Letzte Änderung: März 19, 2025

Richtlinie Nr. 4204 Sicherheitsreaktionsplanverfahren

Download Sicherheits-Reaktionsplan-Verfahrensdokument

Übersicht

Ein Sicherheitsreaktionsplan (SRP) gibt den Anstoß für Sicherheits- und Betriebsgruppen, ihre Bemühungen unter dem Gesichtspunkt der Sensibilisierung und Kommunikation sowie der koordinierten Reaktion in Krisenzeiten (erkannte oder ausgenutzte Sicherheitsschwachstelle) zu integrieren. Ein SRP definiert insbesondere eine Produktbeschreibung, Kontaktinformationen, Eskalationspfade, erwartete Service Level Agreements (SLA), eine Klassifizierung des Schweregrads und der Auswirkungen sowie Zeitpläne für die Schadensbegrenzung und -beseitigung.

Indem man von den operativen Gruppen verlangt, einen SRP als Teil ihrer Geschäftskontinuitätsoperationen und bei der Entwicklung neuer Produkte oder Dienstleistungen und deren Vorbereitung für die Freigabe an die Verbraucher einzubeziehen, wird sichergestellt, dass im Falle eines Zwischenfalls eine rasche Schadensbegrenzung und Abhilfe erfolgt.

Zweck

Der Zweck dieses Verfahrens besteht darin, die Anforderung festzulegen, dass alle operativen Gruppen, die vom InfoSec-Team unterstützt werden, einen Sicherheitsreaktionsplan entwickeln und pflegen. Dadurch wird sichergestellt, dass das Reaktionsteam für Sicherheitsvorfälle über alle erforderlichen Informationen verfügt, um im Falle eines bestimmten Sicherheitsvorfalls eine erfolgreiche Reaktion zu formulieren.

Umfang

Dieses Verfahren gilt für alle etablierten und definierten operativen Gruppen oder Einheiten innerhalb des PCSD.

Verfahren

Für die Entwicklung, Umsetzung und Durchführung eines Sicherheitsreaktionsplans (SRP) ist in erster Linie die jeweilige operative Gruppe verantwortlich, für die der SRP in Zusammenarbeit mit dem InfoSec-Team entwickelt wird.

Von den operativen Gruppen wird erwartet, dass sie den SRP für den Dienst oder die Produkte, für die sie verantwortlich sind, ordnungsgemäß unterstützen. Von dem Sicherheitskoordinator oder -beauftragten der Betriebsgruppe wird ferner erwartet, dass er mit dem Netzsicherheitsingenieur bei der Entwicklung und Pflege eines Sicherheitsreaktionsplans zusammenarbeitet.

Beschreibung der Dienstleistung oder des Produkts

Die Produktbeschreibung in einem SRP muss den zu implementierenden Dienst oder die zu implementierende Anwendung klar definieren, wobei zusätzlich Datenflüsse und logische Diagramme zu berücksichtigen sind. Eine klar definierte Architektur ist sehr nützlich.

Kontaktinformationen

Der SRP muss Kontaktinformationen für spezielle Teammitglieder enthalten, die auch außerhalb der Geschäftszeiten erreichbar sind, falls ein Zwischenfall eintritt und eine Eskalation erforderlich ist.
Dies kann eine 24/7-Anforderung sein, je nach dem definierten geschäftlichen Wert der Dienstleistung oder des Produkts in Verbindung mit den Auswirkungen auf den Kunden.
Das SRP-Dokument muss alle Telefonnummern und E-Mail-Adressen des/der zuständigen Teammitglieder enthalten.

Triage

Der SRP muss Triage-Schritte definieren, die mit dem Security Incident Response Team in einer kooperativen Weise koordiniert werden, mit dem Ziel einer schnellen Behebung von Sicherheitslücken.
Dieser Schritt umfasst in der Regel die Validierung der gemeldeten Schwachstelle oder Kompromittierung.

Identifizierte Abhilfemaßnahmen und Tests

Das SRP muss ein definiertes Verfahren zur Identifizierung und Prüfung von Abhilfemaßnahmen vor der Einführung enthalten.
Diese Angaben sollten sowohl kurzfristige Abhilfemaßnahmen als auch den Sanierungsprozess umfassen.

Zeitpläne für Schadensbegrenzung und -beseitigung

Das SRP muss Reaktionsstufen für identifizierte Schwachstellen enthalten, die die erwarteten Zeitpläne für die Behebung je nach Schweregrad und Auswirkung auf Verbraucher, Marke und Unternehmen festlegen.
Diese Reaktionsrichtlinien sollten sorgfältig auf den für die gemeldete Schwachstelle ermittelten Schweregrad abgestimmt werden.

Letzter Aktualisierungsstatus:

Aktualisiert Januar 2015