Verfahren zum Reaktionsplan für Informationssicherheitsvorfälle

 

Sinn

Dieser Plan gibt vor, wie auf Informationssicherheitsvorfälle am Hudson County Community College (HCCC) reagiert werden soll. Der Plan identifiziert die Rollen und Verantwortlichkeiten des HCCC-Vorfallreaktionsteams und die im Falle eines Vorfalls zu ergreifenden Schritte. Der Information Security Incident Response Plan (ISIRP) zielt darauf ab, die Auswirkungen eines Vorfalls zu minimieren, Beweise für Untersuchungszwecke zu sichern und den normalen Betrieb so schnell wie möglich wiederherzustellen.

Definitionen

Vorfall: Ein Ereignis, das zu einem Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder Informationssystemen führt.

Antwort: Die Maßnahmen, die ergriffen werden, um die Auswirkungen eines Vorfalls zu mildern und die betroffenen Systeme und Daten in ihren Normalzustand zurückzusetzen.

Incident Response Team (IRT): Das Incident Response Team (IRT) ist für die Umsetzung des ISIRP verantwortlich. Das IRT besteht aus Vertretern der relevanten Abteilungen, darunter unter anderem Information Technology Services (ITS), Finanzen (Risikomanagement), Rechtsberatung, Personalwesen und Kommunikation. Das IRT ist für die Koordinierung der Reaktion auf einen Vorfall und die Sicherstellung der Verfügbarkeit aller erforderlichen Ressourcen verantwortlich.

Rollen und Verantwortlichkeiten

Das IRT ist für folgende Aufgaben zuständig:

  • Auf Vorfälle reagieren und deren Auswirkungen abmildern.
  • Untersuchen von Vorfällen und Ermitteln ihrer Ursache.
  • Wiederherstellen von Systemen und Daten, die von einem Vorfall betroffen waren.
  • Kommunikation mit Stakeholdern über Vorfälle.
  • Protokollierung und Meldung von Vorfällen.

Schadensbericht

Alle vermuteten oder bestätigten Informationssicherheitsvorfälle müssen unverzüglich an ITS gemeldet werden. ITS wird den Vorfall dann bewerten und feststellen, ob es sich um einen Sicherheitsvorfall handelt. Wenn es sich um einen Sicherheitsvorfall handelt, wird ITS den Vorfall an das IRT weiterleiten.

Reaktionsschritte

Vorfallkategorisierung:

Das IRT kategorisiert den Vorfall anhand seiner Schwere und Auswirkung. Die Kategorien sind wie folgt:

Kategorie 1: Geringfügiger Zwischenfall – Keine wesentlichen Auswirkungen auf das College oder seinen Betrieb.
Kategorie 2: Mittelschwerer Vorfall – Begrenzte Auswirkungen auf das College oder seinen Betrieb.
Kategorie 3: Schwerwiegender Vorfall – Erhebliche Auswirkungen auf die Hochschule oder ihren Betrieb.
Kategorie 4: Kritischer Vorfall – Schwerwiegende Auswirkungen auf das College oder seinen Betrieb.

Reaktion auf Vorfälle nach Kategorie:

Das IRT führt die folgenden Schritte aus, um auf einen Vorfall zu reagieren:
Kategorie 1: Es ist keine formelle Antwort erforderlich.
Kategorie 2: Das IRT wird den Vorfall untersuchen und geeignete Maßnahmen ergreifen, um den Vorfall einzudämmen und abzumildern.
Kategorie 3: Das IRT wird sich mit den relevanten Abteilungen und externen Ressourcen, wie etwa Strafverfolgungsbehörden und Cybersicherheitsexperten, abstimmen, um den Vorfall zu untersuchen und geeignete Maßnahmen zu ergreifen, um den Vorfall einzudämmen und abzumildern.
Kategorie 4: Das IRT wird den HCCC-Notfallmanagementplan umsetzen, der die Schritte beschreibt, die bei einer schweren Krise zu befolgen sind.

ISIRP-Schritte für das IRT

Im Falle eines Vorfalls geht das IRT folgendermaßen vor:

  1. Reagieren Sie auf den Vorfallbericht.
  2. Mildern Sie die Auswirkungen des Vorfalls.
  3. Kategorisieren Sie die Auswirkungen auf der obigen Skala.
  4. Untersuchen Sie den Vorfall.
  5. Ermitteln Sie die Ursache des Vorfalls.
  6. Stellen Sie die vom Vorfall betroffenen Systeme und Daten wieder her.
  7. Kommunizieren Sie mit den Stakeholdern über den Vorfall.
  8. Protokollieren und melden Sie den Vorfall.

Werkzeuge und Ressourcen

Das IRT wird die folgenden Tools und Ressourcen nutzen, um auf Vorfälle zu reagieren:

  • Sicherheitssoftware: Sophos, Crowdstrike
  • Datensicherungs- und Wiederherstellungssysteme: Cohesity, Arcserve, OneDrive
  • Kommunikationskanäle: E-Mail, SMS, soziale Medien
  • Externe Cybersicherheitsexperten: NJ Edge, CyberSecOp, Berater für Cybersicherheitsversicherungen

Testen und Trainieren

Das IRT wird die eingesetzten Verfahren und Werkzeuge regelmäßig testen und schulen.

Kommunikationsplan

Im Falle eines Vorfalls wird das IRT mit den folgenden Beteiligten kommunizieren:

  • Die Kursteilnehmer
  • Fakultät
  • Unser Team
  • Medien
  • Strafverfolgung
  • Aufsichtsbehörden

Metriken und Berichterstattung

Das IRT dokumentiert alle Aspekte des Vorfalls, einschließlich, aber nicht beschränkt auf Art, Schweregrad, Auswirkung, Reaktion und Lösung des Vorfalls. Die Dokumentation wird sicher aufbewahrt und ist nur autorisiertem Personal zugänglich.

Das IRT wird die folgenden Kennzahlen im Zusammenhang mit Vorfällen sammeln und analysieren:

  • Anzahl der Vorfälle
  • Kosten von Vorfällen
  • Zeit zur Erholung nach Vorfällen

Der stellvertretende Vizepräsident für Technologie und CIO wird dem Kuratorium des HCCC über diese Kennzahlen berichten.

Überprüfung und Aktualisierung

Der AVP-CIO wird das ISIRP jährlich überprüfen und aktualisieren, um der sich ändernden Sicherheitslandschaft und den sich entwickelnden Anforderungen des HCCC Rechnung zu tragen.

Vom Kabinett genehmigt: Mai 2023
Zugehörige Vorstandsrichtlinie: Informationstechnologiedienste

Zurück zur Seite Policies and Procedures