## IT-Security Incident Management Process Der Prozess muss alle Aspekte berücksichtigen, die notwendig sind, um einen Sicherheitsvorfall so effektiv wie möglich zu behandeln. Solltest du meine Beiträge [[IT-Security Incident Management]] und [[Klassifizierung sicherheitsrelevanter Security Events]] nicht gelesen haben, findest du hier die Kurzfassung: >[!Quote] >### Klassifizierung > >![[Klassifizierung sicherheitsrelevanter Security Events#^Fazit]] > >### Priorisierung > >![[IT-Security Incident Management#^Fazit]] ### Priorisierung Eine gängige Berechnungsmethode der Dringlichkeit (Priority) ergibt sich aus dem Schweregrad (Severity) und der Auswirkung (Impact). Ähnlich wie bei einer Risikobewertung kann in Form einer Matrix anhand der Dimensionen Severity und Impact die Priority ermittelt werden: ![[Incident Priority Matrix.png|200]] ### Beispiel Dazu gibt es einige Beispiele im Internet mit unterschiedlicher Ausprägung. Dazu hat das **Queensland Government Chief Information Office** den "Information security incident category guideline"^[ [[Incident_category_guideline_v2_0_0GovEntArch.pdf]] ] im Jahr 2013 veröffentlicht. Aus meiner Sicht ist ein wertvolles Ressource als Leitfaden für deine Dokumentation. Auch die **FIRST.org**^[FIRST is the global Forum of Incident Response and Security Teams] hat einen sehr interessanten Ansatz, beidem zusätzlich OLA's [^1] für die Reaktionszeiten auf Basis der Priorisierung definiert wurden.^[https://www.first.org/resources/guides/csirt_case_classification.html] NIST hat ein sehr umfangreiches **Computer Security Incident Handling Guide**^[https://doi.org/10.6028/NIST.SP.800-61r2] Dokument veröffentlicht, bei der die Klassifizierung nur ein kleiner Teil darstellt. Es gibt auch Formate, bei denen die Event Severity, die z.B. aus dem Syslog-Protocol (RFC5424)^[https://datatracker.ietf.org/doc/html/rfc5424#section-6.2.1] oder der Kalkulation aus einer SIEM-^[Security Information & Event Management] oder SOAR-^[Security Orchestration Automation Response] Lösung auf Basis der Use Cases^[Detektions-Regeln] berechnet werden. In der folgenden Infografik habe ich das Queensland Schema mit dem VERIS^[https://verisframework.org/] Vokabular kombiniert, um dir eine Idee zu geben, wie man sich dem Thema nähern kann. ![[Incident Management Taxonomie.png|700]] **Weiterführende Beiträge**: [[IT-Security Incident Management Process]] [[Klassifizierung sicherheitsrelevanter Security Events]] --- #Incident/response #incident/reporting #procedure #instruction #process #IT-Security --- ![[License CC-BY-SA]] [^1]: Operational Level Agreement (OLA) bezeichnet eine Vereinbarung, die üblicherweise innerhalb einer Organisation zwischen unterschiedlichen Organisationseinheiten getroffen wird.