Objective: Once security events are reported, it is vital that the handling of the events is managed. This means to ensure that the type and criticality of the reported event as well as the persons responsible are quickly identified to ensure that time-critical aspects can be handled in time. Once identification is done, ensuring that the responsible persons become aware and deal with the event within a reasonable time frame is necessary. Furthermore, if the event affects multiple different persons, or management also include coordinating communication is a important part of event management. Finally, if there are external (contractual or regulatory) reporting requirements, its important to ensure that these are also fulfilled in a professional way.
Requirements (must): Reported events are processed without undue delay.
An adequate reaction to reported security events is ensured.
Lessons learned are incorporated into continuous improvement.
Requirements (should): During processing, reported events are categorized (e.g. by responsibility into personnel, physical and cyber), qualified (e.g. not security relevant, observation, suggested security improvement, security vulnerability, security incident) and prioritized (e.g. low, moderate, severe, critical).
Responsibilities for handling of events based on their category are defined and assigned. The following aspects are considered:
- Coordination of incidents and vulnerabilities across multiple categories
- Qualification and resources
- Contact mechanisms based on type and priority (e.g., non-time-critical communication, time-critical communication, emergency communication)
- Absence-management
A strategy for filing official reports and searching prosecution of potentially criminally relevant aspects of security incidents exists. (C, I, A)
Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.
Häiriöiden käsittelyprosessissa:
Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.
Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.
Organisaatio on määritellyt prosessin ja siihen osallistuvan tiimin, jonka avulla tietoturvahäiriöihin reagoidaan pikaisesti ja sopivat jatkotoimet päätetään johdonmukaisesti.
Ensimmäisen tason reagointiprosessissa vähintään:
Organisaatiomme on ennalta määritellyt toimintatavat, joiden kautta havaittua tietoturvaloukkausta aletaan käsitellä. Prosessi voivat sisältää mm. seuraavia asioita:
Organisaatiolla olisi oltava menettely tietoturvahäriöiden luokittelemiseksi käsittelyn aikana. Häiriö olisi luokiteltava vähintään seuraaviin luokkiin:
Tämän jälkeen vaaratilanne olisi luokiteltava sen vaikutusten perusteella esimerkiksi seuraavasti:
Tämän jälkeen vaaratilanteet olisi asetettava tärkeysjärjestykseen vaaratilanteen vakavuuden perusteella.
Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.
Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.
Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.
Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:
Organisaatio on määritellyt toimintatavat, jotka varmistavat häiriön alkuperäisen raportoijan sekä muuten häiriöön liittyvän henkilöstön saavan tiedon häiriön käsittelyn tuloksista.
Häiriöön liittyvä henkilöstö voidaan kirjata valinnaiseen tietokenttään tietoturvahäiriöiden dokumentaatiopohjassa.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
