| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
4.5.3.1. Beheer van incidenten als maatregel
4.5.3.1.1. Preventie, detectie en reactie
Maatregelen worden genomen als gevolg van een geïdentificeerd risico. Volgende mogelijkheden doen zich voor:
Preventie: vermijden dat iets gebeurt of het verlagen van de waarschijnlijkheid dat het gebeurt;
Detectie: detecteren van de (potentiële) schade zou een bedreiging optreden;
Reactie: beperken van de schade wanneer een bedreiging optreedt of het effect hiervan gedeeltelijk of geheel corrigeren.
Bij preventieve maatregelen wordt de dreiging verkleint tot het niveau dat ze aanvaardbaar is.
Detectie maatregelen zorgen ervoor dat een dreiging en het gevolg ervan tijdig ontdekt wordt.
Reactieve maatregelen richten zich op de gevolgen indien een dreiging zich toch voordoet, door het inperken of herstellen van de schade.
Incident beheer is een reactieve maatregel.
4.5.3.1.2. De verschillende activiteiten van incident beheer
Een incident is een niet-geplande gebeurtenis in de dienstverlening of bedrijfsvoering waardoor de verwachte dienstverlening niet meer kan worden aangeboden of de bedrijfsvoering negatief beïnvloed wordt. In ITIL wordt een incident steeds behandeld in een helpdesk of servicedesk, maar soms beschikken organisaties enkel over een meldpunt of contact met ICT.
Incident beheer is het geheel van organisatorische en technische maatregelen dat ervoor zorgt dat een incident adequaat gedetecteerd, gemeld en behandeld wordt zodat de gevolgen voor de bedrijfsprocessen of schade ontstaan door het incident beperkt wordt tot een aanvaardbaar niveau.
Beheer van incidenten omvat:
Registratie en categorisatie van het incident;
Bepalen van de prioriteit (op basis van impact en urgentie);
Behandelen van het incident (eventueel via doorverwijzing naar de nodige specialisten);
Escalatie van het incident indien nodig;
Documentatie van het incident;
Afsluiten van het incident.
Incidenten worden aangereikt door gebruikers of door systeemwaarschuwingen, deze laatste zijn afkomstig uit het proces ‘beheer van gebeurtenissen’ (voor meer informatie zie 4.3. Minimale maatregelen - Beheer gebeurtenissen )
4.5.3.1.3. Behandelen van informatieveiligheidsincidenten
Voor de derde activiteit in incident beheer (behandelen van het incident) wordt in dit document de focus gelegd op het behandelen van informatieveiligheidsincidenten. Behandelen van incidenten op het gebied van informatiebeveiliging omvatten de monitoring en detectie van informatie veiligheidsincidenten, maar ook het waarnemen van verdachte activiteiten door het personeel, en de uitvoering van de juiste acties als antwoord op deze gebeurtenissen. Het proces dat ervoor zorgt dat informatie veiligheidsincidenten netjes worden afgehandeld omvat volgende stappen:
Identificatie en documentatie
Beperken van de schade
Remediatie
Herstel
Communicatie
Rapportering en evaluatie
...
| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
4.5.3.1. Beheer van incidenten als maatregel
4.5.3.1.1. Preventie, detectie en reactie
Maatregelen worden genomen als gevolg van een geïdentificeerd risico. Volgende mogelijkheden doen zich voor:
Preventie: vermijden dat iets gebeurt of het verlagen van de waarschijnlijkheid dat het gebeurt;
Detectie: detecteren van de (potentiële) schade zou een bedreiging optreden;
Reactie: beperken van de schade wanneer een bedreiging optreedt of het effect hiervan gedeeltelijk of geheel corrigeren.
Bij preventieve maatregelen wordt de dreiging verkleint tot het niveau dat ze aanvaardbaar is.
Detectie maatregelen zorgen ervoor dat een dreiging en het gevolg ervan tijdig ontdekt wordt.
Reactieve maatregelen richten zich op de gevolgen indien een dreiging zich toch voordoet, door het inperken of herstellen van de schade.
Incident beheer is een reactieve maatregel.
4.5.3.1.2. De verschillende activiteiten van incident beheer
Een incident is een niet-geplande gebeurtenis in de dienstverlening of bedrijfsvoering waardoor de verwachte dienstverlening niet meer kan worden aangeboden of de bedrijfsvoering negatief beïnvloed wordt. In ITIL wordt een incident steeds behandeld in een helpdesk of servicedesk, maar soms beschikken organisaties enkel over een meldpunt of contact met ICT.
Incident beheer is het geheel van organisatorische en technische maatregelen dat ervoor zorgt dat een incident adequaat gedetecteerd, gemeld en behandeld wordt zodat de gevolgen voor de bedrijfsprocessen of schade ontstaan door het incident beperkt wordt tot een aanvaardbaar niveau.
Beheer van incidenten omvat:
Registratie en categorisatie van het incident;
Bepalen van de prioriteit (op basis van impact en urgentie);
Behandelen van het incident (eventueel via doorverwijzing naar de nodige specialisten);
Escalatie van het incident indien nodig;
Documentatie van het incident;
Afsluiten van het incident.
Incidenten worden aangereikt door gebruikers of door systeemwaarschuwingen, deze laatste zijn afkomstig uit het proces ‘beheer van gebeurtenissen’ (voor meer informatie zie 4.3. Minimale maatregelen - Beheer gebeurtenissen )
4.5.3.1.3. Behandelen van informatieveiligheidsincidenten
Voor de derde activiteit in incident beheer (behandelen van het incident) wordt in dit document de focus gelegd op het behandelen van informatieveiligheidsincidenten. Behandelen van incidenten op het gebied van informatiebeveiliging omvatten de monitoring en detectie van informatie veiligheidsincidenten, maar ook het waarnemen van verdachte activiteiten door het personeel, en de uitvoering van de juiste acties als antwoord op deze gebeurtenissen. Het proces dat ervoor zorgt dat informatie veiligheidsincidenten netjes worden afgehandeld omvat volgende stappen:
Identificatie en documentatie
Beperken van de schade
Remediatie
Herstel
Communicatie
Rapportering en evaluatie
Hoe groot of hoe klein het informatie veiligheidsincident ook is, deze stappen maken deel uit van het afhandelen van het incident. Voor een incident met beperkte impact worden deze stappen eerder intuïtief uitgevoerd, maar bij grote incidenten, d.w.z. met grote impact, waarbij meerdere personen betrokken zijn in de aanpak, ziet men een duidelijke uitvoering van de verschillende stappen.
Hoe groter het incident, hoe meer personen betrokken zullen zijn bij de aanpak om het incident onder controle te krijgen: een incident zal er dan toe leiden dat een incident team wordt samen geroepen. Ook de grootte van de organisatie speelt hierbij een rol: kleinere organisaties zijn vaak flexibel genoeg om het incident informeel in te dijken, waarbij de belijning van de verschillende stappen minder duidelijk is afgetekend.
Voor het behandelen van veiligheidsincidenten is het belangrijk om een incident response plan op te stellen. Dit plan dient als een gedetailleerde gids die de procedures voor het reageren op incidenten uiteenzet, inclusief stappen voor escalatie en communicatie. In dit document kan ook verwezen worden naar de inhoud van Business Continuity Management (BCM) als ondersteuning voor het bepalen van prioriteiten in de te nemen acties.
Belangrijke componenten van een incident response plan omvatten:
Contactgegevens: Volledige lijst van interne medewerkers en externe leveranciers die betrokken moeten worden bij een incident. Deze lijst moet ook up to date gehouden worden!
Escalatiepaden: Duidelijke richtlijnen over wie, wanneer en hoe te escaleren bij verschillende soorten incidenten.
Communicatieplannen: Procedures voor communicatie binnen het team en met externe stakeholders, inclusief klanten en de pers.
Rol- en verantwoordelijkheidsdefinities: Een duidelijk overzicht van taken en verantwoordelijkheden van elk teamlid tijdens een incident.
Dit incident response plan moet op maat gemaakt zijn voor de specifieke behoeften en structuur van de organisatie.
De verschillende activiteiten worden toegelicht in het hoofdstuk: ‘De bouwstenen van incident beheer'.
...