de it fr

682 Sicherheitsvorfälle handhaben

Modul
Sicherheitsvorfälle handhaben
Kompetenz
Führt und überwacht im Rahmen der vorgegebenen Strukturen und Prozesse des Security Incident Managements einer Organisation die Behandlung von erkannten Sicherheitsvorfällen über deren gesamten Lebenszyklus.
Handlungsziele
1 Analysiert, kategorisiert und priorisiert Sicherheitsvorfälle im operativen Betrieb und legt unter Berücksichtigung des Vorfallreaktionsplans einer Organisation das weitere Vorgehen zur Behandlung der einzelnen Vorfälle fest.
  Handlungsnotwendige Kenntnisse:
1 Kennt die Bedeutung und den Inhalt eines Vorfallreaktionsplans (Incident Response Plan) für die Behandlung von Sicherheitsvorfällen.
2 Kennt Einflussfaktoren für die Analyse und Triage von Sicherheitsvorfällen (z. B. Schweregrad der Auswirkungen, Dringlichkeit der Behebung, Ausmass und Betroffenheit).
3 Kennt Konzepte zur Kategorisierung und Priorisierung von Sicherheitsvorfällen.
4 Kennt Werkzeuge und Hilfsmittel zur Verwaltung von Sicherheitsvorfällen (z. B. Security Incident Management System, Issue-Tracking-System, Problem-Datenbank).
 
2 Leitet angemessene und wirkungsvolle Sofortmassnahmen zur Minimierung der Auswirkungen eines Sicherheitsvorfalls ein.
  Handlungsnotwendige Kenntnisse:
1 Kennt technische Sofortmassnahmen zur Unterbrechung von Angriffsvektoren (z. B. Trennung, Isolation, Deaktivierung, Ausschaltung, Sinkholding).
2 Kennt Kriterien zur Beurteilung der Angemessenheit von Sofortmassnahmen (z. B. Gefährdungspotenzial, Komplexität und Erfolgsaussicht, Zeitbedarf, Schweregrad der Auswirkungen, Ausmass der Betroffenheit).
 
3 Koordiniert mit den zuständigen Fachstellen die notwendigen technischen Massnahmen für die Rückkehr zum Normalbertrieb.
  Handlungsnotwendige Kenntnisse:
1 Kennt die relevanten ICT-Fachstellen und Prozesse in einer Organisation und kann deren Zuständigkeiten und Bedürfnisse für die Rückkehr zum Normalbetrieb erläutern (z. B. Service Operations, Service Continuity Management, Release und Deployment Management, Service Asset und Configuration Management, Service Level Management).
2 Kennt die Unterschiede zwischen direktiver und partizipativer Führung, zwischen aufbau-, ablauf- und personenzentriertem Vorgehen und zwischen formeller und informeller Kommunikation und kann die situative Eignung dieser Ausprägungen bei der Koordination von unterschiedlichen Anspruchsgruppen erläutern.
3 Kennt die betrieblichen Vorgaben zum Business Recovery (Notfallwiederherstellung) und kann relevante Zielvorgaben für die Rückkehr zum Normalbertrieb erläutern (z. B. Recovery Time Objective RTO, Recovery Point Objective RPO).
4 Kennt die betrieblichen Vorgaben zum Business Continuity Management (BCM) und kann die Relevanz der geplanten BCM-Massnahmen für die Rückkehr zum Normalbertrieb erläutern.
 
4 Stellt bei Bedarf die Sicherung von Beweismitteln sicher und leitet relevante Sicherheitsvorfälle für detaillierte digital-forensische Analysen an die zuständigen Stellen weiter.
  Handlungsnotwendige Kenntnisse:
1 Kennt die Grundsätze von digital-forensischen Untersuchungen (z. B. Integrität, Glaubwürdigkeit, Wiederholbarkeit, Dokumentation).
2 Kennt die Anforderungen an die gerichtliche Verwertbarkeit von Beweismitteln (z. B. forensische Duplikation, Vier-Augen-Prinzip, lückenlose Protokollierung).
3 Kennt die betrieblichen Vorgaben und Zuständigkeiten für digital-forensische Analysen (z. B. Incident Response Team (CERT/CIRT), externe Spezialisten, Strafverfolgungsbehörde).
 
5 Berät und unterstützt bei schwerwiegenden Sicherheitsvorfällen die Notfall- oder Krisenorganisation einer Organisation bedürfnisgerecht und zielorientiert.
  Handlungsnotwendige Kenntnisse:
1 Kennt die Merkmale von Notfällen und Krisen und kann deren Unterschied zum operativen Normalbetrieb erläutern.
2 Kennt die Zuständigkeiten und Prozesse einer Organisation zur Bewältigung von Notfällen und Krisen.
3 Kennt die Grundprinzipien der Krisenkommunikation (Schnelligkeit, Wahrhaftigkeit, Verständlichkeit und Konsistenz), die unterschiedlichen Zielgruppen (z. B. Betroffene, Behörden, Medien, Beteiligte) und kann die Wichtigkeit einer zielgruppengerechten Kommunikation erläutern.
 
6 Dokumentiert und überwacht die Behandlung eines Sicherheitsvorfalls über den ganzen Lebenszyklus und eskaliert bei Bedarf.
  Handlungsnotwendige Kenntnisse:
1 Kennt die inhaltlichen Elemente einer nachvollziehbaren Dokumentation von Sicherheitsvorfällen in einem Incident Record und kann den Zweck der einzelnen Elemente erläutern.
2 Kennt Standards und Modelle zur strukturierten Beschreibung und Klassifizierung von Sicherheitsvorfällen (z. B. CERT-Taxonomie, MISP-Taxonomie, eCSIRT-Taxonomie, Europol Common Taxonomy for LE and CSIRTs).
3 Kennt mögliche Auslöser von Eskalationen (z. B. zeitlich-quantitativ, inhaltlich-qualitativ, personenbedingt) und kann typische Beispiele im Security Incident Managements erläutern (z. B. Priorität des Sicherheitsvorfalls, Service Levels aus SLA und OLA, RTO und RPO für das Disaster Recovery).
4 Kennt den Eskalationsprozess und die Eskalationshierarchie einer Organisation im Security Incident Management.
 
7 Wertet Sicherheitsvorfälle periodisch aus und stellt die Integration der gewonnenen Erkenntnisse in der Organisation sicher.
  Handlungsnotwendige Kenntnisse:
1 Kennt relevante statistische Kenngrössen und Key Performance Indikatoren (KPI) im Kontext des Security Incident Managements.
2 Kennt geeignete Methoden und Techniken zur Verdichtung und Darstellung von Informationen (z. B. Häufigkeitstabellen und Histogramme, Aggregation mittels Kreuz- oder Pivot-Tabelle, Korrelationsdiagramm, Zeitreihen- und Trendanalyse).
3 Kennt die betrieblichen Vorgaben für die kontinuierliche Verbesserung und kann die spezifischen Informationsbedürfnisse und Zuständigkeiten relevanter Anspruchsgruppen erläutern (z. B. Management, CISO, CTI, Change-Management, Compliance, Personalwesen, ICT-Fachabteilungen, Mitarbeitende).
 
Kompetenzfeld
Service Management
Objekt
Organisation mit definierter Aufbau- und Ablauforganisation für die Erkennung und Handhabung von Sicherheitsvorfällen (Security Incident Management).
Niveau
5
Voraussetzung
Im Support arbeiten (437)
Anzahl Lektionen
40
Anerkennung
Eidg. Fachausweis
Publiziert: 17.01.2020 16:04:35
Zu dieser Modulversion sind keine Leistungsbeurteilungsvorgaben vorhanden.
Zurück