Die Stufen und Schlüsselmaßnahmen

Read more : Small
three people behind a computer

Small

Die Einstiegsstufe „Small“ ermöglicht es einer Organisation, eine erste Bewertung vorzunehmen, wobei Aspekte im Zusammenhang mit der internen Entwicklung von Anwendungen ausgeschlossen sind. Die Einstiegsstufe „Small“ ist für Kleinstunternehmen oder Organisationen mit begrenzten technischen Kenntnissen gedacht.

Herunterladen

Read more : CyFun® BASIC
three people behind a computer

CyFun® BASIC

Die Sicherheitsstufe „Basic“ umfasst die Standardmaßnahmen zur Informationssicherheit für alle Unternehmen. Diese bieten einen wirksamen Sicherheitswert mit Technologien und Prozessen, die in der Regel bereits verfügbar sind. Wo dies gerechtfertigt ist, werden die Maßnahmen angepasst und optimiert.

Herunterladen 

Read more : CyFun® IMPORTANT
three people behind a computer

CyFun® IMPORTANT

Die Sicherheitsstufe „Important“ wurde entwickelt, um die Risiken gezielter Cyberangriffe durch Akteure mit gängigen Fähigkeiten und Ressourcen zusätzlich zu den bekannten Cybersicherheitsrisiken zu minimieren.

Herunterladen 

Read more : CyFun® ESSENTIAL
three people behind a computer

CyFun® ESSENTIAL

Die Sicherheitsstufe „Essential“ geht noch einen Schritt weiter und wurde entwickelt, um dem Risiko fortgeschrittener Cyberangriffe durch Akteure mit umfangreichen Fähigkeiten und Ressourcen zu begegnen.

Herunterladen

Anwendungsfälle nach Reifegrad

Read more : Anwendungsfälle BASIC
A staircase diagram illustrating the CyberFundamentals Maturity Levels, with an upward arrow labeled “Cost & Complexity” on the left. There are 5 levels: Initial, Repeatable, Defined, Managed, Optimising

Anwendungsfälle BASIC

In diesem Dokument finden Sie eine detaillierte Beschreibung der Reifegrade und praktische Anwendungsfälle für die Sicherheitsstufe „Basic“, die Ihnen dabei helfen, Ihren Reifegrad für das Framework zu beurteilen.

Herunterladen 

Read more : Anwendungsfälle IMPORTANT
A staircase diagram illustrating the CyberFundamentals Maturity Levels, with an upward arrow labeled “Cost & Complexity” on the left. There are 5 levels: Initial, Repeatable, Defined, Managed, Optimising

Anwendungsfälle IMPORTANT

In diesem Dokument finden Sie eine detaillierte Beschreibung der Reifegrade und praktische Anwendungsfälle für die Sicherheitsstufe „Important“, die Ihnen dabei helfen, Ihren Reifegrad für das Framework zu beurteilen.

Herunterladen 

Read more : Anwendungsfälle ESSENTIAL
A staircase diagram illustrating the CyberFundamentals Maturity Levels, with an upward arrow labeled “Cost & Complexity” on the left. There are 5 levels: Initial, Repeatable, Defined, Managed, Optimising

Anwendungsfälle ESSENTIAL

In diesem Dokument finden Sie eine detaillierte Beschreibung der Reifegrade und praktische Anwendungsfälle für die Sicherheitsstufe „Essential“, die Ihnen dabei helfen, Ihren Reifegrad für das Framework zu beurteilen.

Herunterladen 

Selbstbewertungs-Tool

Read more : Selbstbewertung BASIC
cover_of_the_basic_booklet

Selbstbewertung BASIC

Dieses CyFun® Selbstbewertungs-Tool ist ein Tool im MS Excel-Format, das Entitäten mit der Sicherheitsstufe „Basic“ vorbereitet und Spinnendiagramme zur Unterstützung der Berichterstattung für das Management enthält.

Herunterladen 

Read more : Selbstbewertung IMPORTANT
cover_of_the_important_booklet

Selbstbewertung IMPORTANT

Dieses CyFun® Selbstbewertungs-Tool ist ein Tool im MS Excel-Format, das Entitäten mit der Sicherheitsstufe „Important“ vorbereitet und Spinnendiagramme zur Unterstützung der Berichterstattung für das Management enthält.

Herunterladen 

Read more : Selbstbewertung ESSENTIAL
cover_of_the_essential_booklet

Selbstbewertung ESSENTIAL

Dieses CyFun® Selbstbewertungs-Tool ist ein Tool im MS Excel-Format, das Entitäten mit der Sicherheitsstufe „Essential“ vorbereitet und Spinnendiagramme zur Unterstützung der Berichterstattung für das Management enthält.

Herunterladen

Wie wird das Selbstbewertungs-Tool verwendet?

1. Allgemeines

Zur Unterstützung des „CyberFundamentals Framework“ hat das Centre for Cybersecurity Belgium (CCB) ein Tool in MS© Excel entwickelt.

Das Selbstbewertungstool berücksichtigt die Anforderungen für die Sicherheitsstufe „Basic“, die Sicherheitsstufe „Important“ und die Sicherheitsstufe „Essential“ einer bestimmten Version des Frameworks sowie die im Conformity Assessment Scheme (CAS) festgelegten Anforderungen. Die Versionen des CyberFundamentals Frameworks und des CAS, an denen das Tool ausgerichtet ist, sind im Tool angegeben. Aus diesem Grund darf das Tool im Rahmen von Verifizierungs- oder Zertifizierungsaktivitäten nicht verändert werden.
 

2. Aufbau des Tools

Das Selbstbewertungs-Tool in MS© Excel umfasst mehrere Registerkarten, die jeweils eine eigene Funktion haben. Neben der Einführung, den Reifegraden und Referenzen gibt es Registerkarten mit den Kontrollen für die Sicherheitsstufen „Basic“, „Important“ und „Essential“ (Registerkarte „Details“) sowie für jede Sicherheitsstufe eine Zusammenfassung (Registerkarte „Summary“).

Die Kontrollen werden unter zwei Gesichtspunkten bewertet:

  • Reifegrad der Richtlinien: Die Bewertung der Richtlinienreife misst, wie gut Ihre schriftlichen Regeln und Verfahren die Kontrollen des CyberFundamentals Framework erfüllen.

  • Reifegrad der Implementierung: Bei der Bewertung des Reifegrads der Implementierung wird beurteilt, wie ausgereift Ihre tatsächlichen betrieblichen Praktiken in Bezug auf das CyberFundamentals Framework sind.

Die nachstehende Tabelle zeigt die verschiedenen Reifegrade und die Definitionen, die zur Bewertung des Reifegrads aus beiden Perspektiven verwendet werden:

A table comparing five CyberFundamentals maturity levels across two dimensions: Policy Maturity and Implementation Maturity. The rows represent levels from bottom to top: Initial (Level 1): Policy: No process documentation or not formally approved by management. Implementation: Standard process does not exist. Repeatable (Level 2): Policy: Formally approved process documentation exists but not reviewed in the previous 2 years. Implementation: Ad-hoc process exists and is done informally. Defined (Level 3): Policy: Formally approved process documentation exists; exceptions are documented and approved. Documented and approved exceptions occur less than 5% of the time. Implementation: Formal process exists and is implemented. Evidence available for most activities. Less than 10% process exceptions. Managed (Level 4): Policy: Formally approved process documentation exists; exceptions documented and approved. Documented and approved exceptions occur less than 3% of the time. Implementation: Formal process exists and is implemented. Evidence available for all activities. Detailed metrics captured and reported. Minimal target for metrics established. Less than 5% process exceptions. Optimizing (Level 5): Policy: Formally approved process documentation exists; exceptions documented and approved. Documented and approved exceptions occur less than 0.5% of the time. Implementation: Formal process exists and is implemented. Evidence available for all activities. Detailed metrics captured and reported. Minimal target for metrics established and continually improving. Less than 1% process exceptions.
3. Berechnungsmethode

  • Eine Unterkategorie kann aus mehreren Kontrollen bestehen, und jede dieser Kontrollen wird im Hinblick auf Dokumentation und Implementierung gemäß der obigen Reifetabelle bewertet. Für jede Kontrolle muss in der Registerkarte „Details“ der entsprechenden Sicherheitsstufe ein Wert zwischen 1 und 5 eingegeben werden. Das Tool berechnet einen arithmetischen Durchschnitt für Dokumentation und Implementierung pro Unterkategorie (z. B. ID.AM-1), um dann einen weiteren arithmetischen Durchschnitt für Dokumentation und Implementierung pro Kategorie (z. B. ID.AM) zu berechnen.

  • Diese berechneten Werte sind in der Registerkarte „Details” der jeweiligen Sicherheitsstufe einsehbar.

4.  Zusammenfassender Bericht

  • Die Registerkarte „Zusammenfassung“ für die jeweiligen CyberFundamentals-Sicherheitsstufen enthält: 

  • Einen allgemeinen Reifegrad („Gesamtreifegrad“), der als arithmetischer Mittelwert der Reifegrade der einzelnen Kategorien berechnet wird.
  • Eine Zusammenfassung der verschiedenen Reifegrade für jede Kategorie unter Verwendung der jeweiligen Werte der arithmetischen Mittelwerte, die auf der Registerkarte „Details“ berechnet wurden.
  • Eine Auflistung der wichtigsten zu erfüllenden Maßnahmen, deren Daten den in der Registerkarte „Details“ eingegebenen Werten entnommen werden.
  • Auf der Grundlage der Daten aus der Zusammenfassung der Kategorien wird auch ein Radardiagramm (Spinnendiagramm) angezeigt.5. Feststellung der Konformität mit dem Conformity Assessment Scheme (CAS) 
5.   Feststellung der Konformität mit dem Conformity Assessment Scheme (CAS)

  • Die Übersicht enthält die Zielwerte, die für die im CAS beschriebenen spezifischen Sicherheitsstufen festgelegt wurden. Anhand dieser Zielwerte werden die Werte der Selbstbewertung bewertet.

  • Wenn sich die Werte rot färben, entspricht man nicht dem geforderten Reifegrad, grün bedeutet Konformität.