RiLi-Sicherheitsvorfallmanagement

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Mustervorlage: "Richtlinie Sicherheitsvorfallmanagement"

Einleitung

Das Management von Sicherheitsvorfällen (Incident Response) ist ein Prozess zur Reaktion und Behebung von Sicherheitsvorfällen. Er umfasst die Schritte

  1. Erkennung von Sicherheitsvorfällen durch Überwachung von Aktivitäten, Meldungen von Benutzern oder automatische Alarme.
  2. Untersuchung des Vorfalls, um die Art und den Umfang des Vorfalls zu bestimmen.
  3. Behebung des Vorfalls durch Anwendung von Korrekturmaßnahmen, z. B. Isolierung von Systemen, Schließen von Sicherheitslücken, Entfernen von Malware usw.
  4. Dokumentation des Vorfalls und Durchführung von Folgemaßnahmen zur Vermeidung künftiger Vorfälle.

Geltungsbereich

Diese Richtlinie gilt für den gesamten Geltungsbereich des ISMS der Organisation und ist für alle Mitarbeitenden verbindlich.

Zielsetzung

Das Ziel des Sicherheitsvorfallmanagements ist es, die Auswirkungen von Sicherheitsvorfällen auf die Organisation zu minimieren und zukünftige Vorfälle zu verhindern. Es beinhaltet die rasche Erkennung und Reaktion auf Sicherheitsvorfälle, um Schäden und Datenverluste zu minimieren und eine schnellstmögliche Wiederherstellung von Geschäftsprozessen und Systemen zu gewährleisten. Auch die Nachverfolgung und Dokumentation von Vorfällen kann das Risikomanagement verbessern.

Definitionen

Ein sicherheitsrelevantes Ereignis ist ein Ereignis, das sich negativ auf die Sicherheit hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Systemen oder Ressourcen auswirkt.

Beispiele können technische Fehler, Hackerangriffe, Infektionen mit Schadsoftware oder Sicherheitslücken in Software sein. Es ist wichtig, solche Ereignisse schnell zu erkennen und angemessen zu reagieren, um den Schaden zu minimieren und weitere Gefährdungen zu vermeiden. Dazu gehören Maßnahmen wie die Durchführung von Sicherheitsaudits, die Überwachung von Netzwerken, regelmäßige Backups und das Einspielen von Sicherheitsupdates und Patches.

Sicherheitsproblem

Ein Sicherheitsproblem ist ein sicherheitsrelevantes Ereignis ohne erkennbaren Schaden, wie z.B. eine erkannte Schwachstelle, die offensichtlich noch nicht ausgenutzt wurde.

Sicherheitsvorfall

Ein Sicherheitsvorfall ist ein Sicherheitsproblem, das bereits zu einem Schaden geführt hat.

Sicherheitsvorfälle können durch einen gezielten oder ungezielten Angriff von außen oder innen, durch fahrlässiges Handeln, durch technisches Versagen oder durch Naturgewalten (Feuer, Wasser, Sturm) verursacht werden.

Notfall

Ein Notfall liegt vor, wenn die Auswirkungen eines Sicherheitsvorfalls zu einem längerfristigen Ausfall wichtiger Ressourcen führen und der reguläre Geschäftsbetrieb nicht innerhalb eines vereinbarten Zeitraums wiederhergestellt werden kann.

Kriese

Ein Notfall, bei dem die Existenz der Organisation oder das Leben und die Gesundheit von Menschen gefährdet sind, wird als Krise bezeichnet. Eine Krise ist ein schwerwiegendes und lang andauerndes Ereignis. Eine IT-Krise erfordert eine umfassende und strategische Reaktion, um die Auswirkungen auf die Organisation zu minimieren und den Betrieb wiederherzustellen.

Sicherheitsvorfall Management Prozess

In diesem Kapitel wird beschrieben, wie sicherheitsrelevante Ereignisse in der Organisation erkannt werden können und wie im Falle eines solchen Ereignisses zu verfahren ist.

Dieser Prozess beschränkt sich auf Sicherheitsprobleme und Sicherheitsvorfälle. Notfälle und Krisen werden im Notfallmanagement behandelt.

Erkennung

Um sicherheitsrelevante Ereignisse erkennen zu können, werden im Wesentlichen drei Quellen genutzt:

Überwachung (Monitoring und Protokollierung)

Das Netzwerk und alle relevanten Systeme Systeme werden überwacht. Ausfälle oder Unregelmäßigkeiten werden automatisiert an die zuständigen Administratoren gemeldet.

Ggf. Einsatz eines SIEM beschreiben, falls vorhanden.

Meldungen (intern und extern)

Alle Mitarbeitenden sind aufgefordert mögliche Sicherheitsprobleme oder -vorfälle unverzüglich zu melden. Dabei reicht bereits ein Verdacht aus.

Sicherheitsprobleme können zum Beispiel sein:

  • offene Fenster und Türen in sicherheitsrelevanten Bereichen
  • bei Abwesenheit nicht gesperrte Clients oder Konsolen
  • ungewöhnliche Geräusche oder ungewöhnliches Verhalten von Clients oder Servern
  • ungewöhnliche E-Mails oder Telefonanrufe
  • unbekannte Personen in nicht öffentlich zugänglichen Bereichen.

Sicherheitsvorfälle können zum Beispiel sein:

  • Diebstahl von Geräten
  • Hacker- oder Phishing-Angriffe
  • Malware-Infektionen (Viren, Trojaner, andere Schadsoftware)
  • Datenlecks (versehentliche oder absichtliche Freigabe vertraulicher Daten an Dritte)
  • Sicherheitslücken und Software-Fehler

Alle sicherheitsrelevanten Ereignisse sind unverzüglich an den Informationssicherheitsbeauftragten (Name, Tel., E-Mail) oder seinem Vertreter zu melden.

(alternativ Ticketsystem, Webformular im Intranet)

Für Externe (Kunden, Geschäftspartner) steht ein Web-Formular zur Verfügung oder die öffentliche E-Mail Adresse unserer Webseite: abuse@organisation.tdl. (hier die entsprechenden Möglichkeiten angeben)

Informationen aus externen Quellen (CERT)

Beschreibung externer Bezugsquellen wie z.B. CERT

Analyse

Klassfizierungsschemata der Organisation zur Bewertung von Vorfällen beschreiben

Zuständigkeiten

Beschreibung der zuständigen Organisationsstrukturen von ISB bis Administrator

Behandlung von Sicherheitsproblemen und Sicherheitsvorfällen

Auftretende Sicherheitsvorfälle und -probleme werden per E-Mail / im Ticketsystem erfasst und die Bearbeitung erfolgt durch das jeweils zuständige Team in Absprache mit dem ISB. Die Dokumentation ist obligatorisch, unabhängig davon, wie das Problem oder der Vorfall gemeldet oder erkannt wurde.

Abschluss und Dokumentation

Nach der Bearbeitung des Vorfalls erstellt das verantwortliche Team in Zusammenarbeit mit dem ISB eine kurze Abschlussanalyse. Bestandteile der Dokumentation sind die Bewertung des Vorfalls und die Umsetzung der gewonnenen Erkenntnisse (z.B. zukünftige Präventivmaßnahmen).

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=RiLi-Sicherheitsvorfallmanagement&oldid=533