Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

de:aai:incident_reporting_template [2018/10/29 11:40] (aktuell)
Silke Meyer angelegt
Zeile 1: Zeile 1:
 +====== Berichtsvorlagn für Security Incident Response in der DFN-AAI ======
 +
 +===== Auszufüllen von der meldenden Einrichtung =====
 +Die folgende Vorlage sollte sowohl für die Erstmeldung eines Security Incidents, als auch für den Abschlussbericht verwendet werden. **Adressat: security@aai.dfn.de**. ​
 +
 +<WRAP center round important 60%>
 +Die Inhalte gemeldeter Security Incidents unterliegen den Traffic Light Protocol und werden - soweit nicht anders besprochen - als TLP Amber eingestuft. Das bedeutet, dass sie nur organisationsintern weitergeben werden dürfen.
 +</​WRAP>​
 +
 +  * Name der Einrichtung
 +  * Ort, Datum
 +  * Name (wer meldet den Vorfall?)
 +  * Kontaktadresse für Rückfragen (i.d.R. der Sicherheitskontakt aus den Metadaten)
 +  * Ticketnummer des Vorfalls beim DFN-Verein
 +  * Beschreibung des Vorfalls, Ursache des Vorfalls (falls bereits bekannt)
 +  * Zeitpunkt des Vorfalls
 +  * Zeitpunkt der Entdeckung
 +  * Zeitpunkt der Erstmeldung an den Sicherheitskontakt der DFN-AAI
 +  * Zeitpunkt der Eindämmung
 +  * Entdeckt durch (Person/​System/​intern/​externe Meldung)
 +  * Betroffene Systeme
 +  * Auswirkungsbereich des Vorfalls (Abhängigkeiten?​ Nur eigene Einrichtung?​ Andere in der DFN-AAI? Andere in eduGAIN?)
 +  * Chronologie der Ereignisse und der Maßnahmen zur Behebung
 +  * Zeitpunkt der vollständigen Wiederherstellung
 +  * Maßnahmen zur Vermeidung künftiger Vorfälle
 +  * Wurden Log-Daten zur Auswertung und Beweissicherung gesichert?
 +  * Dokumentation von Rückfragen anderer betroffener Föderationsteilnehmer und ihrer Beantwortung
 +
 +===== Auszufüllen vom CERT der DFN-AAI =====
 +TLP Amber
 +
 +  * Name der Einrichtung:​
 +  * Ort, Datum
 +  * Name des Bearbeiters/​der Bearbeiterin
 +  * Kontaktadresse für Rückfragen:​ security@aai.dfn.de
 +  * Ticketnummer des Vorfalls
 +  * interne ID des Vorfalls in der Dokumentation
 +  * Zeitpunkt der ersten Information betroffener Einrichtungen in der DFN-AAI
 +  * Zeitpunkt der Erstmeldung an eduGAIN (falls zutreffend)
 +  * Klassifizierung des Vorfalls (z.B. Identitätsdiebstahl,​ Einbruch etc.)
 +
 +
 +
 +
  
  • Zuletzt geändert: vor 14 Monaten