Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:aai:incidentresponse [2021/01/21 11:16] – [Definitionen] Wolfgang Pempe | de:aai:incidentresponse [2023/06/05 16:44] – [Definitionen] Wolfgang Pempe |
---|
| |
Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI Prozesse und Kommunikationskanäle definiert, die bei Sicherheitsvorfällen mit AAI-Bezug eine schnelle Eindämmung des Problems unter Einbeziehung aller Betroffenen ermöglichen. | Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI Prozesse und Kommunikationskanäle definiert, die bei Sicherheitsvorfällen mit AAI-Bezug eine schnelle Eindämmung des Problems unter Einbeziehung aller Betroffenen ermöglichen. |
{{anchor:a00:}} | |
<callout type="danger" title="Was tun im Fall eines Incidents?"> | <callout type="danger" title="Was tun im Fall eines Incidents?"> |
Bei Sicherheitsvorfällen, die auch andere Föderationsteilnehmer betreffen, erreichen Sie uns unter: \\ | Bei Sicherheitsvorfällen, die auch andere Föderationsteilnehmer betreffen, erreichen Sie uns unter: \\ |
</callout> | </callout> |
| |
Diese Seite fasst die folgenden englischsprachigen Dokumente zusammen: [[https://wiki.geant.org/display/AARC/DNA3.2+Generic+Security+Incident+Response+Procedure|AARC Deliverable DNA3.2 Security Incident Response Procedure]] und [[https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf|A Security Incident Response Trust Framework for Federated Identity (Sirtfi)]] von [[https://refeds.org/sirtfi|REFEDS]]. Es geht um Best Practices für die Handhabung von IT-Sicherheitsvorfällen in der DFN-AAI und darum, was teilnehmende Organisationen darüber hinaus tun können, um sich am offiziellen Sirtfi Framework zu beteiligen. \\ | Diese Seite fasst die folgenden englischsprachigen Dokumente zusammen: [[https://wiki.geant.org/display/AARC/Generic+Security+Incident+Response+Procedure|AARC Deliverable I051: Guide to Federated Security Incident Response for Research Collaboration]], sowie [[https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf|Version 1]] und [[https://refeds.org/wp-content/uploads/2022/08/Sirtfi-v2.pdf|Version 2]] der [[https://refeds.org/sirtfi|REFEDS-Spezifikation]] des **Security Incident Response Trust Framework for Federated Identity (Sirtfi)**. Es geht um Best Practices für die Handhabung von IT-Sicherheitsvorfällen in der DFN-AAI und darum, was teilnehmende Organisationen darüber hinaus tun können, um sich am offiziellen Sirtfi Framework zu beteiligen. \\ |
Metadatentechnisch wird die Sirtfi-Compliance über ein [[de:entity_attributes#sirtfi_security_incident_response_trust_framework_for_federated_identity|Entity Attribut]] ausgedrückt. | Metadatentechnisch wird die Sirtfi-Compliance über ein [[de:entity_attributes#sirtfi_security_incident_response_trust_framework_for_federated_identity|Entity Attribut]] ausgedrückt. |
| |
==== Definitionen ==== | ==== Definitionen ==== |
* **Sicherheitskontakt der DFN-AAI**: Die auf der [[https://www.aai.dfn.de/sicherheit/ | Website der DFN-AAI]] angebene Kontaktadresse für Security Incidents ist die erste Eskalationsstufe außerhalb der eigenen Organisation. | * **Sicherheitskontakt der DFN-AAI**: Die auf der [[https://www.aai.dfn.de/sicherheit/ | Website der DFN-AAI]] angebene Kontaktadresse für Security Incidents ist die erste Eskalationsstufe außerhalb der eigenen Organisation. |
* **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: Die Bearbeitung eines Vorfalls innerhalb der Föderation oder in Zusammenarbeit mit eduGAIN wird zunächst vom [[https://www.aai.dfn.de/sicherheit/|CERT der DFN-AAI]] koordiniert. Bei föderationsübergreifenden Incidents ist das [[abuse@edugain.org|eduGAIN Security Team]] hinzuzuziehen. | * **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: Die Bearbeitung eines Vorfalls innerhalb der Föderation oder in Zusammenarbeit mit eduGAIN wird zunächst vom Incident Resonse Team des DFN-CERT koordiniert, die Kontaktdaten finden sich oben im Kasten "Was tun im Fall eines Incidents?". Bei föderationsübergreifenden Incidents ist das [[abuse@edugain.org|eduGAIN Security Team]] hinzuzuziehen. Siehe hierzu auch unter https://wiki.geant.org/display/eduGAIN/eduGAIN+Security |
* **Traffic Light Protocol (TLP)**: Das [[https://www.us-cert.gov/tlp|Traffic Light Protocol]] ist ein Schema, nach dem Absender von Informationen anzeigen können, an welche Empfängerkreise diese weitergegeben werden dürfen. Es unterscheidet anhand von vier Farben unbegrenzte öffentliche Weitergabe, organisationsübergreifende Weitergabe, organisationsinterne Verteilung und die persönliche Weitergabe an den Kreis der Anwesenden (siehe auch das deutschsprachige [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/Merkblatt_TLP.html|Merkblatt vom BSI]]). | * **Traffic Light Protocol (TLP)**: Das [[https://www.us-cert.gov/tlp|Traffic Light Protocol]] ist ein Schema, nach dem Absender von Informationen anzeigen können, an welche Empfängerkreise diese weitergegeben werden dürfen. Es unterscheidet anhand von vier Farben unbegrenzte öffentliche Weitergabe, organisationsübergreifende Weitergabe, organisationsinterne Verteilung und die persönliche Weitergabe an den Kreis der Anwesenden (siehe auch das deutschsprachige [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/Merkblatt_TLP.html|Merkblatt vom BSI]]). |
* **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall?** | * **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall?** |
| |
* Nehmen Sie sich unsere [[de:aai:incident_reporting_template|Berichtsvorlage]] und tragen Sie alle bereits bekannten Informationen zusammen. | * Nehmen Sie sich unsere [[de:aai:incident_reporting_template|Berichtsvorlage]] und tragen Sie alle bereits bekannten Informationen zusammen. |
* Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer ([[#a00|siehe oben]]). Wir unterstützen Sie beim weiteren Vorgehen. | * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer ([[de:aai:incidentresponse#was-tun-im-fall-eines-incidents|siehe oben]]). Wir unterstützen Sie beim weiteren Vorgehen. |
* Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur //betroffene// Föderationsteilnehmer informiert. | * Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur //betroffene// Föderationsteilnehmer informiert. |
| |
==== 9. Aktualisierung von Dokumentation und Prozessen ==== | ==== 9. Aktualisierung von Dokumentation und Prozessen ==== |
| |
* Aktualisieren Sie Ihre organisationsinterne Dokumentation und Prozesse mit dem neu Gelernten. | * Aktualisieren Sie Ihre organisationsinterne Dokumentation und Prozesse anhand des neu Gelernten. |
| |
| |