CIS Control 17 - Incident Response Management
I dette afsnit gennemgår vi CIS Control 17: Incident Response Management.
Formålet med denne kontrol er at etablere et program, der udvikler og vedligeholder en incident response kapacitet. Det omfatter politikker, planer, procedurer, definerede roller, træning og kommunikation, så virksomheden er forberedt på at opdage og hurtigt reagere på et angreb.
Ingen sikkerhedsforanstaltninger er effektive 100 procent af tiden. Derfor er evnen til at reagere struktureret og hurtigt afgørende for at begrænse skade.
Hvad er en incident?
En incident er en hændelse, der påvirker virksomhedens evne til at opnå sine mål. Det kan være tilsigtet eller utilsigtet og kan være forårsaget af interne eller eksterne aktører eller af naturlige hændelser.
En incident kan, men behøver ikke, føre til datatab. Det afgørende er, at den har en reel påvirkning og kræver respons og genopretning.
Der bør være klare definitioner af forskellen mellem en event og en incident, da en incident aktiverer virksomhedens incident response plan.
Incident Response livscyklus
Control 17 beskriver en livscyklus med fire overordnede faser
Plan Detect Respond Update
Plan
Virksomheden skal udvikle og vedligeholde en skriftlig incident response plan.
Planen skal
• Indeholde en dokumenteret proces for håndtering af incidents • Identificere en incident manager og en backup ved navn • Indeholde kontaktinformation på relevante interne og eksterne parter • Dokumentere hvem der skal informeres ved en incident • Adressere regulatoriske og compliance krav • Indeholde en kommunikationsplan
Planen skal være godkendt og gennemgås mindst årligt eller ved væsentlige ændringer, samt efter incidents eller øvelser.
Der skal også være en separat, dokumenteret proces for, hvordan brugere rapporterer hændelser. Denne proces skal beskrive:
• Primære og sekundære rapporteringsmetoder • Hvem der modtager rapporter • Hvilke oplysninger der som minimum skal medsendes • Tidsfrister for rapportering
Processen skal være tilgængelig for alle og gennemgås mindst årligt.
Detect
Virksomheden skal overvåge aktiver og analysere data for at afgøre, om en incident har fundet sted.
Det kan omfatte
• Analyse af logdata • Brug af anti-malware og endpoint detection værktøjer • Aktiv håndtering af medarbejderrapporter om hændelser
IT skal overvåge og undersøge rapporterede hændelser aktivt.
Respond
Når en incident opdages eller rapporteres, skal incident response planen aktiveres.
Incident manageren er ansvarlig for at koordinere og dokumentere indsatsen samt sikre, at standardprocedurer følges.
Der kan indgå både interne og eksterne ressourcer i håndteringen.
Incident manageren skal have beføjelse til at kommunikere med relevante eksterne parter, herunder juridiske rådgivere, regulatorer, cyberforsikring og eventuelt myndigheder.
Det er også incident managerens ansvar at fastslå, hvornår incidenten er afsluttet.
Update
Efter en incident eller en øvelse skal planen evalueres og opdateres.
Erfaringer skal gennemgås med relevante interessenter, og nødvendige ændringer i plan og procedurer skal implementeres.
Indsamlede data skal arkiveres eller slettes i overensstemmelse med virksomhedens datastyringspolitik og dokumenteres korrekt, hvis det er relevant.
Hvad skal man konkret have styr på?
• En skriftlig og godkendt incident response plan • Udpegning af incident manager og backup • Opdateret kontaktliste for relevante parter • Dokumenteret rapporteringsproces for medarbejdere • Klare roller og ansvar • En kommunikationsplan med primære og sekundære kanaler • Årlig gennemgang og opdatering • Evaluering og forbedring efter incidents og øvelser
Afslutning
CIS Control 17 handler om at være forberedt.
Det kræver en dokumenteret plan, klare roller, tydelig kommunikation, struktureret detektion, koordineret respons og løbende forbedring.
Formålet er at begrænse skade, reducere påvirkning af forretningen og sikre, at virksomheden hurtigt kan genoprette normal drift.
Tak fordi du lyttede med.