INFORMATION SECURITY

Incident Handling

Unter Information Security Incident Handling versteht man die operative Funktion des standardkonformen Managements von Information Security Incidents. Die globalen Regeln für die Vorgehensweise bei Sec Incidents werden durch die Corporate Information Security Policy festgelegt. Ziel ist die zeitnahe Erfassung aller Sec Incidents, eine Analyse der Incidents sowie deren Impacts auf Corporate Resourcen und Assets, die Aufdeckung potentieller Sicherheitslücken bei Corporate Information Security Architecture und Security Operating sowie adäquatem Reporting an das CIO Management.

Beispiele für Information Security Incidents:

Die zentrale Incident Handling Organisationseinheit ist das Computer Incident Response Team (CIRT), dieses Team kann permanent (in Fortune-500 Unternehmen) oder on-demand (in KMUs) operieren. Infolge der multiplen Facetten, die ein Information Security Incident aufweist, sollte das CIRT Vertreter verschiedener Funktionseinheiten umfassen:


ORGANIZATIONAL UNIT FUNCTIONS
CIO Office Management Support seitens des CIO Office ist unabdingbar
ISO Office ein ISO führt i.d.R. das CIRT wie auch die Einsetzung von Preventive Controls
Information Engineering unterstützt bei der technischen Incident Analyse, Eradication und Recovery
Corporate Audit unabhängiger Beobachter, informiert die Geschäftsleitung
Corporate Legal & Compliance, Data Privacy ist bei interner Verursachung notwendig. Kann auch bei downstream Liability beraten. Berät bei Einbeziehung von Polizei/Staatsanwaltschaft. Sind personenbezogene Daten involviert, muss auch der Datenschutz hinzugezogen werden
Corporate Communications koordiniert die Aussenkommunikation und formuliert die Präsentation
Corporate Security könnte erforderlich werden, falls interner Verursacher konfrontiert und sanktioniert werden muss
HR liefert Inputs, wie mit einem internen Verursacher umzugehen ist

Incident Response

Die Incident Response unterliegt verschiedenen Interessen: dem Interesse der Firma, den Rechten der Mitarbeiter, der Firmensicherheit sowie der Verfolgungsbehörden. Ein Incident Response Plan sollte mindestens folgende Themen adressieren: