Cyberfundamentals Framework
Het Cyberfundamentals Framework is een reeks concrete maatregelen om:
- gegevens te beschermen,
- het risico op de meest voorkomende cyberaanvallen aanzienlijk te verminderen,
- de cyberweerbaarheid van een organisatie te vergroten.
Het raamwerk is gebaseerd op en gekoppeld aan 4 veelgebruikte cyberbeveiligingsraamwerken: NIST CSF, ISO 27001 / ISO 27002, CIS Controls en IEC 62443. Het maakt gebruik van de functies van elk cyberbeveiligingsraamwerk.
De niveaus en belangrijkste maatregelen Om in te spelen op de ernst van de dreiging waaraan een organisatie is blootgesteld, worden naast het startniveau Small 3 zekerheidsniveaus geboden: Basis, Belangrijk en Essentieel. Op basis van onze historische gegevens is een retro-fitting uitgevoerd op succesvolle cyberaanvallen met behulp van geanonimiseerde gegevens. De conclusie is dat:
- maatregelen in assurance niveau Basis 82% van de aanvallen kunnen afdekken,
- maatregelen op niveau Belangrijk 94% van de aanvallen kunnen afdekken,
- maatregelen op het niveau Essentieel 100% van de aanvallen dekken.
Op basis van deze aanvallen zijn voor elk niveau kernmaatregelen vastgesteld om de tegenmaatregelen ter bescherming tegen de bekende cyberaanvallen die voor dat zekerheidsniveau relevant zijn, te prioriteren.
Small
Met het startersniveau Small kan een organisatie een eerste inschatting maken. Het is bedoeld voor micro-organisaties of organisaties met een beperkte technische kennis.
Basis
Het zekerheidsniveau Basis bevat de standaardmaatregelen voor informatiebeveiliging voor alle ondernemingen. Deze bieden een effectieve beveiligingswaarde met technologie en processen die over het algemeen al beschikbaar zijn. Waar gerechtvaardigd, zijn de maatregelen op maat gesneden en verfijnd.
Belangrijk
Het zekerheidsniveau Belangrijk is bedoeld om naast de gekende cyberbeveiligingsrisico’s ook de risico’s op gerichte cyberaanvallen door actoren met gebruikelijke vaardigheden en middelen tot een minimum te beperken.
Essentieel
Het zekerheidsniveau Essentieel gaat nog een stap verder en is bedoeld om een antwoord te bieden op het risico op geavanceerde cyberaanvallen door actoren met uitgebreide vaardigheden en middelen.