Versions Compared

Old Version 2

changes.mady.by.user Yentl Goossens

Saved on

compared with

New Version 3

changes.mady.by.user Yentl Goossens

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Incidenten worden aangereikt door gebruikers of door systeemwaarschuwingen, deze laatste zijn afkomstig uit het proces ‘beheer van gebeurtenissen’ (voor meer informatie zie document: ‘ Vo Informatieclassificatie - 4.3. Minimale maatregelen - beheer gebeurtenissen’Beheer gebeurtenissen )

4.5.3.1.3. Behandelen van informatieveiligheidsincidenten

...

  • Impact: de omvang van het incident en de mogelijke schade als gevolg van het incident

  • Urgentie: de maat voor hoe snel een incident moet worden afgehandeld Voor de inschatting van de urgentie van een incident worden schalen gehanteerd van laag naar hoog, waarbij de inschatting bepaald wordt door:

  • De snelheid waarmee de schade toeneemt,

  • Het type gebruikers of systemen dat getroffen is,

  • Het aantal gebruikers of systemen dat getroffen is,

  • De hoeveelheid werk om de schade te herstellen,

  • De mogelijkheid om een groter incident als gevolg van het incident te voorkomen.

Urgentie 

Omschrijving

Hoog 

  • Geen controle op oorzaak noch gevolgen

  • Controle op oorzaak maar niet op gevolgen

  • Schade veroorzaakt door het incident neemt snel toe

  • Werk dat moet worden hersteld door medewerkers is zeer arbeidsintensief

  • Voorkomen dat incident leidt tot een groot incident door snel op te treden

Medium 

  • Geen controle op oorzaak maar gevolgen zijn onder controle

  • Schade veroorzaakt door het incident neemt in de tijd aanzienlijk toe

  • Er gaat werk verloren maar dit is relatief snel te herstellen

Laag 

  • Oorzaak en gevolgen zijn onder controle

  • Schade veroorzaakt door het incident neemt in de tijd weinig toe

  • Het werk dat blijft liggen is niet arbeidsintensief

Voor de inschatting van de impact worden eveneens schalen gehanteerd van laag naar hoog, bepaald door:

...

  • De aard en de omvang van de inbreuk,

  • De aard van de getroffen persoonsgegevens,

  • De mate waarin technische maatregelen getroffen zijn ter bescherming van de getroffen persoonsgegevens,

  • De gevolgen voor de persoonlijke levenssfeer van de betrokkenen.

Urgentie 

Omschrijving

Hoog 

  • Ernstige of bedreigende schade of impact op de organisatie. Deze impact kan verband houden met de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens en hun rol in het bedrijfsproces

  • Lange onderbreking of permanente onbeschikbaarheid van de dienstverlening is mogelijk

  • Hoge financiële impact

  • Hoge reputatieschade

  • Ernstige materiële of lichamelijke schade voor individuen

Medium 

  • Belangrijke schade of impact op de organisatie. Deze impact kan verband houden met de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens en hun rol in het bedrijfsproces

  • Korte onderbreking van de dienstverlening is mogelijk

  • Matige financiële impact

  • Matige reputatieschade

  • Matige materiële schade voor individuen

Laag 

  • Geen of minimale schade of impact op de organisatie. Deze impact kan verband houden met de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens en hun rol in het bedrijfsproces

  • Dienstverlening gegarandeerd of slechts kort onderbroken

  • Geen of beperkte financiële impact

  • Geen of beperkte reputatieschade

  • Geen of beperkte materiële schade voor individuen

Impact en urgentie worden tegen mekaar afgezet om de prioriteit te bepalen, wat wordt weergegeven in een prioriteiten matrix: 

...

De verwachte doorlooptijd voor de afhandeling van een incident hangt af van de prioriteit die aan het incident werd toegekend:

Prioriteit 

Maximale reactietijd

 Maximale oplossingtijd

P1 = blokkerend 

½ uur 

24 uur

P2 = ernstige storing 

1 uur 

72 uur

P3 = matig storend 

4 uur 

1 week

P4 = niet storend 

8 uur 

1 maand

Reactietijd: tijd tussen aanmelden en eerste reactie;

...

Communicatie naar eindgebruikers, en eventueel externe communicatie naar vb. pers en media kan ook een noodzakelijke stap zijn.
Het type incident en de (mogelijke) gevolgen ervan bepalen het type communicatie en het tijdsstip van communiceren dat nodig is. Daarom is het belangrijk om vooraf de verschillende belanghebbenden te identificeren:

Belanghebbenden 

Informatie

Directie 

Welke activiteiten zijn getroffen? Wat zijn de gevolgen? Wanneer is de situatie terug normaal?

Betrokken bedrijfsmanagers

Wanneer is de situatie terug normaal?

Werknemers 

Wat wordt van hen verwacht? Wanneer is de situatie terug normaal?

Media 

Indien het incident voor de buitenwereld zichtbaar is: officiële verklaring over het incident en impact.

Gebruikers 

Zijn er gevolgen voor gebruikers (intern, extern)? Zijn er persoonsgegevens betrokken bij het incident?

Leveranciers 

Kan het incident gevolgen hebben voor (sommige) leveranciers? 
Moeten zij maatregelen nemen om een potentiële impact te mitigeren?

Andere incident teams

 Communicatie met andere incident teams voor technische ondersteuning.

Internet serviceprovider

 Voor ondersteuning ingeval van een internet-gerelateerd incident
(hacking).

GBA/ VTC

Wettelijke meldplicht ingeval persoonsgegevens betrokken zijn bij het incident.

CERT.be

 Technische gegevens en bewijsmateriaal ingeval van een cyber security incident.

Politie 

Is er een vermoeden van crimineel opzet?

Bij het opzetten van een communicatieplan voor het incident moet er rekening worden gehouden met het verstrekken van regelmatige updates over het incident. Afhankelijk van de gevolgen van het incident moet het communicatieplan verschillende doelstellingen
dienen:

...

Voor functionele escalatie gelden criteria zoals kennis en ervaring. Er wordt vaak ook gesproken over eerstelijnssupport (service desk), tweedelijnssupport en (gespecialiseerde teams) en zelfs derdelijns support (leveranciers).
Gedurende het traject wordt het incident record voortdurend bijgewerkt door de medewerkers die aan het incident werken.
Wanneer er geen oplossing voor het incident voorhanden is, wordt het doorverwezen naar het proces probleem beheer (voor meer informatie zie document ‘Vo Informatieclassificatie - 4.6. Minimale maatregelen - probleem beheer’Probleembeheer )

4.5.2.3.5. Documentatie van het incident

...

Aangezien het hier om een diverse samenstelling van profielen gaat, is het logisch dat een team van personen samen het incident aanpakken. Voor een kleine organisatie zal het team eerder beperkt zijn en de communicatielijnen kort.
Om een incident van enige omvang aan te pakken, zijn er dus verschillende vaardigheden nodig om de verschillende verantwoordelijkheden en activiteiten op te nemen om op efficiënte wijze op het incident te reageren:

Vaardigheden 

Verantwoordelijkheden 

Functie

Incidentbeheer 

Beheer van het incident vanaf detectie tot afsluiting.

Incident manager

Bevoegdheid om
zakelijke beslissingen
te nemen

De impact op de organisatie beoordelen en als dusdanig handelen. Beslissingen nemen over hoe verder te gaan. Beslissen wanneer herstelactiviteiten worden opgestart. Beslissen
of een klacht wordt ingediend.

Management

Netwerkbeheer 

Technische kennis over het netwerk. De gegevensstroom van en naar het netwerk
analyseren en eventueel blokkeren. Informatiebeveiliging op niveau IT en ITcontinuïteit.

ICT-personeel voor
technische
ondersteuning

Beheer van
gebruikersapparatuur
en servers

Aangetaste gebruikersapparatuur en servers analyseren en beheren.

ICT-personeel voor
technische
ondersteuning

Beheer van
toepassingen

Niet of slecht functionerende toepassingen onder de loep nemen. Ervoor zorgen dat
toepassingen al dan niet gedeeltelijk aan de gebruikers worden ter beschikking gesteld na
het incident.

ICT-personeel voor
technische
ondersteuning

Juridisch advies

 De contractuele en juridische impact van een incident beoordelen. Verzekeren dat incident response activiteiten binnen wettelijke en regelgevende beleidsgrenzen blijven.

Juridische afdeling/
bedrijfsjurist

Communicatie 

Op een gepaste manier communiceren naar alle belanghebbenden: klanten, aandeelhouders, personeel. Communicatie naar de pers.

Communicatie of PR-afdeling

Forensische
vaardigheden

Op een gepaste manier bewijzen verzamelen, analyseren en vrijwaren (zodat het bewijs
eventueel door een rechtbank wordt aanvaard).

ICT-personeel voor
technische
ondersteuning

Fysieke veiligheid

De aspecten van het incident behandelen die gekoppeld zijn aan fysieke toegang en fysieke beveiliging.

 Safety manager

Crisisbeheer 

Indien het incident geëscaleerd wordt naar een crisis.

Crisismanager 

De grootte van de organisatie bepaalt of en hoeveel functies er nodig zijn. Kleinere organisaties hebben vaak de flexibiliteit om zich voor de aanpak van het incident snel tot het management te wenden. Dit is niet het geval voor grotere organisaties. Daar zal het incident team de meeste incidenten op een meer autonome wijze behandelen, zodat de bedrijfstop alleen in geval van een bijzonder ernstig incident wordt betrokken. Hoe groter de organisatie, hoe gedifferentieerder de samenstelling van het incident team moet zijn. In grotere organisaties kan er naast een incident team ook een crisisteam worden samengesteld uit vertegenwoordigers van het ondernemingsbestuur die bij ernstige incidenten de verantwoordelijkheid opnemen voor de strategische en bedrijfsbeslissingen en de communicatie hierover. Op deze manier kan de incident manager zich meer richten op de technische kwesties van het incident. Kleinere organisaties zullen ook vaker beroep doen op externe experts, bvb voor forensisch onderzoek of juridische ondersteuning

...