CyberFundamentals Framework

CyberFundamentals vereiste

Brainframe Oplossing

ID.AM-1: Fysieke apparaten en systemen die binnen de organisatie worden gebruikt, zijn geïnventariseerd.

Organisaties moeten een actuele inventaris bijhouden van alle activa die verband houden met informatieverwerking. Deze inventaris moet regelmatig worden beoordeeld en bijgewerkt om verantwoordelijkheid te waarborgen, met details zoals apparaattype, fabrikant, serienummers en fysieke locatie. Het gebruik van IT-assetmanagementtools wordt aanbevolen om dit proces te stroomlijnen.

• Brainframe biedt een uitgebreid documentbeheersysteem waarin u al uw fysieke activa kunt inventariseren en het in een helicopterview kunt visualiseren.
• U kunt de eigenschappen van elk activum aanpassen om alle belangrijke informatie op te slaan, zoals apparaattype, serienummer, eigenaar, enzovoort...
• U kunt periodieke beoordelingsdata voor activa instellen om ervoor te zorgen dat ze up-to-date zijn.
• U kunt een activum toewijzen aan de relevante belanghebbenden en meldingen instellen om ervoor te zorgen dat zij verantwoordelijk zijn voor het beheer van het activum.

ID.AM-2: Softwareplatforms en applicaties die binnen de organisatie worden gebruikt, zijn geïnventariseerd.

Organisaties moeten een gedetailleerde en actuele inventaris bijhouden van alle softwareplatforms en applicaties, inclusief die welke zijn uitbesteed. Deze inventaris moet essentiële details bevatten zoals naam, beschrijving, versie en zakelijke doel. Regelmatige beoordelingen en updates zijn noodzakelijk, en IT-assetmanagementtools kunnen worden gebruikt om het proces te stroomlijnen. Verantwoordelijkheid voor softwarebeheer moet ook duidelijk worden gedefinieerd.

• Met het documentbeheersysteem van Brainframe kun je een inventaris bijhouden van al je digitale activa en deze visualiseren in een helicopterview.
• Je kunt de eigenschappen van elk activum aanpassen om alle belangrijke informatie op te slaan, zoals versie, zakelijke doel, leverancier, enzovoort...
• U kunt periodieke beoordelingsdata voor activa instellen om ervoor te zorgen dat ze up-to-date zijn.
• U kunt een activum toewijzen aan de relevante belanghebbenden en meldingen instellen om ervoor te zorgen dat zij verantwoordelijk zijn voor het beheer van het activum.

ID.AM-3: Organisatorische communicatie en datastromen zijn in kaart gebracht.

Organisaties moeten de soorten informatie die ze opslaan en gebruiken identificeren en in kaart brengen, en deze gegevens koppelen aan fysieke apparaten, systemen en softwareplatforms. Alle verbindingen binnen de ICT/OT-omgeving moeten worden gedocumenteerd, goedgekeurd en regelmatig bijgewerkt. Deze documentatie moet details bevatten over interfaces, gegevenskenmerken, beveiligingseisen en protocollen.

• Brainframe stelt je in staat om een document aan een ander te koppelen en de afhankelijkheden in een helicopterview te visualiseren.
• Je kunt eigenschappen aan elk activum toevoegen om een goede documentatie te waarborgen.
• Om de datastroom te visualiseren, heb je toegang tot een diagrammaker waar je de activa grafisch kunt in kaart brengen en de informatiestroom kunt sturen.
• Om ervoor te zorgen dat uw documentatie goedgekeurd en up-to-date is, kunt u periodieke beoordelingen inplannen om de belanghebbende automatisch te informeren dat er een beoordelingsactie moet worden ondernomen.

ID.AM-4: Externe informatiesystemen zijn gecatalogiseerd.

Organisaties moeten alle externe diensten en hun verbindingen in kaart brengen, documenteren, autoriseren en regelmatig bijwerken. Dit omvat systemen waarvoor de organisatie geen directe controle heeft, zoals cloudservices, SaaS en API's. Informatie die naar en van externe systemen stroomt, moet ook worden gedocumenteerd en indien nodig worden bijgewerkt, waarbij externe dienstverleners verplicht zijn om de functies, poorten, protocollen en diensten die nodig zijn voor deze verbindingen te specificeren.

• Brainframe stelt u in staat om al uw activa te creëren en aan te passen in een uitgebreid documentbeheersysteem, inclusief externe.
• U kunt uw aangepaste formulieren naar externe leveranciers sturen en hen verplichten om een actie te ondernemen, zoals het invullen of goedkeuren van uw documentatie.
• U kunt uw externe activa eenvoudig visualiseren met een helicopterview.
• U kunt uw leveranciers bijhouden met de module Leveranciers, waar u ook de activa kunt visualiseren die aan die leveranciers zijn gekoppeld.

ID.AM-5: Middelen worden geprioriteerd op basis van hun classificatie, kritikaliteit en zakelijke waarde.

Organisaties moeten hun middelen prioriteren, inclusief hardware, software, gegevens en personeel, op basis van hun classificatie, kritikaliteit en zakelijke waarde. Dit houdt in dat de potentiële impact van blootgestelde, beschadigde of ontoegankelijke gegevens moet worden beoordeeld. Middelen moeten worden gecategoriseerd (bijv. Publiek, Intern, Vertrouwelijk) en duidelijk worden gecommuniceerd om een goede behandeling te waarborgen. De classificatie moet betrekking hebben op vertrouwelijkheid, integriteit en beschikbaarheid (C-I-A) om een uitgebreide bescherming van activa te waarborgen.

• Met het "alles is een document" concept van Brainframe kun je eenvoudig de eigenschappen van elk activum aanpassen en sjablonen maken als je ze wilt hergebruiken, om een kriticiteitsniveau, een zakelijke waarde of een classificatie toe te wijzen.
• De Risicomodule stelt je in staat om het risico met betrekking tot elk activum te beoordelen en het in te stellen volgens je zakelijke behoeften, zodat je een beter overzicht hebt van waar middelen moeten worden toegewezen.
• Brainframe wordt geleverd met een vooraf geconfigureerd classificatiesysteem voor vertrouwelijkheid, integriteit en beschikbaarheid.
• Je kunt je risico's visualiseren op basis van hun kriticiteitsniveaus.

ID.AM-6: Cybersecurityrollen, verantwoordelijkheden en autoriteiten voor de gehele workforce en derde partijen zijn vastgesteld.

Organisaties moeten de rollen, verantwoordelijkheden en autoriteiten voor informatiebeveiliging en cybersecurity documenteren, herzien en bijwerken, en zorgen voor afstemming met interne en externe belanghebbenden. Dit houdt in dat duidelijk moet worden gedefinieerd wie verantwoordelijk, aansprakelijk, geconsulteerd en geïnformeerd is voor verschillende beveiligingstaken. Belangrijke functies, waaronder juridische en dreigingsdetectie, moeten goed gedefinieerde rollen hebben, en verantwoordelijkheden moeten zich uitstrekken tot derde partijen die toegang hebben tot de ICT/OT-omgeving van de organisatie.

• Het Document Management-systeem van Brainframe stelt je in staat om rollen te creëren voor je cybersecurity-initiatieven en deze toe te wijzen aan elke werknemer.
• De eigenschappen van elke rol zijn volledig aanpasbaar, zodat je alle taken kunt definiëren die aan een belanghebbende zijn toegewezen.
• Met de Taakbeheer-module kun je een taak aan elke rol toewijzen, en de relevante belanghebbende zal worden geïnformeerd, of ze nu intern of extern zijn.
• De belanghebbende kan al zijn taken visualiseren in een kanban-weergave om zijn verantwoordelijkheden bij te houden.

CyberFundamentals vereiste

Brainframe Oplossing

ID.BE-1: De rol van de organisatie in de toeleveringsketen is geïdentificeerd en gecommuniceerd.​

Organisaties moeten hun rol binnen de toeleveringsketen identificeren, documenteren en communiceren, met een duidelijk begrip van wie upstream en downstream is. Dit omvat het herkennen van welke leveranciers kritieke diensten, producten of capaciteiten bieden. De organisatie moet ook zorgen dat haar positie en belang binnen de toeleveringsketen duidelijk worden gecommuniceerd naar zowel upstream als downstream partners.

• Onze speciale "Leverancier" module stelt je in staat om je leveranciers te classificeren op basis van kritikaliteit, positie, belang of een andere eigenschap die je configureert.
• Het stelt je ook in staat om ze te koppelen aan de diensten of producten die ze leveren.

ID.BE-3: Prioriteiten voor de missie, doelstellingen en activiteiten van de organisatie zijn vastgesteld en gecommuniceerd.

Organisaties moeten duidelijke prioriteiten vaststellen en communiceren voor hun zakelijke doelstellingen en activiteiten. Dit omvat het bepalen en prioriteren van de missie en doelen van de organisatie, evenals het beoordelen van de behoeften op het gebied van informatiebeveiliging. Processen moeten indien nodig worden aangepast om in lijn te zijn met deze prioriteiten, zodat een praktische en haalbare beveiligingsstrategie wordt gewaarborgd.

• Brainframe helpt bij het creëren, documenteren en distribueren van beveiligingsbeleid dat in lijn is met zakelijke doelstellingen, en zorgt voor consistentie binnen de organisatie.
• Met de Risicomodule kun je eenvoudig de risico's beoordelen die verband houden met verschillende activa en processen, en helpen bij het prioriteren van activiteiten op basis van hun kritikaliteit en zakelijke impact.
• Volgt de naleving van vastgestelde doelstellingen en normen, en stuurt waarschuwingen voor afwijkingen, wat ervoor zorgt dat prioriteiten consistent worden gehaald.

ID.BE-4: Afhankelijkheden en kritieke functies voor de levering van kritieke diensten zijn vastgesteld.

Organisaties moeten afhankelijkheden en missie-kritieke functies identificeren, documenteren en prioriteren die nodig zijn voor het leveren van essentiële diensten. Dit proces moet worden geïntegreerd in de algehele risicoanalyse, zodat alle kritieke componenten, inclusief ondersteunende diensten, worden erkend en beheerd op basis van hun belang voor de continuïteit van de bedrijfsvoering.

• Met het Document Management-systeem kun je functies aan diensten koppelen en gemakkelijk de afhankelijkheden tussen hen visualiseren.
• Bij het uitvoeren van je risicoanalyse kun je de kritikaliteit van functies definiëren op basis van hun belang voor jouw essentiële dienst.
• Brainframe biedt een uitgebreid overzicht van deze risico's om je te helpen prioriteren op basis van risiconiveau en functiebelang.

ID.BE-5: Veerkrachtvereisten ter ondersteuning van de levering van kritieke diensten zijn vastgesteld voor alle operationele staten.

Organisaties moeten de noodzakelijke vereisten voor cyberveerkracht identificeren, documenteren en testen, met goedkeuring voor hun implementatie. Dit omvat mechanismen zoals failsafe-systemen, load balancing en redundantie in data- en netwerkinfrastructuur. Effectieve praktijken voor bedrijfscontinuïteitsbeheer (BCM), waaronder Business Impact Analysis (BIA), Disaster Recovery Plan (DRP) en Business Continuity Plan (BCP), zijn essentieel voor het handhaven van de beschikbaarheid van diensten. Daarnaast moeten organisaties hersteldoelen voor tijd (RTO) en hersteldoelen voor punten (RPO) definiëren om een snelle herstelling van essentiële systemen te waarborgen.

• Brainframe wordt geleverd met sjablonen voor Business Continuity Plans (BCP), Business Impact Analysis (BIA) documenten en Disaster Recovery Plans (DRP) om u te helpen uw beleid aan te passen aan uw operaties.
• U kunt uw beleid rechtstreeks in de tool naar de relevante belanghebbenden sturen voor goedkeuring en een actie aanvragen om ervoor te zorgen dat ze het voltooien.
• U kunt beoordelingsdata rechtstreeks aan activa toewijzen om ervoor te zorgen dat ze up-to-date zijn.
• Voor elk geïdentificeerd risico kunt u een controle creëren en visualiseren hoe dit het risico beïnvloedt, met een uitgebreid overzicht van het initiële risico en het residuele risico.

CyberFundamentals vereiste

Brainframe Oplossing

ID.GV-1: Organisatorisch cybersecuritybeleid is vastgesteld en gecommuniceerd.

Organisaties moeten beleid en procedures voor informatiebeveiliging en cybersecurity vaststellen, documenteren en regelmatig herzien. Deze richtlijnen moeten duidelijk aanvaardbare praktijken, rollen, verantwoordelijkheden en verwachtingen voor het beschermen van de middelen van de organisatie schetsen. Beleid moet toegankelijk zijn voor alle medewerkers, gebruikt worden voor training en minstens jaarlijks of wanneer er wijzigingen zijn in de organisatie of technologie worden bijgewerkt. Het senior management moet deze beleidslijnen goedkeuren en verspreiden binnen de organisatie, en zorgen voor coördinatie tussen verschillende beveiligingsfuncties gedurende de levenscyclus van ICT/OT-systemen.

• Brainframe biedt een aantal ingebouwde sjabloonbeleidslijnen en procedures om te helpen met uw documentatie. Deze zijn volledig aanpasbaar en aan te passen aan uw organisatie.
• U kunt dit document delen met de relevante belanghebbenden en verantwoordelijken, taken toewijzen zoals de goedkeuring of beoordeling van het document, en u kunt bijhouden of de verantwoordelijke zijn taak heeft voltooid, wat bijzonder nuttig is bij het betrekken van het senior management.
• U kunt documenten rechtstreeks via Brainframe naar uw medewerkers sturen om hen op de hoogte te houden van uw beleid en procedures.

ID.GV-3: Juridische en regelgevende vereisten met betrekking tot cybersecurity, inclusief privacy en burgerlijke vrijheden, worden begrepen en beheerd.

Organisaties moeten ervoor zorgen dat juridische en regelgevende vereisten met betrekking tot informatie en cybersecurity, inclusief privacyverplichtingen, volledig worden begrepen, geïmplementeerd en beheerd. Regelmatige beoordelingen zijn noodzakelijk om voortdurende naleving te waarborgen, en deze vereisten zijn van toepassing op aannemers en dienstverleners die mogelijk gevoelige informatie verwerken of toegang hebben tot gevoelige informatie.

• In de "Werkbank" module heeft u toegang tot een uitgebreid overzicht van uw juridische en regelgevende status. Dit stelt u in staat om uw regelgevende processen om te zetten in een Kanban-weergave en een goed zicht te hebben op uw voortgang.
• Elke vereiste kan worden gedocumenteerd, gepland voor beoordeling en beheerd binnen de Werkbankmodule.
• Optioneel kunt u uw juridische en regelgevende document rechtstreeks toevoegen aan de "Risico's" module voor verder risicobeheer.

ID.GV-4: Governance- en risicobeheerprocessen richten zich op cybersecurityrisico's.

Een uitgebreide strategie voor het beheren van informatiebeveiliging en cyberbeveiligingsrisico's moet worden ontwikkeld als onderdeel van het algehele risicobeheer van het bedrijf. Deze strategie moet de toewijzing van middelen schetsen die nodig zijn om bedrijfskritische activa te beschermen en ervoor zorgen dat alle geïdentificeerde risico's worden gedocumenteerd, formeel worden goedgekeurd en regelmatig worden bijgewerkt om eventuele wijzigingen weer te geven. Het gebruik van risicobeheerhulpmiddelen kan dit proces stroomlijnen.

• With Brainframe, you have access to all thetools to identify, assess, and prioritize cybersecurity risks, ensuring a clear understanding of potential threats via the Risk module.
• Brainframe stelt je in staat om een uitgebreide registratie bij te houden van alle geïdentificeerde risico's, goedgekeurde strategieën en mitigatieplannen, wat zorgt voor gemakkelijke updates en toegang.
• Heb een duidelijk overzicht van je risicolandschap met een risicomatrix, aanpasbaar aan jouw risicobeheerproces, en wijs je middelen toe op basis van je behoeften.

CyberFundamentals vereiste

Brainframe Oplossing

ID.RA-1: Kwetsbaarheden van activa worden geïdentificeerd en gedocumenteerd.

Organisaties moeten een proces opzetten om continu kwetsbaarheden in hun bedrijfskritische systemen te monitoren, identificeren en documenteren. Effectief kwetsbaarheidsbeheer omvat regelmatig scannen, testen en valideren om ervoor te zorgen dat potentiële risico's worden geïdentificeerd en aangepakt zonder de normale bedrijfsvoering te verstoren.

• Je kunt je eigen risico's creëren of een van de veelvoorkomende risico's gebruiken die in de software zijn ingebouwd, en deze toewijzen aan elk actief in je inventaris.
• Brainframe biedt een dashboard om kwetsbaarheden te documenteren, bij te houden en te prioriteren, waardoor efficiënte risicomitigatie-inspanningen mogelijk worden.
• Je kunt periodieke tests voor alle kwetsbaarheden instellen en ze prioriteren op basis van hun kritiek met behulp van de Taakbeheer-module en je voortgang visualiseren in een kanban-weergave.

ID.RA-5: Bedreigingen, kwetsbaarheden, waarschijnlijkheden en impact worden gebruikt om risico's te bepalen

Organisaties moeten uitgebreide risicoanalyses uitvoeren om risico's te evalueren op basis van geïdentificeerde bedreigingen, kwetsbaarheden en hun impact op bedrijfsprocessen en activa. Deze beoordelingen moeten zowel interne als externe bedreigingen in overweging nemen en de potentiële gevolgen voor de vertrouwelijkheid, integriteit en beschikbaarheid van activa evalueren. Organisaties worden aangemoedigd om zowel kwalitatieve als kwantitatieve analysemethoden te gebruiken en de resultaten te documenteren. Bevindingen van risicoanalyses moeten worden gecommuniceerd aan relevante belanghebbenden om ervoor te zorgen dat passende mitigerende maatregelen worden genomen.

• Dankzij de zichtbaarheid die je hebt op je activa en hun afhankelijkheden, kun je uitputtende risicoanalyses uitvoeren, zodat je niets per ongeluk mist.
• Met de mogelijkheid om activa te koppelen aan bedreigingen, kwetsbaarheden en bedrijfsprocessen, kun je eenvoudig een risico en de impact ervan beoordelen.
• Je kunt je initiatieven voor risicoanalyse organiseren door ze toe te wijzen aan de afdeling of business unit die verantwoordelijk is voor elk actief. Deze methode vereenvoudigt het proces terwijl je volledige zichtbaarheid in Brainframe behoudt, waardoor je kunt zien hoe activa en processen met elkaar verbonden zijn in verschillende afdelingen.
• Communicaties over je bevindingen van risicoanalyses worden gemakkelijk gedeeld binnen Brainframe, waardoor je ze naar de belanghebbenden kunt sturen en om hun beoordeling kunt vragen.

ID.RA-6: Risicoresponsen worden geïdentificeerd en geprioriteerd.

Organisaties moeten een uitgebreide strategie ontwikkelen en implementeren om risico's voor hun kritieke systemen te beheren, wat inhoudt dat ze geschikte risicoreacties moeten identificeren en prioriteren. Deze strategie moet zowel het management als de medewerkers betrekken, duidelijk definiëren welke activa het meest kritisch zijn, de potentiële impact van hun compromittering begrijpen en uiteenzetten hoe effectieve mitigatiemaatregelen zullen worden geïmplementeerd om deze activa te beschermen.

• Binnen de module "Risico's" heb je toegang tot verschillende tools die je kunnen helpen bij het beheren van je risicostrategie.
• De risicomatrix kan helpen bij het prioriteren van risico's, waardoor je een uitgebreid overzicht krijgt van je risico's op basis van hun niveau van kritischheid.
• Je kunt je risicoreactiestrategie voor de toekomst plannen, waardoor je een duidelijk overzicht krijgt van risicoreductie.
• Je kunt je risiconiveaus voor de toekomst visualiseren, om ervoor te zorgen dat je geplande mitigaties efficiënt genoeg zullen zijn om je risico's tot het gewenste niveau te reduceren.

CyberFundamentals vereiste

Brainframe Oplossing

ID.RM-1: Risicobeheerprocessen zijn vastgesteld, beheerd en goedgekeurd door de belanghebbenden van de organisatie.

Organisaties moeten een cyberrisicobeheerproces opzetten dat belangrijke interne en externe belanghebbenden identificeert. Dit proces moet de effectieve afhandeling van risico-gerelateerde kwesties en informatie vergemakkelijken. Het moet grondig gedocumenteerd, regelmatig herzien en bijgewerkt worden wanneer er wijzigingen zijn. Externe belanghebbenden kunnen klanten, investeerders, aandeelhouders, leveranciers, overheidsinstanties en de bredere gemeenschap omvatten.

• Brainframe stelt je in staat om risico's toe te wijzen aan hun belanghebbenden, of ze nu intern of extern zijn.
• U kunt de eigenschappen van elk risico dat u heeft geïdentificeerd aanpassen en alle relevante informatie opnemen.
• Wanneer een actie zoals een beoordeling of een update vereist is voor een risico, kunt u snel de relevante belanghebbende op de hoogte stellen en een actie vereisen om ervoor te zorgen dat hun deelname aan het proces wordt gewaarborgd.

ID.RM-2: De organisatorische risicotolerantie is vastgesteld en duidelijk gecommuniceerd.

Organisaties moeten hun risicobereidheid duidelijk definiëren, zodat deze in lijn is met hun informatiebeveiligings- en cybersecuritybeleid. Deze samenhang tussen risicotolerantie en beveiligingsmaatregelen helpt een consistente en strategische benadering van risicobeheer aan te tonen.

• U kunt uw risicotypes volledig aanpassen, hetzij met uw eigen aangepaste methodologieën, hetzij met de ingebouwde methodologie van Brainframe.
• U kunt uw risicobereidheid definiëren, en uw risicomatrix zal automatisch aangeven welke risico's onaanvaardbaar zijn voor u om te accepteren op basis van uw configuratie, wat u helpt bij uw prioriteringsinspanningen.

CyberFundamentals vereiste

Brainframe Oplossing

ID.SC-1: Cyberrisicobeheerprocessen in de toeleveringsketen zijn geïdentificeerd, vastgesteld, beoordeeld, beheerd en goedgekeurd door de belanghebbenden van de organisatie.

Organisaties moeten een gedocumenteerd proces voor cyberrisicobeheer in de toeleveringsketen opstellen dat regelmatig wordt herzien, goedgekeurd en bijgewerkt wanneer er wijzigingen optreden. Dit proces moet de identificatie, beoordeling en mitigatie van risico's die voortkomen uit de onderling verbonden aard van ICT/OT-producten en service-toeleveringsketens vergemakkelijken, en zorgen voor een uitgebreide beheersing van de beveiliging van de toeleveringsketen.

• Net als bij alle andere activa of processen, kunt u de risico's die verband houden met uw leveranciers rechtstreeks in Brainframe beheren.
• U kunt taken naar uw leveranciers sturen, zelfs als ze extern zijn, en goedkeuringen, beoordelingen of updates van documentatie vereisen en hun betrokkenheid bij het risicobeheerproces waarborgen.
• In de module Leveranciers heeft u toegang tot een uitgebreid overzicht van uw leveranciers en alle activa of processen waarmee ze zijn verbonden.

ID.SC-2: Leveranciers en derde partijen van informatiesystemen, componenten en diensten worden geïdentificeerd, geprioriteerd en beoordeeld met behulp van een cyber supply chain risicobeoordelingsproces.

Organisaties moeten minstens één keer per jaar cyber supply chain risicobeoordelingen uitvoeren of wanneer er wijzigingen zijn in kritieke systemen, de operationele omgeving of de toeleveringsketen. Deze beoordelingen moeten worden gedocumenteerd en de resultaten moeten worden gedeeld met relevante belanghebbenden. Daarnaast moeten organisaties een actuele lijst bijhouden van leveranciers, verkopers en partners, zowel online als offline, inclusief hun contactinformatie en de diensten die zij aanbieden.

• Met Brainframe kunnen uw systemen, componenten en diensten die zijn uitbesteed, net als interne systemen worden beheerd, en kunnen dezelfde risicobeheerprocessen op hen worden toegepast.
• U kunt een speciale "Leverancier onboarding" uitvoeren in de module "Formulieren".
• Met de geavanceerde formulieren kunt u de antwoorden op de vragen gebruiken om automatisch een risicolezing voor een eerste evaluatie uit te voeren, wat u veel tijd bespaart.
• Activa en processen die door een externe leverancier worden beheerd, kunnen worden geïdentificeerd door ze aan een leverancier te koppelen.
• Alle informatie die verband houdt met een leverancier en relevant is voor uw organisatie kan binnen de module Leveranciers worden gevolgd.

ID.SC-3: Contracten met leveranciers en derde partijen worden gebruikt om geschikte maatregelen te implementeren die zijn ontworpen om de doelstellingen van een organisatie’s cybersecurityprogramma en Cyber Supply Chain Risk Management Plan te bereiken.

Based on the findings of cyber supply chain risk assessments, organizations should establish a contractual framework with suppliers and external partners to manage the sharing of sensitive information and interconnected ICT/OT products and services. Contracts should include specific information security and cybersecurity requirements, ensuring a verifiable flaw remediation process to address identified vulnerabilities. Additionally, organizations must ensure GDPR compliance if personal data is involved. Contracts should also permit the organization to review the cybersecurity programs of suppliers and partners to verify adherence to security requirements.

• Alle documenten met betrekking tot uw leveranciers (contracten, NDA's, DPA's, SLA's,...) kunnen direct naar Brainframe worden geüpload en aan de leverancier worden gekoppeld.
• De herinneringsfunctie zorgt ervoor dat u nooit een beoordeling mist en tijdige remedie kunt bieden voor eventuele problemen die zich kunnen voordoen.
• U hoeft uw documenten niet handmatig in te vullen op basis van de antwoorden van uw leveranciers; u kunt hen vragen om de informatie direct in Brainframe in te vullen om kostbare tijd te besparen.

ID.SC-4: Leveranciers en derde partijen worden routinematig beoordeeld met behulp van audits, testresultaten of andere vormen van evaluaties om te bevestigen dat zij voldoen aan hun contractuele verplichtingen.

Organisaties moeten routinematig beoordelingen van de naleving van leveranciers en derde partijen met contractuele verplichtingen herzien door audits, testresultaten en andere evaluaties te onderzoeken. De diepte van de beoordeling moet gebaseerd zijn op de kritikaliteit van de geleverde producten en diensten, waarbij ervoor wordt gezorgd dat onafhankelijke audits en evaluaties worden gebruikt om de naleving te verifiëren.

• Brainframe stelt u in staat om alle vormen van evaluatie te creëren, van due diligence tot risicobeoordelingsvragenlijsten, die u direct kunt indienen bij uw derde dienstverleners en hun reactie in de tool kunt opslaan om hun deelname te waarborgen.
• Het sorteren van uw activa op basis van hun kritikaliteit stelt u in staat om bepaalde leveranciers te prioriteren en uw formulieren in detail aan te passen op basis van de kritikaliteit.
• Om ervoor te zorgen dat u up-to-date bent, kunt u uw beoordelingen plannen en ervoor zorgen dat u geen deadline mist.

ID.SC-5: Responsie- en herstelplanning en -testen worden uitgevoerd met leveranciers en derde partijen.

Organisaties moeten belangrijke personeelsleden van leveranciers en derde partners identificeren en documenteren, en hen als belanghebbenden opnemen in de activiteiten voor responsie- en herstelplanning. Dit zorgt ervoor dat deze partners actief betrokken zijn bij het testen en uitvoeren van responsie- en herstelplannen.​

• Met Brainframe kun je externe personeelsleden van leveranciers opnemen en hen toewijzen als belanghebbenden voor de activa of processen waarvoor zij verantwoordelijk zijn.
• Je kunt hen taken sturen, zoals documentgoedkeuring of -beoordeling, die ze rechtstreeks in jouw Brainframe-instantie kunnen voltooien om ervoor te zorgen dat ze betrokken zijn.

CyberFundamentals vereiste

Brainframe Oplossing

PR.AT-1: Alle gebruikers zijn geïnformeerd en getraind.

Organisaties moeten ervoor zorgen dat alle medewerkers, inclusief gebruikers en managers van ICT/OT-systemen, bij indiensttreding en regelmatig daarna passende training ontvangen over informatiebeveiligingsbeleid. Training moet continu worden bijgewerkt en versterkt door middel van bewustwordingscampagnes. Training in beveiligingsbewustzijn moet ook de herkenning en rapportage van interne bedreigingen omvatten en moet regelmatig en op een boeiende manier worden gecommuniceerd om ervoor te zorgen dat iedereen zijn verantwoordelijkheden begrijpt. Praktische scenario's en regelmatige simulatie-oefeningen kunnen helpen om het leren te versterken.

• Je kunt je trainingen in elk gewenst formaat maken, schriftelijk of video, en deze binnen het Documentbeheersysteem van Brainframe bewaren.
• Je kunt het rechtstreeks naar je medewerkers en relevante personen sturen die eraan moeten deelnemen via de documentdistributiefunctie.
• Brainframe stelt je in staat om een audit-trail bij te houden van welke trainingen je medewerkers hebben voltooid.
• Stuur herinneringen en meldingen om de voltooiing van de trainingen te waarborgen.

CyberFundamentals vereiste

Brainframe Oplossing

PR.IP-1: Een basisconfiguratie van informatie technologie/industriële controlesystemen wordt gecreëerd en onderhouden met inachtneming van beveiligingsprincipes.

Organisaties moeten een basisconfiguratie ontwikkelen, documenteren en onderhouden voor hun bedrijfskritische systemen, waarbij wordt gewaarborgd dat deze configuraties regelmatig worden beoordeeld en bijgewerkt. Basisconfiguraties moeten details bevatten over systeemversies, patchstatus, configuratie-instellingen, netwerktopologie en de plaatsing van componenten binnen de systeemarchitectuur.

• De volledig aanpasbare documenten van Brainframe stellen je in staat om basisconfiguraties voor je bedrijfskritische systemen te definiëren en te documenteren.
• Je kunt periodieke beoordelingen van de documenten plannen, vereisen dat de verantwoordelijke acties onderneemt zoals beoordeling of goedkeuring, en de voortgang volgen.
• Je kunt zoveel eigenschappen toevoegen als relevant is, zoals instellingen, versies, patchstatus, enzovoort...

PR.IP-2: Een systeemontwikkelingslevenscyclus voor het beheren van systemen is geïmplementeerd.

De levenscyclus van systeem- en applicatieontwikkeling moet beveiligingsoverwegingen in alle fasen integreren, inclusief specificatie, ontwerp, ontwikkeling en implementatie. Dit houdt in dat ervoor gezorgd moet worden dat beveiliging is geïntegreerd in de verwerving van bedrijfskritische systemen en hun componenten, en dat er training wordt gegeven over kwetsbaarheidsbewustzijn voor ontwikkelaars. Het ontwikkelingsproces moet ook robuust configuratiemanagement, foutopsporing, wijzigingsbeheer en beveiligingstests omvatten om ervoor te zorgen dat beveiligingsrelevante systeeminterfaces goed zijn ontworpen en geïmplementeerd.

• Het beheer van de levenscyclus van systeemontwikkeling is doorgaans een proces dat wordt uitgevoerd in een speciaal ontwikkelaarstool zoals Jira.
• Om je in staat te stellen de taken die relevant zijn in die tools weer te geven, integreert Brainframe met hen om een visuele weergave binnen het ISMS te bieden, waardoor je een goed overzicht krijgt van je gehele architectuur.

PR.IP-9: Responsplannen (Incident Response en Business Continuity) en herstelplannen (Incident Recovery en Disaster Recovery) zijn aanwezig en worden beheerd.

Organisaties moeten incidentrespons- en herstelplannen opstellen, onderhouden en regelmatig testen, inclusief die voor bedrijfscontinuïteit en rampenherstel, om hun effectiviteit en gereedheid te waarborgen. Deze plannen moeten duidelijke instructies bieden voor het detecteren, reageren op en mitigeren van de effecten van cyberaanvallen, terwijl ze de hersteldoelstellingen, herstelprioriteiten en rollen van personeel adresseren.

• Brainframe biedt ingebouwde sjablonen voor je incidentbeheerinspanningen, zoals Business Continuity Plans (BCP), die je kunt aanpassen aan je organisatie en relevante informatie kunt definiëren, zoals instructies, verantwoordelijken, communicatiepraktijken,...
• Je kunt het gebruiken om de relevante belanghebbende of een andere contactpersoon die nodig is voor de uitvoering van het plan direct te informeren.
• Je communicatie en overzicht van een incident kan bijna in real-time zijn met Brainframe, aangezien de persoon die verantwoordelijk is voor het beheer van het incident de status direct in de tool kan bijwerken, zodat iedereen die betrokken is de voortgang kan volgen.

PR.IP-12: Een kwetsbaarheidsbeheerplan is ontwikkeld en geïmplementeerd.

Organisaties moeten een gedocumenteerd proces opstellen en onderhouden voor de continue beoordeling van kwetsbaarheden en de ontwikkeling van strategieën om deze te mitigeren. Regelmatige updates en proactieve maatregelen zijn essentieel om ervoor te zorgen dat kwetsbaarheden worden aangepakt voordat ze kunnen worden uitgebuit.

• Brainframe biedt de tools om je processen voor je kwetsbaarheidsbeheerinspanningen te documenteren via het Document Management-systeem, zodat je een duidelijk overzicht van het plan hebt.
• Je kunt het gebruiken om de status van het plan te volgen, te zien wat er tot nu toe is gedaan en wat er nog moet gebeuren.

CyberFundamentals vereiste

Brainframe Oplossing

RS.RP-1: Response plan is executed during or after an incident.

Er moet een incidentresponsproces zijn dat wordt uitgevoerd tijdens of na een cyberbeveiligingsevenement dat de kritieke systemen van de organisatie beïnvloedt. Dit proces moet vooraf gedefinieerde instructies bevatten voor het detecteren, reageren op en mitigeren van de impact van kwaadaardige cyberaanvallen. Duidelijke rollen, verantwoordelijkheden en bevoegdheden moeten worden vastgesteld, waarbij wordt gespecificeerd wie betrokken is, hun contactinformatie en wie bevoegd is om herstelprocedures te starten en te communiceren met externe belanghebbenden.

• Brainframe stelt je in staat om efficiënt te communiceren tussen afdelingen in het geval van een incident, om tijdig te reageren en ervoor te zorgen dat iedereen een duidelijk overzicht heeft van de status van het incident.
• Rollen en verantwoordelijkheden kunnen vooraf worden gedefinieerd tijdens het opstellen van het beleid om ervoor te zorgen dat je bij detectie altijd weet wie je moet contacteren.
• Het biedt een gecentraliseerde ruimte om het incident te volgen, de herstelprocedures te starten en de crisis te communiceren naar interne of externe belanghebbenden.

CyberFundamentals vereiste

Brainframe Oplossing

RS.CO-1: Personeel kent hun rollen en volgorde van operaties wanneer een reactie nodig is.

Organisaties moeten ervoor zorgen dat al het personeel dat betrokken is bij incidentrespons duidelijk hun rollen, doelstellingen, herstelprioriteiten, taakvolgordes en specifieke verantwoordelijkheden begrijpt. Regelmatige tests van het incidentresponsplan zijn essentieel om de effectiviteit ervan te waarborgen, en aanpassingen moeten na elk incident worden gedaan om eventuele hiaten aan te pakken.

• Je kunt rollen en doelstellingen definiëren binnen je incidentmanagementbeleid en dit naar de betrokken partijen sturen, en hun expliciete goedkeuring van het document aanvragen om ervoor te zorgen dat ze hun rollen hebben herzien en weten wat te doen in het geval van een incident.
• Je kunt regelmatige tests van het incidentresponsplan inplannen om de effectiviteit ervan te testen.

RS.CO-2: Incidenten worden gerapporteerd in overeenstemming met vastgestelde criteria.

Organisaties moeten een duidelijk proces implementeren voor het rapporteren van informatie- en cyberbeveiligingsincidenten op kritieke systemen binnen een gedefinieerde tijdsperiode. Het rapportageproces moet specificeren wie geïnformeerd moet worden en ervoor zorgen dat alle gebruikers een enkel contactpunt hebben voor het rapporteren van incidenten, wat snelle communicatie aanmoedigt. Rapportagecriteria moeten worden uiteengezet in het incidentresponsplan om consistentie en duidelijkheid te waarborgen over wanneer en hoe incidenten moeten worden gerapporteerd.

• Incidentrapportage wordt eenvoudig gemaakt met Brainframe, omdat het je in staat stelt om het rapportagesjabloon één keer te maken met alle criteria die je wilt laten uiteenzetten, en de belanghebbenden hoeven alleen maar het formulier in te vullen.
• Je kunt het incidentrapportagesjabloon direct koppelen aan het incidentresponsplan en het duidelijk en beknopt houden.

RS.CO-3: Informatie wordt gedeeld in overeenstemming met responsplannen.

Organisaties moeten ervoor zorgen dat informatie over informatie-/cyberbeveiligingsincidenten op een duidelijke en begrijpelijke manier aan werknemers wordt gecommuniceerd. Bovendien moet incidentinformatie worden gedeeld met relevante belanghebbenden, zowel intern als extern, zoals uiteengezet in het incidentresponsplan om gecoördineerde en effectieve reacties te waarborgen.

• Alle bevindingen die je wilt delen met je werknemers of belanghebbenden, intern of extern, kunnen binnen de tool worden gedeeld om verwarring en onnodige hoofdpijn te voorkomen over met wie je het hebt gedeeld.

CyberFundamentals vereiste

Brainframe Oplossing

RS.MI-3: Nieuw geïdentificeerde kwetsbaarheden worden gemitigeerd of gedocumenteerd als geaccepteerde risico's.

Organisaties moeten een uitgebreide incidentafhandelingscapaciteit implementeren voor informatie- en cybersecurity-incidenten die van invloed zijn op bedrijfskritische systemen. Dit proces moet alle fasen dekken, inclusief voorbereiding, detectie en analyse, containment, uitroeiing, herstel en gedocumenteerde risicobeheer. Risicoacceptatie houdt in dat risico's formeel worden erkend die als beheersbaar worden beoordeeld en binnen de risicobereidheid van de organisatie vallen, waarbij de risicodrager verantwoordelijk is voor deze beslissingen.

• Met de risicobeheerfunctionaliteiten van Brainframe kun je je incidentafhandelingsprocessen definiëren, afhankelijk van hoe je ze wilt afhandelen (verzachten, overdragen, accepteren,...)
• Het biedt een gecentraliseerd hulpmiddel om de actie te bepalen die je op elk risico wilt ondernemen, op basis van hun kritiek.
• Elk risico kan eigenschappen worden toegewezen om de genomen actie te rechtvaardigen.