SEC10-BP01 Identifizieren wichtiger Mitarbeiter und externer Ressourcen

Identifizieren Sie internes und externes Personal, Ressourcen und rechtliche Anforderungen, um Ihre Organisation bei der Reaktion auf einen Vorfall zu unterstützen.

Gewünschtes Ergebnis: Sie verfügen über eine Liste mit den wichtigsten Mitarbeitern, ihren Kontaktinformationen und ihrer Rolle bei der Reaktion auf ein Sicherheitsereignis. Sie überprüfen diese Informationen regelmäßig und aktualisieren sie, um personelle Veränderungen aus Sicht der internen und externen Tools zu berücksichtigen. Bei der Dokumentation dieser Informationen berücksichtigen Sie alle Drittanbieter und Dienstleister, einschließlich Sicherheitspartnern, Cloud-Anbietern und Software as a Service (SaaS)-Anwendungen. Während eines Sicherheitsereignisses stehen Mitarbeiter mit dem entsprechenden Maß an Verantwortung, Kontext und Zugriff zur Verfügung, um zu reagieren und das Ereignis zu bewältigen. 

Typische Anti-Muster:

• Fehlen einer aktualisierten Liste der wichtigsten Mitarbeiter mit Kontaktinformationen, ihren Aufgaben und ihren Verantwortlichkeiten bei der Reaktion auf Sicherheitsvorfälle

• Voraussetzen, dass jeder die Personen, die Abhängigkeiten, die Infrastruktur und die Lösungen bei der Reaktion auf ein Ereignis und bei der Bewältigung eines Ereignisses versteht 

• Fehlen eines Dokuments oder eines Wissens-Repositorys, das die wichtigsten Infrastruktur- oder Anwendungsdesigns darstellt

• Fehlen von angemessenen Einarbeitungsprozessen für neue Mitarbeiter, um effektiv zur Reaktion auf ein Sicherheitsereignis beizutragen (etwa die Durchführung von Ereignissimulationen)

• Fehlen eines Eskalationspfads für den Fall, dass wichtige Mitarbeiter vorübergehend nicht verfügbar sind oder bei Sicherheitsereignissen nicht reagieren

Vorteile der Nutzung dieser bewährten Methode Diese Praxis reduziert die Triage- und Reaktionszeit, die für die Identifizierung der richtigen Mitarbeiter und ihrer Rollen während eines Ereignisses aufgewendet wird. Minimieren Sie Zeitverluste während eines Ereignisses, indem Sie eine aktualisierte Liste der wichtigsten Mitarbeiter und ihrer Rollen führen, damit Sie die richtigen Personen für die Triage und die Bewältigung eines Ereignisses einsetzen können.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Identifizieren Sie wichtige Personen in Ihrer Organisation: Führen Sie eine Kontaktliste der Personen in Ihrer Organisation, die Sie einbeziehen müssen. Überprüfen und aktualisieren Sie diese Informationen regelmäßig bei personellen Veränderungen wie organisatorischen Änderungen, Beförderungen und Teamwechseln. Dies ist besonders wichtig für Schlüsselpositionen wie Incident Manager, Incident Responder und Communications Lead. 

• Incident Manager: Incident Managers haben die Gesamtverantwortung für die Reaktion auf das Ereignis.

• Incident Responder: Incident Responders sind für Untersuchungen und Abhilfemaßnahmen zuständig. Diese Personen können sich je nach Art des Ereignisses unterscheiden, sind aber in der Regel Entwickler und Betriebs-Teams, die für die betroffene Anwendung verantwortlich sind.

• Communications Lead: Communications Leads sind für die interne und externe Kommunikation verantwortlich, insbesondere mit Behörden, Regulierungsbehörden und Kunden.

• Fachexperten (Subject Matter Experts, SMEs): Im Falle von verteilten und autonomen Teams empfehlen wir Ihnen, für geschäftskritische Workloads SMEs zu bestimmen. Sie bieten Einblicke in den Betrieb und die Datenklassifizierung von kritischen Workloads, die an dem Ereignis beteiligt sind.

Erwägen Sie die Verwendung des Features AWS Systems Manager Incident Manager, um wichtige Kontakte zu erfassen, einen Reaktionsplan zu definieren, Bereitschaftspläne zu automatisieren und Eskalationspläne zu erstellen. Automatisieren und rotieren Sie alle Mitarbeiter durch einen Bereitschaftsdienstplan, sodass die Verantwortung für die Workload auf alle zuständigen Personen verteilt wird. Dies fördert gute Praktiken wie die Ausgabe relevanter Metriken und Protokolle sowie die Definition von Alarmschwellen, die für die Workload von Bedeutung sind.

Identifizieren Sie externe Partner: Unternehmen nutzen Tools, die von unabhängigen Softwareanbietern (ISVs), Partnern und Subunternehmern entwickelt wurden, um differenzierte Lösungen für ihre Kunden zu erstellen. Binden Sie wichtige Mitarbeiter dieser Parteien ein, die Ihnen bei der Reaktion auf einen Vorfall und bei dessen Bewältigung helfen können. Wir empfehlen Ihnen, sich für die entsprechende Stufe von AWS Support anzumelden, um über einen Supportfall sofortigen Zugang zu AWS -Fachexperten zu erhalten. Erwägen Sie, ähnliche Vereinbarungen mit allen Anbietern kritischer Lösungen für die Workloads zu schließen. Einige Sicherheitsereignisse machen es erforderlich, dass börsennotierte Unternehmen die zuständigen Behörden und Aufsichtsbehörden über das Ereignis und dessen Auswirkungen informieren. Pflegen und aktualisieren Sie die Kontaktinformationen der relevanten Abteilungen und der zuständigen Personen.

Implementierungsschritte

1. Richten Sie eine Lösung für das Vorfallmanagement ein.

   1. Erwägen Sie die Bereitstellung von Incident Manager in Ihrem Security-Tooling-Konto.

2. Definieren Sie Kontakte in Ihrer Lösung für das Vorfallmanagement.

   1. Definieren Sie für jeden Kontakt mindestens zwei Arten von Kontaktkanälen (z. B. SMS, Telefon oder E-Mail), um die Erreichbarkeit während eines Vorfalls sicherzustellen.

3. Definieren Sie einen Reaktionsplan.

   1. Ermitteln Sie die am besten geeigneten Ansprechpartner für einen Vorfall. Definieren Sie Eskalationspläne, die sich an den Rollen der einzuschaltenden Mitarbeiter orientieren (und nicht an einzelnen Ansprechpartnern). Erwägen Sie die Aufnahme von Kontakten, die gegebenenfalls für die Benachrichtigung externer Stellen zuständig sind, auch wenn diese nicht direkt an der Lösung des Vorfalls beteiligt sind.  

Ressourcen

Zugehörige bewährte Methoden:

• OPS02-BP03 Betriebsaktivitäten haben feste Besitzer, die für ihre Leistung verantwortlich sind

Zugehörige Dokumente:

• AWS Security Incident Response Guide

Zugehörige Beispiele:

• AWS Customer Playbook Framework

• Vorbereiten und Reagieren auf Sicherheitsvorfälle in Ihrer AWS-Umgebung

Zugehörige Tools:

• AWS Systems Manager Incident Manager

Zugehörige Videos:

• Der Sicherheitsansatz von Amazon bei der Entwicklung