Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:aai:incidentresponse [2021/01/21 11:09] – [Maßnahmen für den Föderationsbetreiber] Wolfgang Pempe | de:aai:incidentresponse [2023/06/06 14:59] – [6. Beantwortung und Dokumentation von Rückfragen] Wolfgang Pempe | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI Prozesse und Kommunikationskanäle definiert, die bei Sicherheitsvorfällen mit AAI-Bezug eine schnelle Eindämmung des Problems unter Einbeziehung aller Betroffenen ermöglichen. | Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI Prozesse und Kommunikationskanäle definiert, die bei Sicherheitsvorfällen mit AAI-Bezug eine schnelle Eindämmung des Problems unter Einbeziehung aller Betroffenen ermöglichen. | ||
- | {{anchor: | + | |
<callout type=" | <callout type=" | ||
Bei Sicherheitsvorfällen, | Bei Sicherheitsvorfällen, | ||
Zeile 15: | Zeile 15: | ||
</ | </ | ||
- | Diese Seite fasst die folgenden englischsprachigen Dokumente zusammen: [[https:// | + | Diese Seite fasst die folgenden englischsprachigen Dokumente zusammen: [[https:// |
Metadatentechnisch wird die Sirtfi-Compliance über ein [[de: | Metadatentechnisch wird die Sirtfi-Compliance über ein [[de: | ||
Zeile 28: | Zeile 28: | ||
===== 2. Security Incident Response in der DFN-AAI ===== | ===== 2. Security Incident Response in der DFN-AAI ===== | ||
- | Die unten formulierten Handlungsempfehlungen orientieren sich an der diesbezüglichen [[https:// | + | Die unten formulierten Handlungsempfehlungen orientieren sich an der diesbezüglichen [[https:// |
==== Definitionen ==== | ==== Definitionen ==== | ||
* **Sicherheitskontakt der DFN-AAI**: Die auf der [[https:// | * **Sicherheitskontakt der DFN-AAI**: Die auf der [[https:// | ||
- | * **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: | + | * **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: |
* **Traffic Light Protocol (TLP)**: Das [[https:// | * **Traffic Light Protocol (TLP)**: Das [[https:// | ||
* **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall?** | * **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall?** | ||
Zeile 56: | Zeile 56: | ||
==== Maßnahmen für die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle ==== | ==== Maßnahmen für die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle ==== | ||
- | * **ggf. Information von eduGAIN:** Wenn Teilnehmer aus anderen Föderationen von dem Vorfall betroffen sind, informiert die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle den [[support@edugain.org|eduGAIN Security Contact]]. | + | * **ggf. Information von eduGAIN:** Wenn Teilnehmer aus anderen Föderationen von dem Vorfall betroffen sind, informiert die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle den [[abuse@edugain.org|eduGAIN Security Contact]]. |
* **Verantwortung: | * **Verantwortung: | ||
* **Ansprechbarkeit: | * **Ansprechbarkeit: | ||
Zeile 75: | Zeile 75: | ||
==== Definitionen ==== | ==== Definitionen ==== | ||
- | * **Sirtfi (sprich: „certify“): | + | * **Sirtfi (sprich: „certify“): |
+ | |||
+ | Die Konformität mit Sirtfi(2) wird in den Föderationsmetadaten über ein entsprechendes [[de: | ||
==== Teilnahmevoraussetzungen ==== | ==== Teilnahmevoraussetzungen ==== | ||
Zeile 89: | Zeile 91: | ||
* **[OS2]: A process is used to manage vulnerabilities in software operated by the | * **[OS2]: A process is used to manage vulnerabilities in software operated by the | ||
organisation.** \\ (Es gibt einen Prozess, mit dem Sicherheitslücken in der eingesetzten Software behandelt werden.) | organisation.** \\ (Es gibt einen Prozess, mit dem Sicherheitslücken in der eingesetzten Software behandelt werden.) | ||
- | * **[OS3]: | + | * **[OS3]: |
- | information | + | intelligence |
* **[OS4]: A user’s access rights can be suspended, modified or terminated in a timely | * **[OS4]: A user’s access rights can be suspended, modified or terminated in a timely | ||
manner.** \\ (Zugriffsrechte eines Nutzers können kurzfristig entzogen, gelöscht oder modifiziert werden.) | manner.** \\ (Zugriffsrechte eines Nutzers können kurzfristig entzogen, gelöscht oder modifiziert werden.) | ||
Zeile 97: | Zeile 99: | ||
* **[OS6]: A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident.** \\ (Innerhalb der Organisation existieren die erforderlichen Mechanismen und Berechtigungen, | * **[OS6]: A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident.** \\ (Innerhalb der Organisation existieren die erforderlichen Mechanismen und Berechtigungen, | ||
* **Indicent Response [IR]** \\ (Reaktion auf sicherheitsrelevante Vorfälle) \\ **Assertion [OS6] above posits that a security incident response capability exists within the | * **Indicent Response [IR]** \\ (Reaktion auf sicherheitsrelevante Vorfälle) \\ **Assertion [OS6] above posits that a security incident response capability exists within the | ||
- | organisation. This section’s assertions describe its interactions with other organisations participating in the Sirtfi | + | organisation. This section’s assertions describe its interactions with other organisations participating in Sirtfi. They are intended to augment but not supersede local procedures when an incident may extend beyond the organisation.** |
- | * **[IR1]: Provide security incident response contact information as may be requested by an R& | + | * **[IR1]: Provide security incident response contact information as may be requested by any federation to which your organization belongs.** \\ (Benennung eines Kontakts für Sicherheitsvorfälle) |
- | * **[IR2]: Respond to requests for assistance with a security incident from other organisations participating in the Sirtfi | + | * **[IR2]: Respond to requests for assistance with a security incident from other organisations participating in Sirtfi in a timely manner** \\ (Kurzfristige Reaktion auf Rückfragen anderer Föderationsteilnehmer, |
- | * **[IR3]: Be able and willing to collaborate in the management of a security incident with affected organisations that participate in the Sirtfi | + | * **[IR3]]: Notify security contacts of entities participating in Sirtfi when a security incident investigation suggests that those entities are involved in the incident. Notification should also follow the security procedures of any federations to which your organisation belongs.** \\ (Benachrichtigung der Sicherheitskontakte anderer Sirtfi-Teilnehmer, |
- | * **[IR4]: Follow security incident response procedures established for the organisation.** \\ (Befolgung organisationsinterner Prozesse für Incident Response) | + | * **[IR4]: Be able and willing to collaborate in the management of a security incident with affected organisations that participate in Sirtfi** \\ (Fähigkeit und Bereitschaft, |
* **[IR5]: Respect user privacy as determined by the organisations policies or legal counsel.** \\ (Der Schutz der Privatsphäre von NutzerInnen wird entsprechend der Rechtslage und der organisationsinternen Richtlinien berücksichtigt) | * **[IR5]: Respect user privacy as determined by the organisations policies or legal counsel.** \\ (Der Schutz der Privatsphäre von NutzerInnen wird entsprechend der Rechtslage und der organisationsinternen Richtlinien berücksichtigt) | ||
* **[IR6]: Respect and use the Traffic Light Protocol [[https:// | * **[IR6]: Respect and use the Traffic Light Protocol [[https:// | ||
* **Traceability [TR]** \\ (Nachvollziehbarkeit) \\ **To be able to answer the basic questions "who, what, where, and when" concerning a security incident requires retaining relevant system generated information, | * **Traceability [TR]** \\ (Nachvollziehbarkeit) \\ **To be able to answer the basic questions "who, what, where, and when" concerning a security incident requires retaining relevant system generated information, | ||
* **[TR1]: Relevant system generated information, | * **[TR1]: Relevant system generated information, | ||
- | * **[TR2]: Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices. ** \\ (Das Vorhalten dieser Informationen erfolgt konform mit den organisationsinternen Richtlinien.)) | + | * **[TR2]: Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices. ** \\ (Das Vorhalten dieser Informationen erfolgt konform mit den organisationsinternen Richtlinien.) |
- | * **Participant Responsibilities | + | * **User Rules and Conditions |
- | * **[PR1]: The participant has an Acceptable Use Policy (AUP).** \\ (Die Organisation hat für die AAI-relevanten Dienste Nutzungsbedingungen.) | + | * **[UR1]: The participant has defined rules and conditions of use.** \\ (Die Organisation hat für die AAI-relevanten Dienste Nutzungsbedingungen.) |
- | * **[PR2]: There is a process to ensure that all users are aware of and accept the requirement to abide by the AUP, for example during a registration or renewal process.** (Die Organisation stellt sicher, dass alle BenutzerInnen die Nutzungsbedingungen kennen und annehmen.) | + | * **[UR2]: There is a process to notify |
Zeile 130: | Zeile 132: | ||
* Nehmen Sie sich unsere [[de: | * Nehmen Sie sich unsere [[de: | ||
- | * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer ([[#a00|siehe oben]]). Wir unterstützen Sie beim weiteren Vorgehen. | + | * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer ([[de: |
* Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur // | * Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur // | ||
Zeile 144: | Zeile 146: | ||
==== 6. Beantwortung und Dokumentation von Rückfragen ==== | ==== 6. Beantwortung und Dokumentation von Rückfragen ==== | ||
- | * Halten Sie sich für Rückfragen anderer betroffener Föderationsteilnehmer bereit. Sirtfi-compliant zu sein, bedeutet, Rückfragen innerhalb eines lokalen Werktages zu beantworten. | + | * Halten Sie sich für Rückfragen anderer betroffener Föderationsteilnehmer bereit. Sirtfi-compliant zu sein, bedeutet, Rückfragen |
* Alle Beteiligten erhalten die Rückfragen und Antworten, um den Umfang der Rückfragen aus das nötige Minimum zu reduzieren und zu gewährleisten, | * Alle Beteiligten erhalten die Rückfragen und Antworten, um den Umfang der Rückfragen aus das nötige Minimum zu reduzieren und zu gewährleisten, | ||
* Dokumentieren Sie alle Rückfragen und Ihre Antworten für den Abschlussbericht. | * Dokumentieren Sie alle Rückfragen und Ihre Antworten für den Abschlussbericht. | ||
Zeile 162: | Zeile 164: | ||
==== 9. Aktualisierung von Dokumentation und Prozessen ==== | ==== 9. Aktualisierung von Dokumentation und Prozessen ==== | ||
- | * Aktualisieren Sie Ihre organisationsinterne Dokumentation und Prozesse | + | * Aktualisieren Sie Ihre organisationsinterne Dokumentation und Prozesse |