Mit Sicherheitsvorfällen umgehen...

Folge 70 | 26:59

Die Planung des Umgangs mit Sicherheitsvorfällen ist ein essenzieller Bestandteil eines ISMS. Alle Maßnahmen zielen darauf ab, solche Vorfälle bestmöglich zu überstehen. Ein wichtiger Aspekt ist hierbei die Kommunikation. Meldewege innerhalb, zwischen und außerhalb des Unternehmens müssen bestimmt und bestmöglich festgelegt werden. Nur so können die geplanten Schritte für den Ernstfall auch greifen.
In dieser Folge haben wir uns mit verschiedenen Blickwinkeln auf einen Sicherheitsvorfall beschäftigt. Die Standards und Normen zeigen einen Weg auf, wie man präventiv und reaktiv mit Sicherheitsvorfällen umgehen kann.

Die ISO 27001 beschreibt dies im Annex unter:

  • 5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
  • 5.25 Beurteilung und Entscheidung über Informationssicherheitsereignisse
  • 5.26 Reaktion auf Informationssicherheitsvorfälle
  • 5.27 Erkenntnisse aus Informationssicherheitsvorfällen
  • 5.28 Sammeln von Beweismaterial

Ein kompakter Block mit dem “Lebenszyklus” eines Vorfalles.


Nicht überraschend ähnlich gibt es die Vorgaben im Bereich von TISAX®.
Hier ist neben dem „Hauptcontrols“

  • 1.6.1 - Inwieweit werden für die Informationssicherheit relevante Ereignisse oder Beobachtungen gemeldet?
  • 1.6.2 - Inwieweit werden gemeldete Sicherheitsereignisse verwaltet?

auch explizit die Sensibilisierung von Mitarbeitern unter

  • 2.1.3 - Inwieweit werden Mitarbeiter hinsichtlich der Risiken beim Umgang mit Informationen geschult und sensibilisiert?

sowie die Schaffung der Grundlagen zur Erkennung mit

  • 5.2.4 - Inwieweit werden Ereignisprotokolle aufgezeichnet und analysiert?

  • gut mit klaren Anforderungen beschrieben, die auch zusätzlich mit Maßnahmen aus der ISO 27001 und 27002 verknüpft sind
     

Zusätzlich werden hier für Teilnehmer mit gefordertem Prototypenschutz im Control 8.3.1 klare Vorgaben für einen Prozess zur Meldung aller sicherheitsrelevanten Ereignisse an den Auftraggeber auferlegt. Spätestens hier kommt man an Meldepflichten wie BSI(Kritis), DSGVO oder bald NIS2 nicht vorbei.

Auch der Bausteine DER.x aus dem IT-Grundschutz des BSI
BSI - IT-Grundschutz-Bausteine (Edition 2023)
können hilfreich sein, um sich dem Thema zu nähern.

Wer sich im Vorfeld umfassend Gedanken um das Thema macht, spart im Ernstfall wichtige Zeit und hält die anfängliche „Chaosphase“ so gering wie möglich.

Maximale Sicherheit für Euch!

 

Wenn du uns gerne zuhörst und auch mit uns arbeiten möchtest, bewirb dich gerne per Mail an bewerbung@abat.de.

Shownotes:

Kurz und knapp, was sollte ich am Anfang berücksichtigen:

1. Definition meldepflichtiger Vorfälle

2. Vorfallsbewertung & Klassifikation

3. Prozesse zur Meldung

    4. Fristen einhalten (NIS2)

    • NIS2-Richtlinie (EU 2022/2555)
    • DSGVO Art. 33 (bei personenbezogenen Daten)
    • BSIG (Deutschland)
    • TISAX / VDA ISA (Kunden)

    5. Dokumentation

    6. Verantwortlichkeiten

    Unseren Podcast findest du auf folgenden Plattformen

    Logo Spotify

    Spotify

     
    Logo Apple Podcast

    Apple Podcast

     
    Logo Deezer

    deezer

     
    Logo Pocketcast

    Pocket Casts

     
    Logo Podcastaddict

    Podcast Addict

     
    Logo YouTube

    YouTube

     

    TISAX® ist eine eingetragene Marke der ENX Association. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. Die ausschließliche inhaltliche Verantwortung für die Webseite und die hier vorgestellten Leistungen liegen bei abat.

    Kontaktiere unsere Expert*innen im Bereich abat protect