie sollte sowohl das Management als auch die Mitarbeiter einbeziehen, klar definieren, welche Assets am kritischsten sind, die potenziellen Auswirkungen ihrer Kompromittierung verstehen und darlegen, wie effektive Minderungsmaßnahmen umgesetzt werden, um diese Assets zu schützen.

• Im Modul "Risiken" haben Sie Zugriff auf verschiedene Werkzeuge, die Ihnen helfen können, Ihre Risikostrategie zu verwalten.
• Die Risikomatrix kann bei der Risikopriorisierung helfen und Ihnen einen umfassenden Überblick über Ihre Risiken entsprechend ihrem Kritikalitätsgrad geben.
• Sie können Ihre Risikoreaktionsstrategie für die Zukunft planen, um einen klaren Überblick über die Risikominderung zu erhalten.
• Sie können Ihre Risikostufen für die Zukunft visualisieren, um sicherzustellen, dass Ihre geplanten Minderungsmaßnahmen effizient genug sind, um Ihre Risiken auf das gewünschte Niveau zu reduzieren.

CyberFundamentals-Anforderung

Brainframe-Lösung

ID.RM-1: Risikomanagementprozesse sind etabliert, verwaltet und von den organisatorischen Stakeholdern vereinbart.

Organisationen müssen einen Prozess für das Management von Cyberrisiken etablieren, der wichtige interne und externe Stakeholder identifiziert. Dieser Prozess sollte die effektive Handhabung von risikobezoogenen Themen und Informationen erleichtern. Er sollte gründlich dokumentiert, regelmäßig überprüft und bei Änderungen aktualisiert werden. Externe Stakeholder können Kunden, Investoren, Aktionäre, Lieferanten, Regierungsbehörden und die breitere Gemeinschaft umfassen.

• Brainframe ermöglicht es Ihnen, Risiken ihren Stakeholdern zuzuordnen, unabhängig davon, ob sie intern oder extern sind.
• Sie können die Eigenschaften jedes identifizierten Risikos anpassen und alle relevanten Informationen einbeziehen.
• Wenn eine Maßnahme wie eine Überprüfung oder ein Update für ein Risiko erforderlich ist, können Sie den relevanten Stakeholder schnell benachrichtigen und eine Maßnahme anfordern, um sicherzustellen, dass er in den Prozess einbezogen wird.

ID.RM-2: Die Risikotoleranz der Organisation wird bestimmt und klar ausgedrückt.

Organisationen müssen ihre Risikobereitschaft klar definieren und sicherstellen, dass sie mit ihren Informationssicherheits- und Cybersicherheitsrichtlinien übereinstimmt. Diese Kohärenz zwischen Risikotoleranz und Sicherheitsmaßnahmen hilft, einen konsistenten und strategischen Ansatz zum Management von Risiken zu demonstrieren.

• Sie können Ihre Risikotypen vollständig anpassen, entweder mit Ihren eigenen benutzerdefinierten Methoden oder mit der integrierten von Brainframe.
• Sie können Ihre Risikobereitschaft definieren, und Ihre Risikomatrix zeigt automatisch an, welche Risiken für Sie inakzeptabel sind, basierend auf Ihrer Konfiguration, was Ihnen bei Ihren Priorisierungsbemühungen hilft.

CyberFundamentals-Anforderung

Brainframe-Lösung

ID.SC-1: Prozesse des Risikomanagements in der Cyber-Lieferkette werden von den organisatorischen Stakeholdern identifiziert, etabliert, bewertet, verwaltet und vereinbart.

Organisationen müssen einen dokumentierten Prozess für das Risikomanagement in der Cyber-Lieferkette einrichten, der regelmäßig überprüft, genehmigt und bei Änderungen aktualisiert wird. Dieser Prozess sollte die Identifizierung, Bewertung und Minderung von Risiken, die sich aus der vernetzten Natur von ICT/OT-Produkten und Dienstleistungslieferketten ergeben, erleichtern und ein umfassendes Management der Sicherheit der Lieferkette gewährleisten.

• Wie bei allen anderen Vermögenswerten oder Prozessen können Sie die Risiken im Zusammenhang mit Ihren Lieferanten direkt in Brainframe verwalten.
• Sie können Aufgaben an Ihre Lieferanten senden, auch wenn sie extern sind, und Genehmigungen, Überprüfungen oder Aktualisierungen von Dokumentationen anfordern und deren Beteiligung am Risikomanagementprozess sicherstellen.
• Im Modul Lieferanten haben Sie Zugriff auf eine umfassende Übersicht über Ihre Lieferanten und alle Vermögenswerte oder Prozesse, mit denen sie verbunden sind.

ID.SC-2: Lieferanten und Drittpartner von Informationssystemen, Komponenten und Dienstleistungen werden identifiziert, priorisiert und mithilfe eines Prozesses zur Risikobewertung in der Cyber-Lieferkette bewertet.

Organisationen müssen mindestens einmal im Jahr oder immer dann, wenn es Änderungen an kritischen Systemen, der Betriebsumgebung oder der Lieferkette gibt, Risikobewertungen in der Cyber-Lieferkette durchführen. Diese Bewertungen sollten dokumentiert und die Ergebnisse mit den relevanten Stakeholdern geteilt werden. Darüber hinaus sollten Organisationen eine aktuelle Liste von Lieferanten, Anbietern und Partnern sowohl online als auch offline führen, die deren Kontaktdaten und die von ihnen angebotenen Dienstleistungen umfasst.

• Mit Brainframe können Ihre Systeme, Komponenten und ausgelagerte Dienstleistungen genauso verwaltet werden, als wären sie intern, und die gleichen Risikomanagementprozesse können auf sie angewendet werden.
• Sie können ein dediziertes "Lieferanten-Onboarding" im Modul "Formulare" durchführen.
• Mit den erweiterten Formularen können Sie die Antworten auf die Fragen nutzen, um automatisch eine Risikoanalyse für eine erste Bewertung durchzuführen, was Ihnen viel Zeit spart.
• Vermögenswerte und Prozesse, die von einem externen Anbieter verwaltet werden, können identifiziert werden, indem sie mit einem Lieferanten verknüpft werden.
• Alle Informationen, die mit einem Lieferanten in Verbindung stehen und für Ihre Organisation relevant sind, können im Lieferantenmodul verfolgt werden.

ID.SC-3: Verträge mit Lieferanten und Drittanbietern werden verwendet, um geeignete Maßnahmen zu implementieren, die darauf abzielen, die Ziele des Cybersecurity-Programms und des Cyber Supply Chain Risk Management Plans einer Organisation zu erreichen.

Basierend auf den Ergebnissen von Bewertungen der Risiken in der Cyber-Lieferkette sollten Organisationen einen vertraglichen Rahmen mit Lieferanten und externen Partnern schaffen, um den Austausch sensibler Informationen und miteinander verbundener ICT/OT-Produkte und -Dienstleistungen zu verwalten. Verträge sollten spezifische Anforderungen an die Informationssicherheit und Cybersecurity enthalten, um einen überprüfbaren Prozess zur Behebung von Schwachstellen sicherzustellen. Verträge sollten der Organisation auch erlauben, die Cybersecurity-Programme von Lieferanten und Partnern zu überprüfen, um die Einhaltung der Sicherheitsanforderungen zu verifizieren.

• Alle Dokumente, die mit Ihren Lieferanten (Verträge, NDAs, DPAs, SLAs,...) in Verbindung stehen, können direkt in Brainframe hochgeladen und mit dem Lieferanten verknüpft werden.
• Die Erinnerungsfunktion ermöglicht es Ihnen, keine Überprüfung zu verpassen und eine rechtzeitige Behebung von Problemen sicherzustellen, die auftreten könnten.
• Sie müssen Ihre Dokumente nicht manuell basierend auf den Antworten Ihrer Lieferanten ausfüllen, Sie können sie bitten, die Informationen direkt in Brainframe auszufüllen, um wertvolle Zeit zu sparen.

ID.SC-4: Lieferanten und Drittanbieter werden routinemäßig durch Audits, Testergebnisse oder andere Bewertungsformen bewertet, um zu bestätigen, dass sie ihren vertraglichen Verpflichtungen nachkommen.

Organisationen müssen routinemäßig die Bewertungen der Einhaltung der vertraglichen Verpflichtungen durch Lieferanten und Drittanbieter überprüfen, indem sie Audits, Testergebnisse und andere Bewertungen untersuchen. Die Tiefe der Überprüfung sollte auf der Kritikalität der bereitgestellten Produkte und Dienstleistungen basieren, wobei sichergestellt werden muss, dass unabhängige Audits und Bewertungen zur Überprüfung der Einhaltung verwendet werden.

• Brainframe ermöglicht es Ihnen, beliebige Bewertungsformulare von Due Diligence bis hin zu Risikobewertungsfragebögen zu erstellen, die Sie direkt an Ihre Drittanbieter senden können, und ihre Antworten im Tool zu speichern, um ihre Teilnahme sicherzustellen.
• Die Sortierung Ihrer Vermögenswerte basierend auf ihrer Kritikalität ermöglicht es Ihnen, bestimmte Lieferanten zu priorisieren und Ihre Formulare entsprechend der Kritikalität im Detail anzupassen.
• Um sicherzustellen, dass Sie auf dem neuesten Stand sind, können Sie Ihre Überprüfungen planen und sicherstellen, dass Sie keine Frist verpassen.

ID.SC-5: Reaktions- und Wiederherstellungsplanung sowie Tests werden mit Lieferanten und Drittanbietern durchgeführt.

Organisationen müssen Schlüsselpersonen von Lieferanten und Drittanbietern identifizieren und dokumentieren und sie als Interessengruppen in die Aktivitäten zur Reaktions- und Wiederherstellungsplanung einbeziehen. Dies stellt sicher, dass diese Partner aktiv an den Tests und der Umsetzung von Reaktions- und Wiederherstellungsplänen beteiligt sind.​

• Mit Brainframe können Sie externe Mitarbeiter von Lieferanten einbeziehen und sie als Stakeholder für die Vermögenswerte oder Prozesse zuweisen, für die sie verantwortlich sind.
• Sie können ihnen Aufgaben wie Dokumentgenehmigungen oder -überprüfungen senden, die sie direkt in Ihrer Brainframe-Instanz abschließen können, um sicherzustellen, dass sie einbezogen werden.

CyberFundamentals-Anforderung

Brainframe-Lösung

PR.AT-1: Alle Benutzer sind informiert und geschult.

Organisationen müssen sicherstellen, dass alle Mitarbeiter, einschließlich Benutzer und Manager von ICT/OT-Systemen, bei der Einstellung und regelmäßig danach eine angemessene Schulung zu den Richtlinien zur Informationssicherheit erhalten. Die Schulung sollte kontinuierlich aktualisiert und durch Sensibilisierungskampagnen verstärkt werden. Die Schulung zur Sicherheitsbewusstseinsbildung muss auch die Erkennung und Meldung von Insider-Bedrohungen umfassen und sollte regelmäßig und ansprechend kommuniziert werden, um sicherzustellen, dass jeder seine Verantwortlichkeiten versteht. Praktische Szenarien und regelmäßige Simulationstrainings können helfen, das Lernen zu verstärken.

• Sie können Ihre Schulungen in jedem gewünschten Format erstellen, schriftlich oder als Video, und sie im Dokumentenmanagementsystem von Brainframe aufbewahren.
• Sie können es direkt an Ihre Mitarbeiter und relevante Personen senden, die daran teilnehmen sollten, über die Funktion zur Dokumentenverteilung.
• Brainframe ermöglicht es Ihnen, eine Prüfspur darüber zu führen, welche Schulungen Ihre Mitarbeiter abgeschlossen haben.
• Senden Sie Erinnerungen und Benachrichtigungen, um den Abschluss der Schulungen sicherzustellen.

CyberFundamentals-Anforderung

Brainframe-Lösung

PR.IP-1: Eine Basis-Konfiguration von Informations- und industriellen Steuerungssystemen wird erstellt und gepflegt, wobei Sicherheitsprinzipien einbezogen werden.

Organisationen müssen eine Basis-Konfiguration für ihre geschäftskritischen Systeme entwickeln, dokumentieren und pflegen, um sicherzustellen, dass diese Konfigurationen regelmäßig überprüft und aktualisiert werden. Basis-Konfigurationen sollten Details zu Systemversionen, Patch-Status, Konfigurationseinstellungen, Netzwerktopologie und der Platzierung von Komponenten innerhalb der Systemarchitektur enthalten.

• Die vollständig anpassbaren Dokumente von Brainframe ermöglichen es Ihnen, Basis-Konfigurationen für Ihre geschäftskritischen Systeme zu definieren und zu dokumentieren.
• Sie können regelmäßige Überprüfungen der Dokumente planen, die Verantwortlichen auffordern, Maßnahmen wie Überprüfung oder Genehmigung zu ergreifen, und den Fortschritt verfolgen.
• Sie können so viele relevante Eigenschaften hinzufügen, wie z.B. Einstellungen, Versionen, Patch-Status usw...

PR.IP-2: Ein Lebenszyklus für die Systementwicklung zur Verwaltung von Systemen wird implementiert.

Der Lebenszyklus der System- und Anwendungsentwicklung muss Sicherheitsüberlegungen in allen Phasen einbeziehen, einschließlich Spezifikation, Design, Entwicklung und Implementierung. Dies beinhaltet die Sicherstellung, dass Sicherheit in den Erwerb geschäftskritischer Systeme und deren Komponenten integriert wird, sowie die Bereitstellung von Schulungen zur Sensibilisierung für Schwachstellen für Entwickler. Der Entwicklungsprozess sollte auch ein robustes Konfigurationsmanagement, Fehlerverfolgung, Änderungsmanagement und Sicherheitstests umfassen, um sicherzustellen, dass sicherheitsrelevante Systemschnittstellen ordnungsgemäß entworfen und implementiert werden.

• Das Management des Lebenszyklus der Systementwicklung ist typischerweise ein Prozess, der in einem speziellen Entwickler-Tool wie Jira durchgeführt wird.
• Um Ihnen zu ermöglichen, die in diesen Tools relevanten Aufgaben darzustellen, integriert sich Brainframe mit ihnen, um eine visuelle Darstellung innerhalb des ISMS bereitzustellen, die Ihnen eine gute Sichtbarkeit über Ihre gesamte Architektur gibt.

PR.IP-9: Reaktionspläne (Incident Response und Business Continuity) und Wiederherstellungspläne (Incident Recovery und Disaster Recovery) sind vorhanden und werden verwaltet.

Organisationen müssen Vorfallreaktions- und Wiederherstellungspläne, einschließlich der für die Geschäftskontinuität und Katastrophenwiederherstellung, einrichten, pflegen und regelmäßig testen, um deren Wirksamkeit und Bereitschaft sicherzustellen. Diese Pläne sollten klare Anweisungen zur Erkennung, Reaktion und Minderung der Auswirkungen von Cyberangriffen bieten und dabei Wiederherstellungsziele, Wiederherstellungsprioritäten und Rollen des Personals berücksichtigen.

• Brainframe bietet integrierte Vorlagen für Ihre Vorfallmanagement-Bemühungen, wie z.B. Business Continuity Plans (BCP), die Sie an Ihre Organisation anpassen und relevante Informationen wie Anweisungen, Verantwortliche, Kommunikationspraktiken usw. definieren können.
• Sie können es verwenden, um den relevanten Stakeholder oder jeden anderen Kontakt, der für die Ausführung des Plans erforderlich ist, direkt zu benachrichtigen.
• Ihre Kommunikation und Übersicht über einen Vorfall kann mit Brainframe nahezu in Echtzeit erfolgen, da die für das Management des Vorfalls verantwortliche Person den Status direkt im Tool aktualisieren kann, sodass alle Beteiligten den Fortschritt verfolgen können.

PR.IP-12: Ein Schwachstellenmanagementplan wird entwickelt und implementiert.

Organisationen müssen einen dokumentierten Prozess für die kontinuierliche Überprüfung von Schwachstellen und die Entwicklung von Strategien zu deren Minderung einrichten und aufrechterhalten. Regelmäßige Aktualisierungen und proaktive Maßnahmen sind entscheidend, um sicherzustellen, dass Schwachstellen angegangen werden, bevor sie ausgenutzt werden können.

• Brainframe bietet die Werkzeuge, um Ihre Prozesse für Ihre Bemühungen im Bereich Schwachstellenmanagement über das Dokumentenmanagementsystem zu dokumentieren, sodass Sie einen klaren Überblick über den Plan haben.
• Sie können es verwenden, um den Status des Plans zu verfolgen, zu sehen, was bisher getan wurde und was noch zu tun bleibt.

CyberFundamentals-Anforderung

Brainframe-Lösung

RS.RP-1: Der Reaktionsplan wird während oder nach einem Vorfall ausgeführt.

Ein Vorfallreaktionsprozess muss vorhanden sein und während oder nach einem Cybersecurity-Ereignis, das die kritischen Systeme der Organisation betrifft, ausgeführt werden. Dieser Prozess sollte vordefinierte Anweisungen zum Erkennen, Reagieren und Mildern der Auswirkungen bösartiger Cyberangriffe enthalten. Klare Rollen, Verantwortlichkeiten und Befugnisse müssen festgelegt werden, die angeben, wer beteiligt ist, deren Kontaktdaten und wer befugt ist, Wiederherstellungsverfahren einzuleiten und mit externen Interessengruppen zu kommunizieren.

• Brainframe ermöglicht es Ihnen, effizient zwischen Abteilungen im Falle eines Vorfalls zu kommunizieren, um zeitnah zu reagieren und sicherzustellen, dass jeder einen klaren Überblick über den Status des Vorfalls hat.
• Rollen und Verantwortlichkeiten können im Voraus während der Erstellung der Richtlinie definiert werden, um sicherzustellen, dass Sie bei der Entdeckung immer wissen, wen Sie kontaktieren müssen.
• Es bietet einen zentralen Raum, um den Vorfall zu verfolgen, die Wiederherstellungsverfahren zu starten und die Krise an interne oder externe Interessengruppen zu kommunizieren.

CyberFundamentals-Anforderung

Brainframe-Lösung

RS.CO-1: Das Personal kennt seine Rollen und die Reihenfolge der Abläufe, wenn eine Reaktion erforderlich ist.

Organisationen müssen sicherstellen, dass alle Mitarbeiter, die an der Incident-Response beteiligt sind, ihre Rollen, Ziele, Wiederherstellungsprioritäten, Aufgabenfolgen und spezifischen Verantwortlichkeiten klar verstehen. Regelmäßige Tests des Incident-Response-Plans sind entscheidend, um dessen Wirksamkeit sicherzustellen, und nach jedem Vorfall sollten Anpassungen vorgenommen werden, um etwaige Lücken zu schließen.

• Sie können Rollen und Ziele in Ihrer Incident-Management-Richtlinie definieren und diese an die beteiligten Parteien senden sowie deren ausdrückliche Genehmigung des Dokuments anfordern, um sicherzustellen, dass sie ihre Rollen überprüft haben und wissen, was im Falle eines Vorfalls zu tun ist.
• Sie können regelmäßige Tests des Incident-Response-Plans planen, um dessen Wirksamkeit zu überprüfen.

RS.CO-2: Vorfälle werden gemäß den festgelegten Kriterien gemeldet.

Organisationen müssen einen klaren Prozess für die Meldung von Informationen und Cybersecurity-Vorfällen in kritischen Systemen innerhalb eines definierten Zeitrahmens implementieren. Der Meldeprozess sollte festlegen, wer informiert werden muss, und sicherstellen, dass alle Benutzer einen einzigen Ansprechpartner für die Vorfallmeldung haben, um eine schnelle Kommunikation zu fördern. Die Meldestandards sollten im Incident-Response-Plan festgelegt werden, um Konsistenz und Klarheit darüber zu gewährleisten, wann und wie Vorfälle gemeldet werden.

• Die Vorfallmeldung wird mit Brainframe erleichtert, da es Ihnen ermöglicht, die Berichtsvorlage einmal mit allen Kriterien zu erstellen, die Sie festgelegt haben möchten, und die Stakeholder nur das Formular ausfüllen müssen.
• Sie können die Vorlage für die Vorfallmeldung direkt mit dem Incident-Response-Plan verknüpfen und sie klar und prägnant halten.

RS.CO-3: Informationen werden gemäß den Reaktionsplänen geteilt.

Organisationen müssen sicherstellen, dass Informationen über Informations-/Cybersicherheitsvorfälle in einem klaren und verständlichen Format an die Mitarbeiter kommuniziert werden. Darüber hinaus sollten Vorfallinformationen mit relevanten Interessengruppen, sowohl intern als auch extern, geteilt werden, wie im Incident-Response-Plan festgelegt, um koordinierte und effektive Reaktionen zu gewährleisten.

• Alle Erkenntnisse, die Sie mit Ihren Mitarbeitern oder Interessengruppen, intern oder extern, teilen möchten, können innerhalb des Tools geteilt werden, um Verwirrung und unnötige Kopfschmerzen darüber zu vermeiden, mit wem Sie sie geteilt haben.

CyberFundamentals-Anforderung

Brainframe-Lösung

RS.MI-3: Neu identifizierte Schwachstellen werden gemindert oder als akzeptierte Risiken dokumentiert.

Organisationen müssen eine umfassende Fähigkeit zur Handhabung von Vorfällen für Informations- und Cybersicherheitsvorfälle implementieren, die geschäftskritische Systeme betreffen. Dieser Prozess sollte alle Phasen abdecken, einschließlich Vorbereitung, Erkennung und Analyse, Eindämmung, Beseitigung, Wiederherstellung und dokumentierte Risikoakzeptanz. Risikoakzeptanz umfasst die formelle Anerkennung von Risiken, die als handhabbar und im Risikoprofil der Organisation akzeptabel eingeschätzt werden, wobei der Risikoeigentümer die Verantwortung für diese Entscheidungen übernimmt.

• Mit den Risikomanagementfähigkeiten von Brainframe können Sie Ihre Prozesse zur Handhabung von Vorfällen je nach gewünschter Vorgehensweise (mildern, übertragen, akzeptieren,...) definieren.
• Es bietet ein zentrales Tool, um die Maßnahme zu bestimmen, die Sie für jedes Risiko basierend auf deren Kritikalität ergreifen möchten.
• Jedes Risiko kann Eigenschaften zugewiesen werden, um die ergriffene Maßnahme zu rechtfertigen.