Incident Management Flashcards
Ziel des Incident Managements
Behandlung von Informationssicherheitsvorfällen zur Verringerung des Schadens
Definition Incident ISO
Ein oder mehrere zusammenhängende Informationssicherheitsereignisse, die den Assets einer Organisation schaden oder ihren Betrieb gefährden können
Incident Management Prozess nach ITIL: Rollen
- Incident Manager: Prozessverantwortlicher
- Problem Manager: Überwachung von Problemen
- Incident Team: Behebung von Incidents
- Major Incident Team: Behebung von Major Incidents
Incident Management Prozess nach ITIL: Merkmale
- Incident Response Teams und wichtige Rollen
- Identifizierung von Vorfällen
- Aufzeichnung von Vorfällen
- Kategorisierung
- Priorisierung
- Initiale Diagnose
- Eskalation, Behebung & Wiederherstellung
- Abschluss- und Auswertungsprozess
NIST: Computer Security Incident Handling Guide: Incident Response Life Cycle
- Preparation
- Detection and Analysis
- Containment, Eradication and Recovery
- Post-Incident Activity
NIST: Computer Security Incident Handling Guide: Preparation
- Aufbau eines Incident Response Teams
-> Budget & Ressourcen, Weiterbildung, Unterstützung vom Management - Prävention von Incidents:
-> Awareness
-> Umsetzung von Maßnahmen aus der Risikoanalyse
NIST: Computer Security Incident Handling Guide: Incident Response Life Cycle: Detection and Analysis
- Identifikation von Security Incidents:
-> Erkennung von Fehlalarmen
-> Verwendung unterschiedlicher Quellen - Analyse des Ausmaßes:
-> Identifizierung betroffener Systemkomponenten
-> Profiling von Netzwerken und Systemen
-> Log Retention Policy - Dokumentation:
-> alle Informationen und Tätigkeiten
-> Durchführung in Zweier-Teams
-> regelmäßige Statusberichte - Priorisierung von Incidents:
-> Beachtung der Schwere der Auswirkungen auf Funktionalität, Informationen und Recoverability
NIST: Computer Security Incident Handling Guide: Incident Response Life Cycle: Containment, Eradication and Recovery
- Ziel: Schaden möglichst gering halten
- Verwendung von vorgefertigten Prozeduren
- Aufbewahrung von Beweisen zur Auswertung
- Bekämpfung des Incidents
- Wiederherstellung des Normalbetriebs
NIST: Computer Security Incident Handling Guide: Incident Response Life Cycle: Post-Incident Activity
- Report
-> Ursachen
-> Kosten
-> Schritte zur Verhinderung eines wiederholten Auftretens - Lessons Learned:
-> Meeting mit allen beteiligten Personen
-> Ziel: Verbesserung der Sicherheitsmaßnahmen
ISO 27035: Information Security Incident Management: Information Security Incident Prozess
- Plan & Prepare
- Identify, Detect & Report
- Assessment & Decision
- Responses
- Lessons Learned
ISO 27035: Information Security Incident Management: Information Security Incident Prozess: Plan & Prepare
- Erstellung von Richtlinien
- Etablierung von Rollen und Verantwortlichkeiten
- Erstellung eines Information Security Incident Management Plans
- Aufbau eines Awareness-Programms
ISO 27035: Information Security Incident Management: Information Security Incident Prozess: Identify, Detect & Report
- Feststellung und Meldung von Incidents
- Überwachung von Netzwerk- und Systemaktivitäten
- Sammlung von Hintergrundinformationen
ISO 27035: Information Security Incident Management: Information Security Incident Prozess: Assessment & Decision
- Rolleneinteilung mit Handlungsprotokoll
- Verifizierung der Existenz des Incidents
- Dokumentation des Vorfalls, Protokollierung sämtlicher Informationen, Ergebnisse und Entscheidungen
- Eskalation an höhere Ebenen
ISO 27035: Information Security Incident Management: Information Security Incident Prozess: Responses
- Zuweisung von internen und externen Ressourcen
- Klassifizierung des Vorfalls
- Ggf. Kommunikation des Vorfalls
- Behandlung des Incidents
- Abschluss des Incidents und der Dokumentation
ISO 27035: Information Security Incident Management: Information Security Incident Prozess: Lessons Learned
- Prüfung des bisherigen Vorgehens, Identifizierung von Verbesserungsmöglichkeiten
- Verbesserung der Policy, Risikoeinschätzung, Prozesse, etc.
- Regelmäßige Überprüfung des Incident Response Teams
