RiLi-Sicherheitsvorfallmanagement: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 8: Zeile 8:
== Einleitung ==
== Einleitung ==


Das Sicherheitsvorfallmanagement (Incident Response) ist ein Prozess zur Reaktion und Behebung von Sicherheitsvorfällen. Es umfasst die Schritte:
Das Management von Sicherheitsvorfällen (Incident Response) ist ein Prozess zur Reaktion und Behebung von Sicherheitsvorfällen. Er umfasst die Schritte


# Erkennung von Sicherheitsvorfällen durch Überwachung von Aktivitäten, Meldungen von Benutzern oder automatische Alarme.
# Erkennung von Sicherheitsvorfällen durch Überwachung von Aktivitäten, Meldungen von Benutzern oder automatische Alarme.
# Untersuchung des Vorfalls, um die Art und den Umfang des Vorfalls zu bestimmen.
# Untersuchung des Vorfalls, um die Art und den Umfang des Vorfalls zu bestimmen.
# Behebung des Vorfalls durch die Anwendung von Korrekturmaßnahmen, wie z.B. das isolieren von Systemen, das Schließen von Sicherheitslücken, das Löschen von Malware, usw.
# Behebung des Vorfalls durch Anwendung von Korrekturmaßnahmen, z. B. Isolierung von Systemen, Schließen von Sicherheitslücken, Entfernen von Malware usw.
# Dokumentation des Vorfalls und Durchführung einer Nachbereitung, um zukünftige Vorfälle zu verhindern.
# Dokumentation des Vorfalls und Durchführung von Folgemaßnahmen zur Vermeidung künftiger Vorfälle.


== Geltungsbereich ==
== Geltungsbereich ==
Diese Richtlinie gilt für den gesamten Geltungsbereich des ISMS der Organisation und ist für alle Mitarbeitenden verbindlich.


== Zielsetzung  ==
== Zielsetzung  ==


Das Ziel des Sicherheitsvorfallmanagements ist es, die Auswirkungen von Sicherheitsvorfällen auf die Organisation zu minimieren und zukünftige Vorfälle zu verhindern. Es beinhaltet die schnelle Erkennung und Reaktion auf Sicherheitsvorfälle, um Schaden und Datenverlust zu minimieren und die Wiederherstellung von Betriebsabläufen und Systemen schnellstmöglich sicherzustellen. Durch die Durchführung von Nachbereitungen und die Dokumentation von Vorfällen kann auch das Risikomanagement verbessert werden.
Das Ziel des Sicherheitsvorfallmanagements ist es, die Auswirkungen von Sicherheitsvorfällen auf die Organisation zu minimieren und zukünftige Vorfälle zu verhindern. Es beinhaltet die rasche Erkennung und Reaktion auf Sicherheitsvorfälle, um Schäden und Datenverluste zu minimieren und eine schnellstmögliche Wiederherstellung von Geschäftsprozessen und Systemen zu gewährleisten. Auch die Nachverfolgung und Dokumentation von Vorfällen kann das Risikomanagement verbessern.


== Definitionen  ==
== Definitionen  ==


Ein sicherheitsrelevantes Ereignis ist ein Ereignis, das sich negativ auf die Sicherheit, bezogen auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Systemen oder Ressourcen auswirkt.
Ein sicherheitsrelevantes Ereignis ist ein Ereignis, das sich negativ auf die Sicherheit hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Systemen oder Ressourcen auswirkt.


Beispiele hierfür können technische Fehler, Hackerangriffe, Malware-Infektionen oder Sicherheitslücken in Software sein. Es ist wichtig, solche Ereignisse schnell zu erkennen und angemessen zu reagieren, um Schäden zu minimieren und weitere Gefahren zu vermeiden. Dazu gehören Maßnahmen wie das Durchführen von Sicherheits-Audits, das Überwachen von Netzwerken, regelmäßige Backups und die Anwendung von Sicherheitsupdates und Patches.
Beispiele können technische Fehler, Hackerangriffe, Infektionen mit Schadsoftware oder Sicherheitslücken in Software sein. Es ist wichtig, solche Ereignisse schnell zu erkennen und angemessen zu reagieren, um den Schaden zu minimieren und weitere Gefährdungen zu vermeiden. Dazu gehören Maßnahmen wie die Durchführung von Sicherheitsaudits, die Überwachung von Netzwerken, regelmäßige Backups und das Einspielen von Sicherheitsupdates und Patches.


=== Sicherheitsproblem ===
=== Sicherheitsproblem ===
Zeile 35: Zeile 36:
Ein Sicherheitsvorfall ist ein Sicherheitsproblem, das bereits zu einem Schaden geführt hat.
Ein Sicherheitsvorfall ist ein Sicherheitsproblem, das bereits zu einem Schaden geführt hat.


Sicherheitsvorfälle können aufgrund eines gezielten oder ungezielten Angriffs von außen oder innen, aufgrund von fahrlässigem Handeln, von technischen Störungen oder von Naturgewalten (Feuer, Wasser, Sturm) verursacht werden.  
Sicherheitsvorfälle können durch einen gezielten oder ungezielten Angriff von außen oder innen, durch fahrlässiges Handeln, durch technisches Versagen oder durch Naturgewalten (Feuer, Wasser, Sturm) verursacht werden.


=== Notfall ===
=== Notfall ===


Wenn die Auswirkungen eines Sicherheitsvorfalls zu einem längeren Ausfall wichtiger Ressourcen führen und der reguläre Geschäftsbetrieb nicht innerhalb eines vereinbarten Zeitraums wiederhergestellt werden kann, spricht man von einem Notfall.
Ein Notfall liegt vor, wenn die Auswirkungen eines Sicherheitsvorfalls zu einem längerfristigen Ausfall wichtiger Ressourcen führen und der reguläre Geschäftsbetrieb nicht innerhalb eines vereinbarten Zeitraums wiederhergestellt werden kann.


=== Kriese ===
=== Kriese ===


Ein Notfall, bei dem die Existenz der Organisation oder das Leben und die Gesundheit von Personen gefährdet sind, wird als Krise bezeichnet. Eine Krise ist ein langfristiges und ernstes Ereignis. Eine IT-Krise erfordert eine umfassende und strategische Reaktion, um die Auswirkungen auf die Organisation zu minimieren und den Betrieb wiederherzustellen.
Ein Notfall, bei dem die Existenz der Organisation oder das Leben und die Gesundheit von Menschen gefährdet sind, wird als Krise bezeichnet. Eine Krise ist ein schwerwiegendes und lang andauerndes Ereignis. Eine IT-Krise erfordert eine umfassende und strategische Reaktion, um die Auswirkungen auf die Organisation zu minimieren und den Betrieb wiederherzustellen.


== Sicherheitsvorfall Management Prozess ==
== Sicherheitsvorfall Management Prozess ==


In diesem Kapitel wird beschrieben, wie eine Erkennung von sicherheitsrelevanten Ereignissen in der Organisation ermöglicht wird und wie im Falle eines solchen Ereignisses zu verfahren ist.
In diesem Kapitel wird beschrieben, wie sicherheitsrelevante Ereignisse in der Organisation erkannt werden können und wie im Falle eines solchen Ereignisses zu verfahren ist.


Dieser Prozess beschränkt sich auf Sicherheitsprobleme und Sicherheitsvorfälle. Notfälle und Kriesen werden im Notfallmanagement behandelt.
Dieser Prozess beschränkt sich auf Sicherheitsprobleme und Sicherheitsvorfälle. Notfälle und Krisen werden im [[RiLi-Notfallmanagement (BCM)|Notfallmanagement]] behandelt.


=== Erkennung ===
=== Erkennung ===
Zeile 55: Zeile 56:
Um sicherheitsrelevante Ereignisse erkennen zu können, werden im Wesentlichen drei Quellen genutzt:
Um sicherheitsrelevante Ereignisse erkennen zu können, werden im Wesentlichen drei Quellen genutzt:


==== Monitoring (Überwachung und Protokollierung) ====
==== Überwachung (Monitoring und Protokollierung) ====


Das Netzwerk und alle relevanten Systeme Systeme werden überwacht. Ausfälle oder Unregelmäßigkeiten werden automatisiert an die zuständigen Administratoren gemeldet.
Das Netzwerk und alle relevanten Systeme Systeme werden überwacht. Ausfälle oder Unregelmäßigkeiten werden automatisiert an die zuständigen Administratoren gemeldet.


''Ggf. Einsatz eines SIEM beschreiben, falls vorhanden''
''Ggf. Einsatz eines SIEM beschreiben, falls vorhanden.''


==== Meldungen (intern und extern) ====
==== Meldungen (intern und extern) ====


Alle Mitarbeitenden sind aufgefordert mögliche Sicherheitsprobleme oder -vorfälle unverzüglich zu melde. Hierzu ist bereits ein Verdacht ausreichend.
Alle Mitarbeitenden sind aufgefordert mögliche Sicherheitsprobleme oder -vorfälle unverzüglich zu melden. Dabei reicht bereits ein Verdacht aus.


Sicherheitsprobleme können z.B. sein:
Sicherheitsprobleme können zum Beispiel sein:
*  offene Fenster und Türen in sicherheitsrelevanten Bereichen
*  offene Fenster und Türen in sicherheitsrelevanten Bereichen
*  bei Abwesenheit nicht gesperrte Clients oder Konsolen
*  bei Abwesenheit nicht gesperrte Clients oder Konsolen
*  ungewöhnliche Geräusche oder ungewöhnliches verhalten von Clients oder Servern
*  ungewöhnliche Geräusche oder ungewöhnliches Verhalten von Clients oder Servern
*  ungewöhnliche E-Mails oder Anrufe
*  ungewöhnliche E-Mails oder Telefonanrufe
*  unbekannte Personen in nicht öffentlich zugänglichen Bereichen.
*  unbekannte Personen in nicht öffentlich zugänglichen Bereichen.


Sicherheitsvorfälle können z.B. sein:
Sicherheitsvorfälle können zum Beispiel sein:
*  Diebstahl von Geräten
*  Diebstahl von Geräten
*  Hacker- oder Phishing-Angriffe
*  Hacker- oder Phishing-Angriffe
Maleware-Infektionen (Viren, Trojaner, sonstige Schadsoftware)
Malware-Infektionen (Viren, Trojaner, andere Schadsoftware)
*  Datenlecks (Unbeabsichtigte oder absichtliche Freigabe von vertraulichen Daten an Dritte)
*  Datenlecks (versehentliche oder absichtliche Freigabe vertraulicher Daten an Dritte)
*  Sicherheitslücken und Softwarefehler
*  Sicherheitslücken und Software-Fehler


Alle sicherheitsrelevanten Ereignisse sind unverzüglich an den Informationssicherheitsbeauftragten (''Name, Tel., E-Mail'') oder seinen Vertreter zu melden.
Alle sicherheitsrelevanten Ereignisse sind unverzüglich an den Informationssicherheitsbeauftragten (''Name, Tel., E-Mail'') oder seinem Vertreter zu melden.


''(alternativ Ticketsystem, Webformular im Intranet)''
''(alternativ Ticketsystem, Webformular im Intranet)''


Für Externe (Kunden, Geschäftspartner) steht ein Webformular zur Verfügung oder die öffentliche E-Mail Adresse unserer Webseite: [mailto:abise@organisation.tdl abuse@organisation.tdl].  
Für Externe (Kunden, Geschäftspartner) steht ein Web-Formular zur Verfügung oder die öffentliche E-Mail Adresse unserer Webseite: [mailto:abise@organisation.tdl abuse@organisation.tdl]. ''(hier die entsprechenden Möglichkeiten angeben)''


==== Informationen aus externen Quellen (CERT) ====
==== Informationen aus externen Quellen (CERT) ====
Zeile 91: Zeile 92:
=== Analyse ===
=== Analyse ===


'' Klassfizierungsschemata zur Bewertung von Vorfällen? ''
'' Klassfizierungsschemata der Organisation zur Bewertung von Vorfällen beschreiben ''


=== Zuständigkeiten ===
=== Zuständigkeiten ===
Zeile 99: Zeile 100:
=== Behandlung von Sicherheitsproblemen und Sicherheitsvorfällen ===
=== Behandlung von Sicherheitsproblemen und Sicherheitsvorfällen ===


Auftretende Sicherheitsvorfälle und –probleme werden ''per Email / im Ticketsystem'' erfasst und deren Bearbeitung durch das jeweils zuständige Team unter Rücksprache mit dem ISB durchgeführt. Die Dokumentation ist zwingend erforderlich, unabhängig davon, wie das Problem oder der Vorfall gemeldet oder erkannt wurde.  
Auftretende Sicherheitsvorfälle und -probleme werden ''per E-Mail / im Ticketsystem'' erfasst und die Bearbeitung erfolgt durch das jeweils zuständige Team in Absprache mit dem ISB. Die Dokumentation ist obligatorisch, unabhängig davon, wie das Problem oder der Vorfall gemeldet oder erkannt wurde.  


=== Abschluss und Dokumentation ===
=== Abschluss und Dokumentation ===


Nach der Vorfallsbearbeitung erstellt das verantwortliche Team eine kurze Abschlussanalyse in Zusammenarbeit mit dem ISB. Bestandteile der Dokumentation sind die Auswertung des Vorfalls und die Umsetzung gewonnener Erkenntnisse (z. B. zukünftige präventive Maßnahmen).
Nach der Bearbeitung des Vorfalls erstellt das verantwortliche Team in Zusammenarbeit mit dem ISB eine kurze Abschlussanalyse. Bestandteile der Dokumentation sind die Bewertung des Vorfalls und die Umsetzung der gewonnenen Erkenntnisse (z.B. zukünftige Präventivmaßnahmen).


== Schlussbemerkung ==
== Schlussbemerkung ==

Version vom 2. August 2023, 16:31 Uhr

Mustervorlage: "Richtlinie Sicherheitsvorfallmanagement"

Einleitung

Das Management von Sicherheitsvorfällen (Incident Response) ist ein Prozess zur Reaktion und Behebung von Sicherheitsvorfällen. Er umfasst die Schritte

  1. Erkennung von Sicherheitsvorfällen durch Überwachung von Aktivitäten, Meldungen von Benutzern oder automatische Alarme.
  2. Untersuchung des Vorfalls, um die Art und den Umfang des Vorfalls zu bestimmen.
  3. Behebung des Vorfalls durch Anwendung von Korrekturmaßnahmen, z. B. Isolierung von Systemen, Schließen von Sicherheitslücken, Entfernen von Malware usw.
  4. Dokumentation des Vorfalls und Durchführung von Folgemaßnahmen zur Vermeidung künftiger Vorfälle.

Geltungsbereich

Diese Richtlinie gilt für den gesamten Geltungsbereich des ISMS der Organisation und ist für alle Mitarbeitenden verbindlich.

Zielsetzung

Das Ziel des Sicherheitsvorfallmanagements ist es, die Auswirkungen von Sicherheitsvorfällen auf die Organisation zu minimieren und zukünftige Vorfälle zu verhindern. Es beinhaltet die rasche Erkennung und Reaktion auf Sicherheitsvorfälle, um Schäden und Datenverluste zu minimieren und eine schnellstmögliche Wiederherstellung von Geschäftsprozessen und Systemen zu gewährleisten. Auch die Nachverfolgung und Dokumentation von Vorfällen kann das Risikomanagement verbessern.

Definitionen

Ein sicherheitsrelevantes Ereignis ist ein Ereignis, das sich negativ auf die Sicherheit hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Systemen oder Ressourcen auswirkt.

Beispiele können technische Fehler, Hackerangriffe, Infektionen mit Schadsoftware oder Sicherheitslücken in Software sein. Es ist wichtig, solche Ereignisse schnell zu erkennen und angemessen zu reagieren, um den Schaden zu minimieren und weitere Gefährdungen zu vermeiden. Dazu gehören Maßnahmen wie die Durchführung von Sicherheitsaudits, die Überwachung von Netzwerken, regelmäßige Backups und das Einspielen von Sicherheitsupdates und Patches.

Sicherheitsproblem

Ein Sicherheitsproblem ist ein sicherheitsrelevantes Ereignis ohne erkennbaren Schaden, wie z.B. eine erkannte Schwachstelle, die offensichtlich noch nicht ausgenutzt wurde.

Sicherheitsvorfall

Ein Sicherheitsvorfall ist ein Sicherheitsproblem, das bereits zu einem Schaden geführt hat.

Sicherheitsvorfälle können durch einen gezielten oder ungezielten Angriff von außen oder innen, durch fahrlässiges Handeln, durch technisches Versagen oder durch Naturgewalten (Feuer, Wasser, Sturm) verursacht werden.

Notfall

Ein Notfall liegt vor, wenn die Auswirkungen eines Sicherheitsvorfalls zu einem längerfristigen Ausfall wichtiger Ressourcen führen und der reguläre Geschäftsbetrieb nicht innerhalb eines vereinbarten Zeitraums wiederhergestellt werden kann.

Kriese

Ein Notfall, bei dem die Existenz der Organisation oder das Leben und die Gesundheit von Menschen gefährdet sind, wird als Krise bezeichnet. Eine Krise ist ein schwerwiegendes und lang andauerndes Ereignis. Eine IT-Krise erfordert eine umfassende und strategische Reaktion, um die Auswirkungen auf die Organisation zu minimieren und den Betrieb wiederherzustellen.

Sicherheitsvorfall Management Prozess

In diesem Kapitel wird beschrieben, wie sicherheitsrelevante Ereignisse in der Organisation erkannt werden können und wie im Falle eines solchen Ereignisses zu verfahren ist.

Dieser Prozess beschränkt sich auf Sicherheitsprobleme und Sicherheitsvorfälle. Notfälle und Krisen werden im Notfallmanagement behandelt.

Erkennung

Um sicherheitsrelevante Ereignisse erkennen zu können, werden im Wesentlichen drei Quellen genutzt:

Überwachung (Monitoring und Protokollierung)

Das Netzwerk und alle relevanten Systeme Systeme werden überwacht. Ausfälle oder Unregelmäßigkeiten werden automatisiert an die zuständigen Administratoren gemeldet.

Ggf. Einsatz eines SIEM beschreiben, falls vorhanden.

Meldungen (intern und extern)

Alle Mitarbeitenden sind aufgefordert mögliche Sicherheitsprobleme oder -vorfälle unverzüglich zu melden. Dabei reicht bereits ein Verdacht aus.

Sicherheitsprobleme können zum Beispiel sein:

  • offene Fenster und Türen in sicherheitsrelevanten Bereichen
  • bei Abwesenheit nicht gesperrte Clients oder Konsolen
  • ungewöhnliche Geräusche oder ungewöhnliches Verhalten von Clients oder Servern
  • ungewöhnliche E-Mails oder Telefonanrufe
  • unbekannte Personen in nicht öffentlich zugänglichen Bereichen.

Sicherheitsvorfälle können zum Beispiel sein:

  • Diebstahl von Geräten
  • Hacker- oder Phishing-Angriffe
  • Malware-Infektionen (Viren, Trojaner, andere Schadsoftware)
  • Datenlecks (versehentliche oder absichtliche Freigabe vertraulicher Daten an Dritte)
  • Sicherheitslücken und Software-Fehler

Alle sicherheitsrelevanten Ereignisse sind unverzüglich an den Informationssicherheitsbeauftragten (Name, Tel., E-Mail) oder seinem Vertreter zu melden.

(alternativ Ticketsystem, Webformular im Intranet)

Für Externe (Kunden, Geschäftspartner) steht ein Web-Formular zur Verfügung oder die öffentliche E-Mail Adresse unserer Webseite: abuse@organisation.tdl. (hier die entsprechenden Möglichkeiten angeben)

Informationen aus externen Quellen (CERT)

Beschreibung externer Bezugsquellen wie z.B. CERT

Analyse

Klassfizierungsschemata der Organisation zur Bewertung von Vorfällen beschreiben

Zuständigkeiten

Beschreibung der zuständigen Organisationsstrukturen von ISB bis Administrator

Behandlung von Sicherheitsproblemen und Sicherheitsvorfällen

Auftretende Sicherheitsvorfälle und -probleme werden per E-Mail / im Ticketsystem erfasst und die Bearbeitung erfolgt durch das jeweils zuständige Team in Absprache mit dem ISB. Die Dokumentation ist obligatorisch, unabhängig davon, wie das Problem oder der Vorfall gemeldet oder erkannt wurde.

Abschluss und Dokumentation

Nach der Bearbeitung des Vorfalls erstellt das verantwortliche Team in Zusammenarbeit mit dem ISB eine kurze Abschlussanalyse. Bestandteile der Dokumentation sind die Bewertung des Vorfalls und die Umsetzung der gewonnenen Erkenntnisse (z.B. zukünftige Präventivmaßnahmen).

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=RiLi-Sicherheitsvorfallmanagement&oldid=533