RiLi-Sicherheitsvorfallmanagement: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) K (→Inkrafttreten) |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| Zeile 110: | Zeile 110: | ||
Unterschrift, Name der Leitung | Unterschrift, Name der Leitung | ||
[[Kategorie:Mustervorlage]] | |||
[[Kategorie:Richtlinie]] | |||
Version vom 6. Februar 2023, 23:24 Uhr
Mustervorlage: "Richtlinie Sicherheitsvorfallmanagement"
Einleitung
Das Sicherheitsvorfallmanagement (Incident Response) ist ein Prozess zur Reaktion und Behebung von Sicherheitsvorfällen. Es umfasst die Schritte:
- Erkennung von Sicherheitsvorfällen durch Überwachung von Aktivitäten, Meldungen von Benutzern oder automatische Alarme.
- Untersuchung des Vorfalls, um die Art und den Umfang des Vorfalls zu bestimmen.
- Behebung des Vorfalls durch die Anwendung von Korrekturmaßnahmen, wie z.B. das isolieren von Systemen, das Schließen von Sicherheitslücken, das Löschen von Malware, usw.
- Dokumentation des Vorfalls und Durchführung einer Nachbereitung, um zukünftige Vorfälle zu verhindern.
Geltungsbereich
Zielsetzung
Das Ziel des Sicherheitsvorfallmanagements ist es, die Auswirkungen von Sicherheitsvorfällen auf die Organisation zu minimieren und zukünftige Vorfälle zu verhindern. Es beinhaltet die schnelle Erkennung und Reaktion auf Sicherheitsvorfälle, um Schaden und Datenverlust zu minimieren und die Wiederherstellung von Betriebsabläufen und Systemen schnellstmöglich sicherzustellen. Durch die Durchführung von Nachbereitungen und die Dokumentation von Vorfällen kann auch das Risikomanagement verbessert werden.
Definitionen
Ein sicherheitsrelevantes Ereignis ist ein Ereignis, das sich negativ auf die Sicherheit, bezogen auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Systemen oder Ressourcen auswirkt.
Beispiele hierfür können technische Fehler, Hackerangriffe, Malware-Infektionen oder Sicherheitslücken in Software sein. Es ist wichtig, solche Ereignisse schnell zu erkennen und angemessen zu reagieren, um Schäden zu minimieren und weitere Gefahren zu vermeiden. Dazu gehören Maßnahmen wie das Durchführen von Sicherheits-Audits, das Überwachen von Netzwerken, regelmäßige Backups und die Anwendung von Sicherheitsupdates und Patches.
Sicherheitsproblem
Ein Sicherheitsproblem ist ein sicherheitsrelevantes Ereignis ohne erkennbaren Schaden, wie z.B. eine erkannte Schwachstelle, die offensichtlich noch nicht ausgenutzt wurde.
Sicherheitsvorfall
Ein Sicherheitsvorfall ist ein Sicherheitsproblem, das bereits zu einem Schaden geführt hat.
Sicherheitsvorfälle können aufgrund eines gezielten oder ungezielten Angriffs von außen oder innen, aufgrund von fahrlässigem Handeln, von technischen Störungen oder von Naturgewalten (Feuer, Wasser, Sturm) verursacht werden.
Notfall
Wenn die Auswirkungen eines Sicherheitsvorfalls zu einem längeren Ausfall wichtiger Ressourcen führen und der reguläre Geschäftsbetrieb nicht innerhalb eines vereinbarten Zeitraums wiederhergestellt werden kann, spricht man von einem Notfall.
Kriese
Ein Notfall, bei dem die Existenz der Organisation oder das Leben und die Gesundheit von Personen gefährdet sind, wird als Krise bezeichnet. Eine Krise ist ein langfristiges und ernstes Ereignis. Eine IT-Krise erfordert eine umfassende und strategische Reaktion, um die Auswirkungen auf die Organisation zu minimieren und den Betrieb wiederherzustellen.
Sicherheitsvorfall Management Prozess
In diesem Kapitel wird beschrieben, wie eine Erkennung von sicherheitsrelevanten Ereignissen in der Organisation ermöglicht wird und wie im Falle eines solchen Ereignisses zu verfahren ist.
Dieser Prozess beschränkt sich auf Sicherheitsprobleme und Sicherheitsvorfälle. Notfälle und Kriesen werden im Notfallmanagement behandelt.
Erkennung
Um sicherheitsrelevante Ereignisse erkennen zu können, werden im Wesentlichen drei Quellen genutzt:
Monitoring (Überwachung und Protokollierung)
Das Netzwerk und alle relevanten Systeme Systeme werden überwacht. Ausfälle oder Unregelmäßigkeiten werden automatisiert an die zuständigen Administratoren gemeldet.
Ggf. Einsatz eines SIEM beschreiben, falls vorhanden
Meldungen (intern und extern)
Alle Mitarbeitenden sind aufgefordert mögliche Sicherheitsprobleme oder -vorfälle unverzüglich zu melde. Hierzu ist bereits ein Verdacht ausreichend.
Sicherheitsprobleme können z.B. sein:
- offene Fenster und Türen in sicherheitsrelevanten Bereichen
- bei Abwesenheit nicht gesperrte Clients oder Konsolen
- ungewöhnliche Geräusche oder ungewöhnliches verhalten von Clients oder Servern
- ungewöhnliche E-Mails oder Anrufe
- unbekannte Personen in nicht öffentlich zugänglichen Bereichen.
Sicherheitsvorfälle können z.B. sein:
- Diebstahl von Geräten
- Hacker- oder Phishing-Angriffe
- Maleware-Infektionen (Viren, Trojaner, sonstige Schadsoftware)
- Datenlecks (Unbeabsichtigte oder absichtliche Freigabe von vertraulichen Daten an Dritte)
- Sicherheitslücken und Softwarefehler
Alle sicherheitsrelevanten Ereignisse sind unverzüglich an den Informationssicherheitsbeauftragten (Name, Tel., E-Mail) oder seinen Vertreter zu melden.
(alternativ Ticketsystem, Webformular im Intranet)
Für Externe (Kunden, Geschäftspartner) steht ein Webformular zur Verfügung oder die öffentliche E-Mail Adresse unserer Webseite: abuse@organisation.tdl.
Informationen aus externen Quellen (CERT)
Beschreibung externer Bezugsquellen wie z.B. CERT
Analyse
Klassfizierungsschemata zur Bewertung von Vorfällen?
Zuständigkeiten
Beschreibung der zuständigen Organisationsstrukturen von ISB bis Administrator
Behandlung von Sicherheitsproblemen und Sicherheitsvorfällen
Auftretende Sicherheitsvorfälle und –probleme werden per Email / im Ticketsystem erfasst und deren Bearbeitung durch das jeweils zuständige Team unter Rücksprache mit dem ISB durchgeführt. Die Dokumentation ist zwingend erforderlich, unabhängig davon, wie das Problem oder der Vorfall gemeldet oder erkannt wurde.
Abschluss und Dokumentation
Nach der Vorfallsbearbeitung erstellt das verantwortliche Team eine kurze Abschlussanalyse in Zusammenarbeit mit dem ISB. Bestandteile der Dokumentation sind die Auswertung des Vorfalls und die Umsetzung gewonnener Erkenntnisse (z. B. zukünftige präventive Maßnahmen).
Schlussbemerkung
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung
