Richtlinie zur Reaktion auf Vorfälle

1. Plan & Überblick

1.1 Definition

Dieses Dokument bietet Anleitung für Mitarbeiter oder Personen, die auf Vorfälle reagieren und glauben, einen Sicherheitsvorfall entdeckt zu haben oder darauf zu reagieren. Bei der Reaktion auf einen Vorfall ermitteln wir zunächst die Auswirkungen der Informationen und die Quelle des Sicherheitsproblems, wenn möglich. Wir kommunizieren per E-Mail oder Telefon mit dem Kunden (und ggf. anderen betroffenen Kunden), falls die E-Mail nicht ausreicht. Wir liefern bei Bedarf regelmäßige Updates, um eine angemessene Lösung des Vorfalls sicherzustellen. Unser Chief Executive Officer prüft alle sicherheitsrelevanten Vorfälle, ob vermutet oder bestätigt, und wir koordinieren mit betroffenen Kunden über die am besten geeigneten Mittel je nach Art des Vorfalls.

1.2 Ziel

Dieser Plan zur Reaktion auf Sicherheitsvorfälle wurde dokumentiert, um einen klar definierten, organisierter Ansatz für die Behandlung potenzieller Bedrohungen für Computer und Daten zu bieten sowie angemessene Maßnahmen zu ergreifen, wenn die Quelle des Eindringens oder Vorfalls bei einem Dritten auf das private Netzwerk zurückverfolgt wird. Dieser Plan identifiziert und beschreibt die Rollen und Verantwortlichkeiten des Teams für die Reaktion auf Sicherheitsvorfälle.

1.3 Unser Ansatz zur Behandlung von Sicherheitsvorfällen

Recruit CRM hat umfassende Sicherheitsmaßnahmen implementiert, um Kundendaten zu schützen und die zuverlässigsten und sichersten Dienstleistungen zu bieten. Wir erkennen jedoch auch an, dass Sicherheitsvorfälle weiterhin auftreten können, und daher ist es ebenso wichtig, wirksame Methoden zu ihrer Bewältigung zu haben.

Daher haben wir einen klar definierten Ansatz für die Reaktion auf Sicherheitsvorfälle, die unsere Dienste oder Infrastruktur betreffen. Unser Ansatz umfasst umfassende Protokollierung und Überwachung unserer Produkte und Infrastruktur zur schnellen Erkennung potenzieller Vorfälle sowie klar definierte Prozesse für alle Phasen eines Vorfalls.

1.4 Team für die Reaktion auf Sicherheitsvorfälle

Das Team besteht aus Schlüsselmitgliedern des technischen und Support-Teams von Workforce Cloud Tech, Inc., die für eine schnelle, effektive und geordnete Reaktion auf Bedrohungen wie Hackerangriffe, Systemunterbrechungen, Verletzungen personenbezogener Daten und andere Ereignisse mit schwerwiegenden Auswirkungen auf die Informationssicherheit geschult wurden.

Für sofortige Hilfe bei einem Sicherheitsvorfall E-Mail: contact@recruitcrm.io - 24 Std. / 7 Tage die Woche

Das Team ist befugt, die als erforderlich erachteten Schritte zur Eindämmung, Minderung oder Behebung eines IT-Sicherheitsvorfalls zu unternehmen. Es ist verantwortlich für die rechtzeitige und kosteneffektive Untersuchung von mutmaßlichen Eindringversuchen oder anderen Sicherheitsvorfällen sowie für die Meldung der Erkenntnisse an die zuständigen Behörden.

Mitglieder des Teams für die Reaktion auf Sicherheitsvorfälle

Chief Executive Office
Head of Engineering
Head of Platform
Senior Developers/Testers

1.5 Verantwortlichkeiten bei Sicherheitsvorfällen

Wie jeder Cloud-Dienstanbieter bemühen wir uns, Ausfälle oder Sicherheitsvorfälle zu vermeiden. Wir verstehen jedoch, dass ein Sicherheitsvorfall wahrscheinlich ist. Es ist uns wichtig, dass Kunden verstehen, wie sie in unseren Prozess passen und welche Verantwortlichkeiten sie im Laufe eines Vorfalls haben.

Rollen

Jeder Vorfall wird von einem unserer erfahrenen Senior Engineers (SE) geleitet. SE treffen typischerweise sicherheitsrelevante Entscheidungen, überwachen den Reaktionsprozess und weisen intern Aufgaben zu. Die SE werden durch Incident-Analysten unterstützt, die die Untersuchung leiten, sowie durch weitere Rollen. Bei Vorfällen mit Auswirkungen über mehrere Standorte hinweg werden oft zwei SE zugewiesen, um sicherzustellen, dass jemand stets verantwortlich ist und Containment- oder Wiederherstellungsaktivitäten nicht durch Zeitunterschiede verzögert werden.

Verantwortlichkeiten

Verantwortlich - Die Partei führt die Arbeit zur Erreichung der Aufgabe durch.
Rechenschaftspflichtig - Die Partei, die letztlich für die korrekte und gründliche Durchführung verantwortlich ist.
Konsultiert - Die Partei, deren Meinung eingeholt wird und mit der eine bidirektionale Kommunikation stattfindet.
Informiert - Die Partei, die über den Fortschritt auf dem Laufenden gehalten wird und mit der nur eine unidirektionale Kommunikation stattfindet.

2. Phasen der Reaktion auf Vorfälle

Es gibt viele Arten von IT-Vorfällen, die die Aktivierung des Teams erfordern können. Beispiele:

Verletzung personenbezogener Daten
Denial of Service / Distributed Denial of Service
Firewall-Verletzung / Virusausbruch

Definition einer Sicherheitsverletzung

Eine Sicherheitsverletzung ist die unbefugte Erlangung von Daten, die die Sicherheit, Vertraulichkeit oder Integrität personenbezogener Daten des Kunden beeinträchtigt. Die gutgläubige Erlangung personenbezogener Daten durch einen Mitarbeiter oder Vertreter des Anbieters für Geschäftszwecke gilt nicht als Verletzung, sofern die Daten nicht verwendet oder weiter unbefugt offengelegt werden.

1. Identifikation

In dieser Phase prüfen wir, ob die gemeldete Anomalie ein Vorfall ist. Bei Bestätigung sammeln wir Protokolle, Fehlerprotokolle und kommunizieren mit dem zuständigen Team. Alle Meldungen potenzieller Vorfälle werden als Severity-1-/Severity-2-/Severity-3-Risiko klassifiziert.

1.1 Schweregrad 1

Definition: Die Funktionalität des Software-Dienstes ist beeinträchtigt oder einige Benutzer können auf bestimmte Funktionen nicht zugreifen.
Beispiel: Unbefugter Systemzugriff.

Workforce Cloud Tech, Inc. wird spätestens zwei (2) Stunden nach Ihrer Meldung oder unserer Erkennung reagieren. Wir werden angemessene und kontinuierliche Anstrengungen zur Behebung während der regulären Geschäftszeiten unternehmen und bei akzeptablem Workaround eine dauerhafte Lösung spätestens dreißig (30) Tage nach Ihrer Meldung bereitstellen.

1.2 Schweregrad 2

Definition: Vorfälle mit potenziell erheblicher Auswirkung auf Nutzung oder Funktionalität.
Beispiel: Passwort-Knackversuch.

Workforce Cloud Tech, Inc. wird innerhalb von vier (4) Stunden während Ihrer regulären Geschäftszeiten reagieren (oder am nächsten Werktag bei Meldung außerhalb der Geschäftszeiten).

1.3 Schweregrad 3

Definition: Geringe Auswirkung auf Benutzer des Software-Dienstes.
Beispiel: Firewall-Scanning.

Workforce Cloud Tech wird innerhalb von sechs (6) Stunden während der regulären Geschäftszeiten reagieren (oder am nächsten Werktag bei Meldung außerhalb der Geschäftszeiten).

1.4 Klassifizierung

Das SIRT-Team weist jedem Vorfall einen Schweregrad und eine Kritikalität zu. Basierend auf der gewählten Klassifizierung bearbeitet das SIRT die wichtigsten Vorfälle zuerst. Die Matrix unten zeigt den Prioritätsscore für jede Klassifizierung.

Die Matrix unten zeigt den Prioritätsscore für jede Klassifizierung.

Schweregrad	Score
Informativ	0
Maßnahme	1
Ungünstiges Ereignis	2
Grundlegender Vorfall	3
Moderater Vorfall	4
Schwerwiegender Vorfall	5

Kritikalität	Score
Unbekannt	1
Niedrig	2
Mittel	3
Hoch	4
Kritisch	5

2. Eindämmung

Nach der Meldung eines potenziellen Vorfalls ist das Team für die erste Untersuchung verantwortlich. Folgende Checkliste erleichtert die Klassifizierung:

Sammlung und Prüfung von Protokolldateien
Prüfung installierter oder laufender privilegierter Programme
Prüfung auf Manipulation von Systemdateien
Sniffer- oder Netzwerkmonitoring-Berichte
Erkennung unbefugter Dienste auf Systemen
Prüfung von System- und Netzwerkkonfigurationen
Erkennung ungewöhnlicher Dateien
Prüfung anderer Hosts

2.1 Hinweis zum Herunterfahren

Bei der Reaktion auf einen gemeldeten Vorfall kann es sinnvoll sein, alle oder einzelne Systeme herunterzufahren, um einen Angriff in Echtzeit zu stoppen und/oder forensische Beweise zu sichern.

3. Erklärung

Sobald der SIRT-Koordinator einen Vorfall feststellt, erklärt er diesen und setzt den SIRT-Plan in Kraft. Anschließend legt er fest, welche Rollen Teil des Teams sein müssen, und weist diese zu.

4. Beseitigung

Der Vorfall wird dem zuständigen Team mit ausreichender Dokumentation gemeldet. Nach Prüfung von Dokumentation und Code durchläuft der Beseitigungsprozess umfangreiche Tests, um sicherzustellen, dass der Vorfall nicht mehr im System ist und künftig nicht erneut auftritt.

5. Eskalation

Während des Reaktionsprozesses: Ist ein Mitglied des SIRT innerhalb von 30 Minuten nach Kontaktversuch nicht erreichbar, wird der Vorfall an den Senior SIRT-Koordinator eskaliert. Ist dieser nicht erreichbar, eskaliert das SIRT-Mitglied bis zum Chief Executive Officer. Der SIRT-Koordinator entscheidet auch, ob externe Parteien benachrichtigt werden müssen.

6. Wiederherstellung

Nach einem Sicherheitsvorfall beginnt die Wiederherstellungsphase. Die Systeme werden von schädlichen oder sonstigen illegalen Inhalten bereinigt. Je nach Organisation und Vorfallstyp werden folgende Bereiche berücksichtigt:

Patchen und Absichern von System-Images
Neuabbildung von Systemen
Implementierung von Passwortänderungen
Verbesserung von Überwachung und Abwehr

7. Lessons Learned

Nach jedem Vorfall führen wir umfassende Dokumentation durch. Die Erkenntnisse werden in Review-Meetings besprochen und Standards festgelegt. Dies hilft der Organisation, wiederholte Vorfälle zu vermeiden und die Systeme vor vergangenen Vorfällen zu schützen.

Was wir anbieten

Unsere erweiterten Enterprise-Funktionen

Informationszentrum

Erhalten Sie die neuesten Artikel direkt in Ihren Posteingang

Toolbox für Recruiter

Hilfezentrum

Suchen Sie Hilfe? Greifen Sie auf schnelle Lösungen zu, um das Beste aus Recruit CRM herauszuholen

Aktuell im Trend