09 Okt

DER: Detektion und Reaktion

DER.1 Detektion von sicherheitsrelevanten Ereignissen
Basis-Anforderungen
DER.1.A1 Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen [Informationssicherheitsbeauftragter (ISB)] (B)
DER.1.A2 Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokolldaten [Informationssicherheitsbeauftragter (ISB)] (B)
DER.1.A3 Festlegung von Meldewegen für sicherheitsrelevante Ereignisse (B)
DER.1.A4 Sensibilisierung der Mitarbeiter [Vorgesetzte, Benutzer] (B)
DER.1.A5 Einsatz von mitgelieferten Systemfunktionen zur Detektion [Fachverantwortliche] (B)
Standard-Anforderungen
DER.1.A6 Kontinuierliche Überwachung und Auswertung von Protokolldaten (S)
DER.1.A7 Schulung von Verantwortlichen [Vorgesetzte, Leiter IT] (S)
DER.1.A8 Festlegung von zu schützenden Segmenten [Fachverantwortliche] (S)
DER.1.A9 Einsatz zusätzlicher Detektionssysteme [Fachverantwortliche] (S)
DER.1.A10 Einsatz von TLS-/SSH-Proxies [Fachverantwortliche] (S)
DER.1.A11 Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse [Fachverantwortliche] (S)
DER.1.A12 Auswertung von Informationen aus externen Quellen [Informationssicherheitsbeauftragter (ISB), Fachverantwortliche] (S)
DER.1.A13 Regelmäßige Audits der Detektionssysteme (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.1.A14 Auswertung der Protokolldaten durch spezialisiertes Personal [Leiter IT] (H)
DER.1.A15 Zentrale Detektion und Echtzeitüberprüfung von Ereignismeldungen (H)
DER.1.A16 Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen (H)
DER.1.A17 Automatische Reaktion auf sicherheitsrelevante Ereignisse (H)
DER.1.A18 Durchführung regelmäßiger Integritätskontrollen (H)
DER.2.1 Behandlung von Sicherheitsvorfällen
Basis-Anforderungen
DER.2.1.A1 Definition eines Sicherheitsvorfalls [Leiter IT] (B)
DER.2.1.A2 Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen (B)
DER.2.1.A3 Festlegung von Verantwortlichkeiten und Ansprechpartnern bei Sicherheitsvorfällen [Leiter IT] (B)
DER.2.1.A4 Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen [Pressestelle, Institutionsleitung, Leiter IT, Datenschutzbeauftragter, Notfallbeauftragter] (B)
DER.2.1.A5 Behebung von Sicherheitsvorfällen [Leiter IT, IT-Betrieb] (B)
DER.2.1.A6 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen [Leiter IT, IT-Betrieb] (B)
Standard-Anforderungen
DER.2.1.A7 Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen [Institutionsleitung] (S)
DER.2.1.A8 Aufbau von Organisationsstrukturen zur Behandlung von Sicherheitsvorfällen (S)
DER.2.1.A9 Festlegung von Meldewegen für Sicherheitsvorfälle [Leiter IT] (S)
DER.2.1.A10 Eindämmen der Auswirkung von Sicherheitsvorfällen [Leiter IT, Notfallbeauftragter, IT-Betrieb] (S)
DER.2.1.A11 Einstufung von Sicherheitsvorfällen [Leiter IT, IT-Betrieb] (S)
DER.2.1.A12 Festlegung der Schnittstellen der Sicherheitsvorfallbehandlung zur Störungs- und Fehlerbehebung [Notfallbeauftragter] (S)
DER.2.1.A13 Einbindung in das Sicherheits- und Notfallmanagement [Notfallbeauftragter] (S)
DER.2.1.A14 Eskalationsstrategie für Sicherheitsvorfälle [Leiter IT] (S)
DER.2.1.A15 Schulung der Mitarbeiter der zentralen Anlaufstelle des IT-Betriebs zur Behandlung von Sicherheitsvorfällen [Leiter IT] (S)
DER.2.1.A16 Dokumentation der Behandlung von Sicherheitsvorfällen (S)
DER.2.1.A17 Nachbereitung von Sicherheitsvorfällen (S)
DER.2.1.A18 Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorfällen und Branchenentwicklungen [Fachverantwortliche] (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.2.1.A19 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen [Institutionsleitung] (H)
DER.2.1.A20 Einrichtung einer internen Meldestelle für Sicherheitsvorfälle (H)
DER.2.1.A21 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen (H)
DER.2.1.A22 Überprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen (H)
DER.2.2 Vorsorge für die IT-Forensik
Basis-Anforderungen
DER.2.2.A1 Prüfung rechtlicher und regulatorischer Rahmenbedingungen zur Erfassung und Auswertbarkeit [Datenschutzbeauftragter, Institutionsleitung] (B)
DER.2.2.A2 Erstellung eines Leitfadens für Erstmaßnahmen bei einem IT-Sicherheitsvorfall (B)
DER.2.2.A3 Vorauswahl von Forensik-Dienstleistern (B)
Standard-Anforderungen
DER.2.2.A4 Festlegung von Schnittstellen zum Krisen- und Notfallmanagement (S)
DER.2.2.A5 Erstellung eines Leitfadens für Beweissicherungsmaßnahmen bei IT-Sicherheitsvorfällen (S)
DER.2.2.A6 Schulung des Personals für die Umsetzung der forensischen Sicherung (S)
DER.2.2.A7 Auswahl von Werkzeugen zur Forensik (S)
DER.2.2.A8 Auswahl und Reihenfolge der zu sichernden Beweismittel [Ermittlungsleiter] (S)
DER.2.2.A9 Vorauswahl forensisch relevanter Daten [Ermittlungsleiter] (S)
DER.2.2.A10 IT-forensische Sicherung von Beweismitteln [Ermittler, Ermittlungsleiter] (S)
DER.2.2.A11 Dokumentation der Beweissicherung [Ermittler, Ermittlungsleiter] (S)
DER.2.2.A12 Sichere Verwahrung von Originaldatenträgern und Beweismitteln [Ermittler, Ermittlungsleiter] (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.2.2.A13 Rahmenverträge mit externen Dienstleistern (H)
DER.2.2.A14 Festlegung von Standardverfahren für die Beweissicherung (H)
DER.2.2.A15 Durchführung von Übungen zur Beweissicherung (H)
DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle
Basis-Anforderungen
DER.2.3.A1 Einrichtung eines Leitungsgremiums [Informationssicherheitsbeauftragter (ISB)] (B)
DER.2.3.A2 Entscheidung für eine Bereinigungsstrategie [Informationssicherheitsbeauftragter (ISB), Leiter IT] (B)
DER.2.3.A3 Isolierung der betroffenen Netzabschnitte (B)
DER.2.3.A4 Sperrung und Änderung von Zugangsdaten und kryptografischen Schlüsseln (B)
DER.2.3.A5 Schließen des initialen Einbruchswegs (B)
DER.2.3.A6 Rückführung in den Produktivbetrieb (B)
Standard-Anforderungen
DER.2.3.A7 Gezielte Systemhärtung (S)
DER.2.3.A8 Etablierung sicherer, unabhängiger Kommunikationskanäle (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.2.3.A9 Hardwaretausch betroffener IT-Systeme (H)
DER.2.3.A10 Umbauten zur Erschwerung eines erneuten Angriffs durch denselben Angreifer (H)
DER.3.1 Audits und Revisionen
Basis-Anforderungen
DER.3.1.A1 Definition von Verantwortlichkeiten [Institutionsleitung] (B)
DER.3.1.A2 Vorbereitung eines Audits oder einer Revision (B)
DER.3.1.A3 Durchführung eines Audits [Auditteam] (B)
DER.3.1.A4 Durchführung einer Revision (B)
Standard-Anforderungen
DER.3.1.A5 Integration in den Informationssicherheitsprozess (S)
DER.3.1.A6 Definition der Prüfungsgrundlage und eines einheitlichen Bewertungsschemas (S)
DER.3.1.A7 Erstellung eines Auditprogramms (S)
DER.3.1.A8 Erstellung einer Revisionsliste (S)
DER.3.1.A9 Auswahl eines geeigneten Audit- oder Revionsteams (S)
DER.3.1.A10 Erstellung eines Audit- oder Revisionsplans [Auditteam] (S)
DER.3.1.A11 Kommunikation und Verhalten während der Prüfungen [Auditteam] (S)
DER.3.1.A12 Durchführung eines Auftaktgesprächs [Auditteam] (S)
DER.3.1.A13 Sichtung und Prüfung der Dokumente [Auditteam] (S)
DER.3.1.A14 Auswahl von Stichproben [Auditteam] (S)
DER.3.1.A15 Auswahl von geeigneten Prüfmethoden [Auditteam] (S)
DER.3.1.A16 Ablaufplan der Vor-Ort-Prüfung [Auditteam] (S)
DER.3.1.A17 Durchführung der Vor-Ort-Prüfung [Auditteam] (S)
DER.3.1.A18 Durchführung von Interviews [Auditteam] (S)
DER.3.1.A19 Überprüfung des Risikobehandlungsplans [Auditteam] (S)
DER.3.1.A20 Durchführung einer Abschlussbesprechung [Auditteam] (S)
DER.3.1.A21 Auswertung der Prüfungen [Auditteam] (S)
DER.3.1.A22 Erstellung eines Auditberichts [Auditteam] (S)
DER.3.1.A23 Dokumentation der Revisionsergebnisse (S)
DER.3.1.A24 Abschluss des Audits oder der Revision [Auditteam] (S)
DER.3.1.A25 Nachbereitung eines Audits (S)
DER.3.1.A26 Überwachen und Anpassen des Auditprogramms (S)
DER.3.1.A27 Aufbewahrung und Archivierung von Unterlagen zu Audits und Revisionen (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.3.1.A28 Sicherheitsüberprüfung der Auditoren (H)
DER.3.2 Revision auf Basis des Leitfadens IS-Revision
Basis-Anforderungen
DER.3.2.A1 Definition von Verantwortlichkeiten für die IS-Revision
DER.3.2.A2 Erstellung eines IS-Revisionshandbuches
DER.3.2.A3 Definition der Prüfungsgrundlage und eines einheitlichen Bewertungsschemas [IS-Revisionsteam]
DER.3.2.A4 Erstellung einer Planung für die IS-Revision
DER.3.2.A5 Auswahl eines geeigneten IS-Revisionsteams
DER.3.2.A6 Vorbereitung einer IS-Revision [IS-Revisionsteam]
DER.3.2.A7 Durchführung einer IS-Revision [IS-Revisionsteam]
DER.3.2.A8 Aufbewahrung von IS-Revisionsberichten
Standard-Anforderungen
DER.3.2.A9 Integration in den Informationssicherheitsprozess [Informationssicherheitsbeauftragter (ISB)]
DER.3.2.A10 Kommunikationsabsprache
DER.3.2.A11 Durchführung eines Auftaktgeprächs für eine Querschnittsrevision [IS-Revisionsteam]
DER.3.2.A12 Erstellung eines Prüfplans [IS-Revisionsteam]
DER.3.2.A13 Sichtung und Prüfung der Dokumente [IS-Revisionsteam]
DER.3.2.A14 Auswahl der Zielobjekte und Maßnahmen [IS-Revisionsteam]
DER.3.2.A15 Auswahl von geeigneten Prüfmethoden [IS-Revisionsteam]
DER.3.2.A16 Ablaufplan der Vor-Ort-Prüfung [IS-Revisionsteam]
DER.3.2.A17 Durchführung der Vor-Ort-Prüfung [IS-Revisionsteam]
DER.3.2.A18 Durchführung von Interviews [IS-Revisionsteam]
DER.3.2.A19 Überprüfung des Risikobehandlungsplans [IS-Revisionsteam]
DER.3.2.A20 Nachbereitung der Vor-Ort-Prüfung [IS-Revisionsteam]
DER.3.2.A21 Erstellung eines IS-Revisionsberichts [IS-Revisionsteam]
DER.3.2.A22 Nachbereitung und Einleitung des Follow-up [Informationssicherheitsbeauftragter (ISB)]
Anforderungen bei erhöhtem Schutzbedarf
DER.3.2.A23 Sicherheitsüberprüfung der IS-Revisoren(CI)
DER.4 Notfallmanagement
Basis-Anforderungen
Standard-Anforderungen
DER.4.A1 Erstellung eines Notfallhandbuchs (S)
DER.4.A2 Integration von Notfallmanagement und Informationssicherheitsmanagement [Informationssicherheitsbeauftragter (ISB)] (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.4.A3 Festlegung des Geltungsbereichs und der Notfallmanagementstrategie [Institutionsleitung] (H)
DER.4.A4 Leitlinie zum Notfallmanagement und Übernahme der Gesamtverantwortung durch die Institutionsleitung [Institutionsleitung] (H)
DER.4.A5 Aufbau einer geeigneten Organisationsstruktur für das Notfallmanagement [Institutionsleitung] (H)
DER.4.A6 Bereitstellung angemessener Ressourcen für das Notfallmanagement [Institutionsleitung] (H)
DER.4.A7 Erstellung eines Notfallkonzepts [Institutionsleitung] (H)
DER.4.A8 Integration der Mitarbeiter in den Notfallmanagement-Prozess [Vorgesetzte, Leiter Personal] (H)
DER.4.A9 Integration von Notfallmanagement in organisationsweite Abläufe und Prozesse [Institutionsleitung] (H)
DER.4.A10 Tests und Notfallübungen [Institutionsleitung] (H)
DER.4.A11 ENTFALLEN (H)
DER.4.A12 Dokumentation im Notfallmanagement-Prozess (H)
DER.4.A13 Überprüfung und Steuerung des Notfallmanagement-Systems [Institutionsleitung] (H)
DER.4.A14 Regelmäßige Überprüfung und Verbesserung der Notfallmaßnahmen [Institutionsleitung] (H)
DER.4.A15 Bewertung der Leistungsfähigkeit des Notfallmanagementsystems [Institutionsleitung] (H)
DER.4.A16 Notfallvorsorge- und Notfallreaktionsplanung für ausgelagerte Komponenten [Institutionsleitung] (H)