...
Incidenten worden aangereikt door gebruikers of door systeemwaarschuwingen, deze laatste zijn afkomstig uit het proces ‘beheer van gebeurtenissen’ (voor meer informatie zie document: ‘ Vo Informatieclassificatie - 4.3. Minimale maatregelen - beheer gebeurtenissen’Beheer gebeurtenissen )
4.5.3.1.3. Behandelen van informatieveiligheidsincidenten
...
Impact: de omvang van het incident en de mogelijke schade als gevolg van het incident
Urgentie: de maat voor hoe snel een incident moet worden afgehandeld Voor de inschatting van de urgentie van een incident worden schalen gehanteerd van laag naar hoog, waarbij de inschatting bepaald wordt door:
De snelheid waarmee de schade toeneemt,
Het type gebruikers of systemen dat getroffen is,
Het aantal gebruikers of systemen dat getroffen is,
De hoeveelheid werk om de schade te herstellen,
De mogelijkheid om een groter incident als gevolg van het incident te voorkomen.
Urgentie | Omschrijving |
---|---|
Hoog |
|
Medium |
|
Laag |
|
Voor de inschatting van de impact worden eveneens schalen gehanteerd van laag naar hoog, bepaald door:
...
De aard en de omvang van de inbreuk,
De aard van de getroffen persoonsgegevens,
De mate waarin technische maatregelen getroffen zijn ter bescherming van de getroffen persoonsgegevens,
De gevolgen voor de persoonlijke levenssfeer van de betrokkenen.
Urgentie | Omschrijving |
---|---|
Hoog |
|
Medium |
|
Laag |
|
Impact en urgentie worden tegen mekaar afgezet om de prioriteit te bepalen, wat wordt weergegeven in een prioriteiten matrix:
...
De verwachte doorlooptijd voor de afhandeling van een incident hangt af van de prioriteit die aan het incident werd toegekend:
Prioriteit | Maximale reactietijd | Maximale oplossingtijd |
---|---|---|
P1 = blokkerend | ½ uur | 24 uur |
P2 = ernstige storing | 1 uur | 72 uur |
P3 = matig storend | 4 uur | 1 week |
P4 = niet storend | 8 uur | 1 maand |
Reactietijd: tijd tussen aanmelden en eerste reactie;
...
Communicatie naar eindgebruikers, en eventueel externe communicatie naar vb. pers en media kan ook een noodzakelijke stap zijn.
Het type incident en de (mogelijke) gevolgen ervan bepalen het type communicatie en het tijdsstip van communiceren dat nodig is. Daarom is het belangrijk om vooraf de verschillende belanghebbenden te identificeren:
Belanghebbenden | Informatie |
---|---|
Directie | Welke activiteiten zijn getroffen? Wat zijn de gevolgen? Wanneer is de situatie terug normaal? |
Betrokken bedrijfsmanagers | Wanneer is de situatie terug normaal? |
Werknemers | Wat wordt van hen verwacht? Wanneer is de situatie terug normaal? |
Media | Indien het incident voor de buitenwereld zichtbaar is: officiële verklaring over het incident en impact. |
Gebruikers | Zijn er gevolgen voor gebruikers (intern, extern)? Zijn er persoonsgegevens betrokken bij het incident? |
Leveranciers | Kan het incident gevolgen hebben voor (sommige) leveranciers? |
Andere incident teams | Communicatie met andere incident teams voor technische ondersteuning. |
Internet serviceprovider | Voor ondersteuning ingeval van een internet-gerelateerd incident |
GBA/ VTC | Wettelijke meldplicht ingeval persoonsgegevens betrokken zijn bij het incident. |
Technische gegevens en bewijsmateriaal ingeval van een cyber security incident. | |
Politie | Is er een vermoeden van crimineel opzet? |
Bij het opzetten van een communicatieplan voor het incident moet er rekening worden gehouden met het verstrekken van regelmatige updates over het incident. Afhankelijk van de gevolgen van het incident moet het communicatieplan verschillende doelstellingen
dienen:
...
Voor functionele escalatie gelden criteria zoals kennis en ervaring. Er wordt vaak ook gesproken over eerstelijnssupport (service desk), tweedelijnssupport en (gespecialiseerde teams) en zelfs derdelijns support (leveranciers).
Gedurende het traject wordt het incident record voortdurend bijgewerkt door de medewerkers die aan het incident werken.
Wanneer er geen oplossing voor het incident voorhanden is, wordt het doorverwezen naar het proces probleem beheer (voor meer informatie zie document ‘Vo Informatieclassificatie - 4.6. Minimale maatregelen - probleem beheer’Probleembeheer )
4.5.2.3.5. Documentatie van het incident
...
Aangezien het hier om een diverse samenstelling van profielen gaat, is het logisch dat een team van personen samen het incident aanpakken. Voor een kleine organisatie zal het team eerder beperkt zijn en de communicatielijnen kort.
Om een incident van enige omvang aan te pakken, zijn er dus verschillende vaardigheden nodig om de verschillende verantwoordelijkheden en activiteiten op te nemen om op efficiënte wijze op het incident te reageren:
Vaardigheden | Verantwoordelijkheden | Functie |
---|---|---|
Incidentbeheer | Beheer van het incident vanaf detectie tot afsluiting. | Incident manager |
Bevoegdheid om | De impact op de organisatie beoordelen en als dusdanig handelen. Beslissingen nemen over hoe verder te gaan. Beslissen wanneer herstelactiviteiten worden opgestart. Beslissen | Management |
Netwerkbeheer | Technische kennis over het netwerk. De gegevensstroom van en naar het netwerk | ICT-personeel voor |
Beheer van | Aangetaste gebruikersapparatuur en servers analyseren en beheren. | ICT-personeel voor |
Beheer van | Niet of slecht functionerende toepassingen onder de loep nemen. Ervoor zorgen dat | ICT-personeel voor |
Juridisch advies | De contractuele en juridische impact van een incident beoordelen. Verzekeren dat incident response activiteiten binnen wettelijke en regelgevende beleidsgrenzen blijven. | Juridische afdeling/ |
Communicatie | Op een gepaste manier communiceren naar alle belanghebbenden: klanten, aandeelhouders, personeel. Communicatie naar de pers. | Communicatie of PR-afdeling |
Forensische | Op een gepaste manier bewijzen verzamelen, analyseren en vrijwaren (zodat het bewijs | ICT-personeel voor |
Fysieke veiligheid | De aspecten van het incident behandelen die gekoppeld zijn aan fysieke toegang en fysieke beveiliging. | Safety manager |
Crisisbeheer | Indien het incident geëscaleerd wordt naar een crisis. | Crisismanager |
De grootte van de organisatie bepaalt of en hoeveel functies er nodig zijn. Kleinere organisaties hebben vaak de flexibiliteit om zich voor de aanpak van het incident snel tot het management te wenden. Dit is niet het geval voor grotere organisaties. Daar zal het incident team de meeste incidenten op een meer autonome wijze behandelen, zodat de bedrijfstop alleen in geval van een bijzonder ernstig incident wordt betrokken. Hoe groter de organisatie, hoe gedifferentieerder de samenstelling van het incident team moet zijn. In grotere organisaties kan er naast een incident team ook een crisisteam worden samengesteld uit vertegenwoordigers van het ondernemingsbestuur die bij ernstige incidenten de verantwoordelijkheid opnemen voor de strategische en bedrijfsbeslissingen en de communicatie hierover. Op deze manier kan de incident manager zich meer richten op de technische kwesties van het incident. Kleinere organisaties zullen ook vaker beroep doen op externe experts, bvb voor forensisch onderzoek of juridische ondersteuning
...