Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:aai:incidentresponse [2019/07/18 11:53] Wolfgang Pempede:aai:incidentresponse [2023/06/06 18:07] (aktuell) – [3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI] Wolfgang Pempe
Zeile 3: Zeile 3:
  
 Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI Prozesse und Kommunikationskanäle definiert, die bei Sicherheitsvorfällen mit AAI-Bezug eine schnelle Eindämmung des Problems unter Einbeziehung aller Betroffenen ermöglichen.  Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI Prozesse und Kommunikationskanäle definiert, die bei Sicherheitsvorfällen mit AAI-Bezug eine schnelle Eindämmung des Problems unter Einbeziehung aller Betroffenen ermöglichen. 
-{{anchor:a00:}}+
 <callout type="danger" title="Was tun im Fall eines Incidents?"> <callout type="danger" title="Was tun im Fall eines Incidents?">
 Bei Sicherheitsvorfällen, die auch andere Föderationsteilnehmer betreffen, erreichen Sie uns unter: \\ Bei Sicherheitsvorfällen, die auch andere Föderationsteilnehmer betreffen, erreichen Sie uns unter: \\
Zeile 12: Zeile 12:
  
 <callout type="primary" title="Vorbereitende Maßnahmen"> <callout type="primary" title="Vorbereitende Maßnahmen">
-Wir bitten darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als [[https://wiki.refeds.org/display/SIRTFI/Choosing+a+Sirtfi+Contact|Security-Kontakt]] zu hinterlegen und den [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|Empfehlungen des Sirtfi Frameworks]] zu folgen. (Liste der Security- und sonstigen Kontakte in der DFN-AAI: https://www.aai.dfn.de/verzeichnis/dfn-aai-contacts/)+Wir bitten darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als [[https://wiki.refeds.org/display/SIRTFI/Choosing+a+Sirtfi+Contact|Security-Kontakt]] zu hinterlegen und den [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|Empfehlungen des Sirtfi Frameworks]] zu folgen. (Liste der Security- und sonstigen Kontakte in der DFN-AAI: unter https://tools.aai.dfn.de/entities"All Contacts" auswählen)
 </callout> </callout>
  
-Diese Seite fasst die folgenden englischsprachigen Dokumente zusammen: [[https://wiki.geant.org/display/AARC/DNA3.2+Generic+Security+Incident+Response+Procedure|AARC Deliverable DNA3.2 Security Incident Response Procedure]] und [[https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf|A Security Incident Response Trust Framework for Federated Identity (Sirtfi)]] von [[https://refeds.org/sirtfi|REFEDS]]. Es geht um Best Practices für die Handhabung von IT-Sicherheitsvorfällen in der DFN-AAI und darum, was teilnehmende Organisationen darüber hinaus tun können, um sich am offiziellen Sirtfi Framework zu beteiligen. \\+Diese Seite fasst die folgenden englischsprachigen Dokumente zusammen: [[https://wiki.geant.org/display/AARC/Generic+Security+Incident+Response+Procedure|AARC Deliverable I051: Guide to Federated Security Incident Response for Research Collaboration]], sowie [[https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf|Version 1]] und [[https://refeds.org/wp-content/uploads/2022/08/Sirtfi-v2.pdf|Version 2]] der [[https://refeds.org/sirtfi|REFEDS-Spezifikation]] des **Security Incident Response Trust Framework for Federated Identity (Sirtfi)**. Es geht um Best Practices für die Handhabung von IT-Sicherheitsvorfällen in der DFN-AAI und darum, was teilnehmende Organisationen darüber hinaus tun können, um sich am offiziellen Sirtfi Framework zu beteiligen. \\
 Metadatentechnisch wird die Sirtfi-Compliance über ein [[de:entity_attributes#sirtfi_security_incident_response_trust_framework_for_federated_identity|Entity Attribut]] ausgedrückt. Metadatentechnisch wird die Sirtfi-Compliance über ein [[de:entity_attributes#sirtfi_security_incident_response_trust_framework_for_federated_identity|Entity Attribut]] ausgedrückt.
  
Zeile 28: Zeile 28:
 ===== 2. Security Incident Response in der DFN-AAI ===== ===== 2. Security Incident Response in der DFN-AAI =====
  
-Die unten formulierten Handlungsempfehlungen orientieren sich an der diesbezüglichen [[https://wiki.geant.org/display/AARC/DNA3.2+Generic+Security+Incident+Response+Procedure|Dokumentation im GÉANT Wiki]]. Hier werden unter Bezugnahme auf Sirtfi entsprechende Rollen und Maßnahmen beschrieben, die bei einem Security Incident zum Tragen kommen. +Die unten formulierten **Handlungsempfehlungen** orientieren sich an der diesbezüglichen [[https://wiki.geant.org/display/AARC/Generic+Security+Incident+Response+Procedure|Dokumentation im GÉANT Wiki]]. Hier werden unter Bezugnahme auf Sirtfi entsprechende Rollen und Maßnahmen beschrieben, die bei einem Security Incident zum Tragen kommen. 
  
 ==== Definitionen ==== ==== Definitionen ====
   * **Sicherheitskontakt der DFN-AAI**: Die auf der [[https://www.aai.dfn.de/sicherheit/ | Website der DFN-AAI]] angebene Kontaktadresse für Security Incidents ist die erste Eskalationsstufe außerhalb der eigenen Organisation.   * **Sicherheitskontakt der DFN-AAI**: Die auf der [[https://www.aai.dfn.de/sicherheit/ | Website der DFN-AAI]] angebene Kontaktadresse für Security Incidents ist die erste Eskalationsstufe außerhalb der eigenen Organisation.
-  * **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: Die Bearbeitung eines Vorfalls innerhalb der Föderation oder in Zusammenarbeit mit eduGAIN wird zunächst vom [[https://www.aai.dfn.de/sicherheit/|CERT der DFN-AAI]] koordiniert. Bei föderationsübergreifenden Incidents ist das [[support@edugain.org|eduGAIN Support Team]] hinzuzuziehen.+  * **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: Die Bearbeitung eines Vorfalls innerhalb der Föderation oder in Zusammenarbeit mit eduGAIN wird zunächst vom Incident Resonse Team des DFN-CERT koordiniert, die Kontaktdaten finden sich oben im [[de:aai:incidentresponse#security_incident_response_in_der_dfn-aai|Kasten "Was tun im Fall eines Incidents?"]]. Bei föderationsübergreifenden Incidents ist das [[abuse@edugain.org|eduGAIN Security Team]] hinzuzuziehen. Siehe hierzu auch unter https://wiki.geant.org/display/eduGAIN/eduGAIN+Security
   * **Traffic Light Protocol (TLP)**: Das [[https://www.us-cert.gov/tlp|Traffic Light Protocol]] ist ein Schema, nach dem Absender von Informationen anzeigen können, an welche Empfängerkreise diese weitergegeben werden dürfen. Es unterscheidet anhand von vier Farben unbegrenzte öffentliche Weitergabe, organisationsübergreifende Weitergabe, organisationsinterne Verteilung und die persönliche Weitergabe an den Kreis der Anwesenden (siehe auch das deutschsprachige [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/Merkblatt_TLP.html|Merkblatt vom BSI]]).   * **Traffic Light Protocol (TLP)**: Das [[https://www.us-cert.gov/tlp|Traffic Light Protocol]] ist ein Schema, nach dem Absender von Informationen anzeigen können, an welche Empfängerkreise diese weitergegeben werden dürfen. Es unterscheidet anhand von vier Farben unbegrenzte öffentliche Weitergabe, organisationsübergreifende Weitergabe, organisationsinterne Verteilung und die persönliche Weitergabe an den Kreis der Anwesenden (siehe auch das deutschsprachige [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/Merkblatt_TLP.html|Merkblatt vom BSI]]).
   * **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall?**   * **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall?**
Zeile 40: Zeile 40:
   * **Einhaltung bestehender organisationsinterner Prozesse:** Bereits bestehende organisationsinterne Prozesse zum Umgang mit sicherheitsrelevanten Vorfällen in der IT-Infrastruktur werden durch diese Regelung nicht berührt. Sie werden als erstes befolgt. Die Organisation leitet alle nötigen Maßnahmen zur Schadensbegrenzung ein.   * **Einhaltung bestehender organisationsinterner Prozesse:** Bereits bestehende organisationsinterne Prozesse zum Umgang mit sicherheitsrelevanten Vorfällen in der IT-Infrastruktur werden durch diese Regelung nicht berührt. Sie werden als erstes befolgt. Die Organisation leitet alle nötigen Maßnahmen zur Schadensbegrenzung ein.
   * **Meldepflicht:** Der Sicherheitskontakt des CERTs der DFN-AAI ist innerhalb eines Werktags nach Bekanntwerden über den Vorfall zu informieren und auf dem Laufenden zu halten. Er ist per E-Mail unter security@aai.dfn.de oder telefonisch unter (+49) 040 808077-590 erreichbar.   * **Meldepflicht:** Der Sicherheitskontakt des CERTs der DFN-AAI ist innerhalb eines Werktags nach Bekanntwerden über den Vorfall zu informieren und auf dem Laufenden zu halten. Er ist per E-Mail unter security@aai.dfn.de oder telefonisch unter (+49) 040 808077-590 erreichbar.
-  * **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb von 14 Tagen, welche Maßnahmen zur Behebung und künftigen Verhinderung des Problems oder Fehlers ergriffen wurden. Der Bericht erfolgt in einem Formular, das der Föderationsbetreiber zur Verfügung stellt. +  * **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb eines Monats, welche Maßnahmen zur Behebung und künftigen Verhinderung des Problems oder Fehlers ergriffen wurden. Der Bericht erfolgt in einem Formular, das der Föderationsbetreiber zur Verfügung stellt. 
-  * **Kommunikation mit anderen betroffenen Organisationen:** Die betroffene Organisation steht für Rückfragen aus der Föderation zur Verfügung und beantwortet sie in einem Zeitraum von ein bis zwei Werktagen. Die Antworten gehen stets an alle weiteren betroffenen Organisationen, um den Umfang der Rückfragen möglichst gering zu halten und um zu gewährleisten, dass alle Betroffenen auf demselben Stand sind. \\ **Liste der Security- und sonstigen Kontakte in der DFN-AAI: https://www.aai.dfn.de/verzeichnis/dfn-aai-contacts/**+  * **Kommunikation mit anderen betroffenen Organisationen:** Die betroffene Organisation steht für Rückfragen aus der Föderation zur Verfügung und beantwortet sie innerhalb eines Werktags. Die Antworten gehen stets an alle weiteren betroffenen Organisationen, um den Umfang der Rückfragen möglichst gering zu halten und um zu gewährleisten, dass alle Betroffenen auf demselben Stand sind. \\ **Liste der Security- und sonstigen Kontakte in der DFN-AAI: unter https://tools.aai.dfn.de/entitiesauf "All Contacts" klicken**
   * **Wiederinbetriebnahme der betroffenen Systeme:** Erst nachdem die betroffenen Systeme repariert bzw. abgesichert sind, werden sie wieder in Betrieb genommen.   * **Wiederinbetriebnahme der betroffenen Systeme:** Erst nachdem die betroffenen Systeme repariert bzw. abgesichert sind, werden sie wieder in Betrieb genommen.
   * **Abschlussbericht:** Ein abschließender Bericht zum sicherheitsrelevanten Vorfall wird in Zusammenarbeit mit dem Sicherheitskontakt der Föderation bzw. der Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle erstellt und allen Beteiligten zur Verfügung gestellt. Für das Verteilen dieser möglicherweise sensiblen Informationen empfiehlt der DFN-Verein das Traffic Light Protocol (TLP). In der Regel wird //TLP Amber// zur Anwendung kommen.   * **Abschlussbericht:** Ein abschließender Bericht zum sicherheitsrelevanten Vorfall wird in Zusammenarbeit mit dem Sicherheitskontakt der Föderation bzw. der Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle erstellt und allen Beteiligten zur Verfügung gestellt. Für das Verteilen dieser möglicherweise sensiblen Informationen empfiehlt der DFN-Verein das Traffic Light Protocol (TLP). In der Regel wird //TLP Amber// zur Anwendung kommen.
Zeile 49: Zeile 49:
 https://wiki.geant.org/display/AARC/Procedure+for+Federations https://wiki.geant.org/display/AARC/Procedure+for+Federations
   * **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle.   * **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle.
-  * **Information betroffener Organisationen:** Die Koordinierungsstelle übernimmt die Information aller von dem Vorfall betroffenen Föderationsteilnehmer. Wurde ein Security-Kontakt hinterlegt, wird nur dieser Kontakt informiert. Fehlt diese Angabe, wird der technische Kontakt informiert, der in den Metadaten veröffentlicht ist. Die Information erfolgt per E-Mail und ist stets von der Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle signiert.  \\ **Liste der Security- und sonstigen Kontakte in der DFN-AAI: https://www.aai.dfn.de/verzeichnis/dfn-aai-contacts/**+  * **Information betroffener Organisationen:** Die Koordinierungsstelle übernimmt die Information aller von dem Vorfall betroffenen Föderationsteilnehmer. Wurde ein Security-Kontakt hinterlegt, wird nur dieser Kontakt informiert. Fehlt diese Angabe, wird der technische Kontakt informiert, der in den Metadaten veröffentlicht ist. Die Information erfolgt per E-Mail und ist stets von der Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle signiert.  \\ **Liste der Security- und sonstigen Kontakte in der DFN-AAI: unter https://tools.aai.dfn.de/entitiesauf "All Contacts" klicken**
   * **Unterstützung beim „Berichtswesen“:** Als Föderationsbetreiber stellt der DFN-Verein eine [[de:aai:incident_reporting_template|Checkliste]] bereit, mit der betroffene Organisationen ihren Bericht über den sicherheitsrelevanten Vorfall einreichen.   * **Unterstützung beim „Berichtswesen“:** Als Föderationsbetreiber stellt der DFN-Verein eine [[de:aai:incident_reporting_template|Checkliste]] bereit, mit der betroffene Organisationen ihren Bericht über den sicherheitsrelevanten Vorfall einreichen.
   * **Unterstützung bei datenschutzkonformer Zusammenarbeit:** Der DFN-Verein bietet den Organisationen, die an der DFN-AAI teilnehmen, einen **DSGVO-konformen Passus für ihre Datenschutzregelungen** an. Er kann genutzt werden, um dem berechtigten Interesse (Art. 6 Abs. 1 Buchst. f gem. Erwägungsgrund 49) anderer Föderationsteilnehmer nachzukommen, die ggf. Logdateien anfragen, um ihre eigenen Systeme zu prüfen.   * **Unterstützung bei datenschutzkonformer Zusammenarbeit:** Der DFN-Verein bietet den Organisationen, die an der DFN-AAI teilnehmen, einen **DSGVO-konformen Passus für ihre Datenschutzregelungen** an. Er kann genutzt werden, um dem berechtigten Interesse (Art. 6 Abs. 1 Buchst. f gem. Erwägungsgrund 49) anderer Föderationsteilnehmer nachzukommen, die ggf. Logdateien anfragen, um ihre eigenen Systeme zu prüfen.
Zeile 56: Zeile 56:
 ==== Maßnahmen für die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle ==== ==== Maßnahmen für die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle ====
  
-  * **ggf. Information von eduGAIN:** Wenn Teilnehmer aus anderen Föderationen von dem Vorfall betroffen sind, informiert die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle den [[support@edugain.org|eduGAIN Security Contact]].+  * **ggf. Information von eduGAIN:** Wenn Teilnehmer aus anderen Föderationen von dem Vorfall betroffen sind, informiert die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle den [[abuse@edugain.org|eduGAIN Security Contact]].
   * **Verantwortung:** Die Koordinierungsstelle ist dafür verantwortlich, dafür zu sorgen, dass der Vorfall angemessen bearbeitet wird, sowohl an den betroffenen Organisationen als auch föderationsweit bzw. eduGAIN-weit.   * **Verantwortung:** Die Koordinierungsstelle ist dafür verantwortlich, dafür zu sorgen, dass der Vorfall angemessen bearbeitet wird, sowohl an den betroffenen Organisationen als auch föderationsweit bzw. eduGAIN-weit.
   * **Ansprechbarkeit:** Die Reaktionszeit bei der Kommunikation über den Vorfall liegt bei einem Werktag.   * **Ansprechbarkeit:** Die Reaktionszeit bei der Kommunikation über den Vorfall liegt bei einem Werktag.
Zeile 71: Zeile 71:
 ===== 3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI ===== ===== 3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI =====
  
-Teilnehmende Organisationen, die sich offiziell auf die Regeln des Sirfti-Frameworks verpflichten möchten, müssen einige Schritte unternehmen, um in ihren Metadaten das zusätzliche Entity Attribut veröffentlichen zu dürfen. Die Teilnahme ist freiwillig. +Teilnehmende Organisationen, die sich offiziell auf die Regeln des Sirfti-Frameworks verpflichten möchten, müssen einige Schritte unternehmen, um in ihren Metadaten das zusätzliche [[de:entity_attributes#sirtfi|Entity Attribut]] veröffentlichen zu dürfen. Die Teilnahme ist freiwillig. 
  
 ==== Definitionen ==== ==== Definitionen ====
  
-  * **Sirtfi (sprich: „certify“):** Die Abkürzung steht für „Security Incident Response Trust Framework for Federated Identity“. Das Framework wird seit 2014 von der gleichnamigen [[https://refeds.org/sirtfi|REFEDS]]-Arbeitsgruppe entwickelt. Ziel ist es, den Umgang mit Security Incidents, von denen mehrere Föderationsteilnehmer betroffen sind, zu koordinieren. Die [[https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf|erste Version]] ist bewusst niedrigschwellig gehalten, damit der Einstieg möglichst vielen Föderationsteilnehmern offen steht.+  * **Sirtfi (sprich: „certify“):** Die Abkürzung steht für „Security Incident Response Trust Framework for Federated Identity“. Das Framework wird seit 2014 von der gleichnamigen [[https://refeds.org/sirtfi|REFEDS]]-Arbeitsgruppe entwickelt. Ziel ist es, den Umgang mit Security Incidents, von denen mehrere Föderationsteilnehmer betroffen sind, zu koordinieren. Die [[https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf|erste Version]] ist bewusst niedrigschwellig gehalten, damit der Einstieg möglichst vielen Föderationsteilnehmern offen steht. Die [[https://refeds.org/wp-content/uploads/2022/08/Sirtfi-v2.pdf|Version 2]] beinhaltet alle Punkte der Version 1, [[https://refeds.org/wp-content/uploads/2022/08/Coexistence-of-Sirtfi-v1-and-v2.pdf|ergänzt und präzisiert]] diese jedoch.  
 + 
 +Die Konformität mit Sirtfi(2) wird in den Föderationsmetadaten über ein entsprechendes [[de:entity_attributes#sirtfi|Entity Attribut]] modelliert.
  
 ==== Teilnahmevoraussetzungen ==== ==== Teilnahmevoraussetzungen ====
Zeile 89: Zeile 91:
     * **[OS2]: A process is used to manage vulnerabilities in software operated by the      * **[OS2]: A process is used to manage vulnerabilities in software operated by the 
 organisation.** \\ (Es gibt einen Prozess, mit dem Sicherheitslücken in der eingesetzten Software behandelt werden.) organisation.** \\ (Es gibt einen Prozess, mit dem Sicherheitslücken in der eingesetzten Software behandelt werden.)
-    * **[OS3]: Mechanisms are deployed to detect possible intrusions and protect +    * **[OS3]: Means are implemented to detect and act on possible intrusions using threat 
-information systems from significant and immediate threats** \\ (Die Organisation verfügt über Mechanismen zur Intrusion Detection und für den Schutz vor unmittelbaren, relevanten Bedrohungen.)+intelligence information in a timely manner.** \\ (Die Organisation verfügt über Mechanismen zur zeitnahen Intrusion Detection und für den Schutz vor unmittelbaren, relevanten Bedrohungen.)
     * **[OS4]: A user’s access rights can be suspended, modified or terminated in a timely      * **[OS4]: A user’s access rights can be suspended, modified or terminated in a timely 
 manner.** \\ (Zugriffsrechte eines Nutzers können kurzfristig entzogen, gelöscht oder modifiziert werden.) manner.** \\ (Zugriffsrechte eines Nutzers können kurzfristig entzogen, gelöscht oder modifiziert werden.)
Zeile 97: Zeile 99:
     * **[OS6]: A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident.** \\ (Innerhalb der Organisation existieren die erforderlichen Mechanismen und Berechtigungen, um sicherheitsrelevante Vorfälle zu entschärfen, einzudämmen und ihre Folgen zu beseitigen.     * **[OS6]: A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident.** \\ (Innerhalb der Organisation existieren die erforderlichen Mechanismen und Berechtigungen, um sicherheitsrelevante Vorfälle zu entschärfen, einzudämmen und ihre Folgen zu beseitigen.
   * **Indicent Response [IR]** \\ (Reaktion auf sicherheitsrelevante Vorfälle) \\ **Assertion [OS6] above posits that a security incident response capability exists within the    * **Indicent Response [IR]** \\ (Reaktion auf sicherheitsrelevante Vorfälle) \\ **Assertion [OS6] above posits that a security incident response capability exists within the 
-organisation. This section’s assertions describe its interactions with other organisations participating in the Sirtfi trust framework.** +organisation. This section’s assertions describe its interactions with other organisations participating in Sirtfi. They are intended to augment but not supersede local procedures when an incident may extend beyond the organisation.** 
-    * **[IR1]: Provide security incident response contact information as may be requested by an R&federation to which your organization belongs.** \\ (Benennung eines Kontakts für Sicherheitsvorfälle) +    * **[IR1]: Provide security incident response contact information as may be requested by any federation to which your organization belongs.** \\ (Benennung eines Kontakts für Sicherheitsvorfälle) 
-    * **[IR2]: Respond to requests for assistance with a security incident from other organisations participating in the Sirtfi trust framework in a timely manner** \\ (Kurzfristige Reaktion auf Rückfragen anderer Föderationsteilnehmer, die einen Sicherheitsvorfall betreffen.) +    * **[IR2]: Respond to requests for assistance with a security incident from other organisations participating in Sirtfi in a timely manner** \\ (Kurzfristige Reaktion auf Rückfragen anderer Föderationsteilnehmer, die einen Sicherheitsvorfall betreffen.) 
-    * **[IR3]: Be able and willing to collaborate in the management of a security incident with affected organisations that participate in the Sirtfi trust ** \\ (Fähigkeit und Bereitschaft, im Falle eines Vorfalls mit anderen an Sirfti teilnehmenden Organisationen zusammenzuarbeiten+    * **[IR3]: Notify security contacts of entities participating in Sirtfi when a security incident investigation suggests that those entities are involved in the incident. Notification should also follow the security procedures of any federations to which your organisation belongs.** \\ (Benachrichtigung der Sicherheitskontakte anderer Sirtfi-Teilnehmer, wenn die Untersuchung eines Incidents nahelegt, dass diese ebenfalls betroffen sind. Die Benachrichtigung sollte darüber hinaus den Sicherheitsprozeduren aller Föderationen folgen, an denen die betreffende Organisation teilnimmt) 
-    * **[IR4]: Follow security incident response procedures established for the organisation.** \\ (Befolgung organisationsinterner Prozesse für Incident Response)+    * **[IR4]: Be able and willing to collaborate in the management of a security incident with affected organisations that participate in Sirtfi** \\ (Fähigkeit und Bereitschaft, im Falle eines Vorfalls mit anderen an Sirfti teilnehmenden Organisationen zusammenzuarbeiten)
     * **[IR5]: Respect user privacy as determined by the organisations policies or legal counsel.** \\ (Der Schutz der Privatsphäre von NutzerInnen wird entsprechend der Rechtslage und der organisationsinternen Richtlinien berücksichtigt)     * **[IR5]: Respect user privacy as determined by the organisations policies or legal counsel.** \\ (Der Schutz der Privatsphäre von NutzerInnen wird entsprechend der Rechtslage und der organisationsinternen Richtlinien berücksichtigt)
     * **[IR6]: Respect and use the Traffic Light Protocol [[https://www.us-cert.gov/tlp|TLP]] information disclosure policy.** \\ (Das [[https://www.us-cert.gov/tlp|Traffic-Light-Protokoll (TLP)]] wird bei der Informationsweitergabe befolgt und berücksichtigt.)     * **[IR6]: Respect and use the Traffic Light Protocol [[https://www.us-cert.gov/tlp|TLP]] information disclosure policy.** \\ (Das [[https://www.us-cert.gov/tlp|Traffic-Light-Protokoll (TLP)]] wird bei der Informationsweitergabe befolgt und berücksichtigt.)
   * **Traceability [TR]** \\ (Nachvollziehbarkeit) \\ **To be able to answer the basic questions "who, what, where, and when" concerning a security incident requires retaining relevant system generated information, including accurate timestamps and identifiers of system components and actors, for a period of time.**   * **Traceability [TR]** \\ (Nachvollziehbarkeit) \\ **To be able to answer the basic questions "who, what, where, and when" concerning a security incident requires retaining relevant system generated information, including accurate timestamps and identifiers of system components and actors, for a period of time.**
     * **[TR1]: Relevant system generated information, including accurate timestamps and identifiers of system components and actors, are retained and available for use in security incident response procedures.** \\ (Alle relevanten, computergenerierten Informationen werden für eine bestimmte Zeit gespeichert und stehen für die Bearbeitung von Sicherheitsvorfällen zur Verfügung, einschließlich exakten Zeitstempeln und Kennungen von Systemkomponenten und AkteurInnen.)     * **[TR1]: Relevant system generated information, including accurate timestamps and identifiers of system components and actors, are retained and available for use in security incident response procedures.** \\ (Alle relevanten, computergenerierten Informationen werden für eine bestimmte Zeit gespeichert und stehen für die Bearbeitung von Sicherheitsvorfällen zur Verfügung, einschließlich exakten Zeitstempeln und Kennungen von Systemkomponenten und AkteurInnen.)
-    * **[TR2]: Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices. ** \\ (Das Vorhalten dieser Informationen erfolgt konform mit den organisationsinternen Richtlinien.)+    * **[TR2]: Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices. ** \\ (Das Vorhalten dieser Informationen erfolgt konform mit den organisationsinternen Richtlinien.) 
-  * **Participant Responsibilities [PR]** \\ (Verantwortung der teilnehmenden Organisationen) \\ **All participants (IdPs and SPs) in the federations need to rely on appropriate behavior.** +  * **User Rules and Conditions [UR]** \\ (Verantwortung der teilnehmenden Organisationen gegenüber den Endnutzer:innen) \\ **Identity Providers and Service Providers (participantshave a responsibility to notify users that their access may be controlled following unauthorised use, such as during a security incident. The definition of authorised use may be communicated to the user via an Acceptable Usage policy, terms and conditions, contract or other agreement. This may be done directly between the participant and the user, or between a third party and the user in the case that operation of a system has been delegated.** 
-    * **[PR1]: The participant has an Acceptable Use Policy (AUP).** \\ (Die Organisation hat für die AAI-relevanten Dienste Nutzungsbedingungen.) +    * **[UR1]: The participant has defined rules and conditions of use.** \\ (Die Organisation hat für die AAI-relevanten Dienste Nutzungsbedingungen.) 
-    * **[PR2]: There is a process to ensure that all users are aware of and accept the requirement to abide by the AUP, for example during a registration or renewal process.** (Die Organisation stellt sicher, dass alle BenutzerInnen die Nutzungsbedingungen kennen und annehmen.)+    * **[UR2]: There is a process to notify all users of these rules and conditions of use.** \\ (Die Organisation stellt sicher, dass alle BenutzerInnen die Nutzungsbedingungen kennen und annehmen.)
  
  
Zeile 129: Zeile 131:
 ==== 3. Meldung an den Sicherheitskontakt der DFN-AAI ==== ==== 3. Meldung an den Sicherheitskontakt der DFN-AAI ====
  
-  * Nehmen Sie sich unsere Berichtsvorlage und tragen Sie alle bereits bekannten Informationen zusammen.  +  * Nehmen Sie sich unsere [[de:aai:incident_reporting_template|Berichtsvorlage]] und tragen Sie alle bereits bekannten Informationen zusammen.  
-  * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer ([[#a00|siehe oben]]). Wir unterstützen Sie beim weiteren Vorgehen.+  * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer ([[de:aai:incidentresponse#was-tun-im-fall-eines-incidents|siehe oben]]). Wir unterstützen Sie beim weiteren Vorgehen.
   * Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur //betroffene// Föderationsteilnehmer informiert.   * Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur //betroffene// Föderationsteilnehmer informiert.
  
Zeile 144: Zeile 146:
 ==== 6. Beantwortung und Dokumentation von Rückfragen ==== ==== 6. Beantwortung und Dokumentation von Rückfragen ====
  
-  * Halten Sie sich für Rückfragen anderer betroffener Föderationsteilnehmer bereit. Sirtfi-compliant zu sein, bedeutet, Rückfragen innerhalb eines lokalen Werktages zu beantworten.+  * Halten Sie sich für Rückfragen anderer betroffener Föderationsteilnehmer bereit. Sirtfi-compliant zu sein, bedeutet, Rückfragen möglichst zeitnah, idealerweise innerhalb eines lokalen Werktages zu beantworten.
   * Alle Beteiligten erhalten die Rückfragen und Antworten, um den Umfang der Rückfragen aus das nötige Minimum zu reduzieren und zu gewährleisten, dass alle auf demselben Stand sind   * Alle Beteiligten erhalten die Rückfragen und Antworten, um den Umfang der Rückfragen aus das nötige Minimum zu reduzieren und zu gewährleisten, dass alle auf demselben Stand sind
   * Dokumentieren Sie alle Rückfragen und Ihre Antworten für den Abschlussbericht.   * Dokumentieren Sie alle Rückfragen und Ihre Antworten für den Abschlussbericht.
Zeile 156: Zeile 158:
 ==== 8. Abschlussbericht ==== ==== 8. Abschlussbericht ====
  
-  * Reichen Sie einen Abschlussbericht bei der Koordinierungsstelle ein. Er soll alle Punkte umfassen, die unsere Vorlage beinhaltet.+  * Reichen Sie einen Abschlussbericht bei der Koordinierungsstelle ein. Er soll alle Punkte umfassen, die [[de:aai:incident_reporting_template|unsere Vorlage]] beinhaltet.
   * Die Verteilung des Berichts an alle Betroffenen übernimmt die Koordinierungsstelle.   * Die Verteilung des Berichts an alle Betroffenen übernimmt die Koordinierungsstelle.
   * Die Weitergabe des Abschlussberichtes unterliegt - soweit nicht anders besprochen - dem Traffic Light Protocol //Amber//.   * Die Weitergabe des Abschlussberichtes unterliegt - soweit nicht anders besprochen - dem Traffic Light Protocol //Amber//.
Zeile 162: Zeile 164:
 ==== 9. Aktualisierung von Dokumentation und Prozessen ==== ==== 9. Aktualisierung von Dokumentation und Prozessen ====
  
-  * Aktualisieren Sie Ihre organisationsinterne Dokumentation und Prozesse mit dem neu Gelernten.+  * Aktualisieren Sie Ihre organisationsinterne Dokumentation und Prozesse anhand des neu Gelernten.
  
  
  • Zuletzt geändert: vor 5 Jahren