Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:aai:incidentresponse [2023/06/06 14:56] – [Regeln] Wolfgang Pempe
+++ de:aai:incidentresponse [2023/06/06 18:07] (aktuell) – [3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI] Wolfgang Pempe
@@ Zeile 28: / Zeile 28: @@
 ===== 2. Security Incident Response in der DFN-AAI =====
-Die unten formulierten Handlungsempfehlungen orientieren sich an der diesbezüglichen [[https://wiki.geant.org/display/AARC/Generic+Security+Incident+Response+Procedure|Dokumentation im GÉANT Wiki]]. Hier werden unter Bezugnahme auf Sirtfi entsprechende Rollen und Maßnahmen beschrieben, die bei einem Security Incident zum Tragen kommen.
+Die unten formulierten **Handlungsempfehlungen** orientieren sich an der diesbezüglichen [[https://wiki.geant.org/display/AARC/Generic+Security+Incident+Response+Procedure|Dokumentation im GÉANT Wiki]]. Hier werden unter Bezugnahme auf Sirtfi entsprechende Rollen und Maßnahmen beschrieben, die bei einem Security Incident zum Tragen kommen.
 ==== Definitionen ====
@@ Zeile 40: / Zeile 40: @@
   * **Einhaltung bestehender organisationsinterner Prozesse:** Bereits bestehende organisationsinterne Prozesse zum Umgang mit sicherheitsrelevanten Vorfällen in der IT-Infrastruktur werden durch diese Regelung nicht berührt. Sie werden als erstes befolgt. Die Organisation leitet alle nötigen Maßnahmen zur Schadensbegrenzung ein.
   * **Meldepflicht:** Der Sicherheitskontakt des CERTs der DFN-AAI ist innerhalb eines Werktags nach Bekanntwerden über den Vorfall zu informieren und auf dem Laufenden zu halten. Er ist per E-Mail unter security@aai.dfn.de oder telefonisch unter (+49) 040 808077-590 erreichbar.
-  * **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb von 14 Tagen, welche Maßnahmen zur Behebung und künftigen Verhinderung des Problems oder Fehlers ergriffen wurden. Der Bericht erfolgt in einem Formular, das der Föderationsbetreiber zur Verfügung stellt.
+  * **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb eines Monats, welche Maßnahmen zur Behebung und künftigen Verhinderung des Problems oder Fehlers ergriffen wurden. Der Bericht erfolgt in einem Formular, das der Föderationsbetreiber zur Verfügung stellt.
-  * **Kommunikation mit anderen betroffenen Organisationen:** Die betroffene Organisation steht für Rückfragen aus der Föderation zur Verfügung und beantwortet sie in einem Zeitraum von ein bis zwei Werktagen. Die Antworten gehen stets an alle weiteren betroffenen Organisationen, um den Umfang der Rückfragen möglichst gering zu halten und um zu gewährleisten, dass alle Betroffenen auf demselben Stand sind. \\ **Liste der Security- und sonstigen Kontakte in der DFN-AAI: unter https://tools.aai.dfn.de/entities/ auf "All Contacts" klicken**
+  * **Kommunikation mit anderen betroffenen Organisationen:** Die betroffene Organisation steht für Rückfragen aus der Föderation zur Verfügung und beantwortet sie innerhalb eines Werktags. Die Antworten gehen stets an alle weiteren betroffenen Organisationen, um den Umfang der Rückfragen möglichst gering zu halten und um zu gewährleisten, dass alle Betroffenen auf demselben Stand sind. \\ **Liste der Security- und sonstigen Kontakte in der DFN-AAI: unter https://tools.aai.dfn.de/entities/ auf "All Contacts" klicken**
   * **Wiederinbetriebnahme der betroffenen Systeme:** Erst nachdem die betroffenen Systeme repariert bzw. abgesichert sind, werden sie wieder in Betrieb genommen.
   * **Abschlussbericht:** Ein abschließender Bericht zum sicherheitsrelevanten Vorfall wird in Zusammenarbeit mit dem Sicherheitskontakt der Föderation bzw. der Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle erstellt und allen Beteiligten zur Verfügung gestellt. Für das Verteilen dieser möglicherweise sensiblen Informationen empfiehlt der DFN-Verein das Traffic Light Protocol (TLP). In der Regel wird //TLP Amber// zur Anwendung kommen.
@@ Zeile 71: / Zeile 71: @@
 ===== 3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI =====
-Teilnehmende Organisationen, die sich offiziell auf die Regeln des Sirfti-Frameworks verpflichten möchten, müssen einige Schritte unternehmen, um in ihren Metadaten das zusätzliche Entity Attribut veröffentlichen zu dürfen. Die Teilnahme ist freiwillig.
+Teilnehmende Organisationen, die sich offiziell auf die Regeln des Sirfti-Frameworks verpflichten möchten, müssen einige Schritte unternehmen, um in ihren Metadaten das zusätzliche [[de:entity_attributes#sirtfi|Entity Attribut]] veröffentlichen zu dürfen. Die Teilnahme ist freiwillig.
 ==== Definitionen ====
@@ Zeile 102: / Zeile 102: @@
     * **[IR1]: Provide security incident response contact information as may be requested by any federation to which your organization belongs.** \\ (Benennung eines Kontakts für Sicherheitsvorfälle)
     * **[IR2]: Respond to requests for assistance with a security incident from other organisations participating in Sirtfi in a timely manner** \\ (Kurzfristige Reaktion auf Rückfragen anderer Föderationsteilnehmer, die einen Sicherheitsvorfall betreffen.)
-    * **[IR3]]: Notify security contacts of entities participating in Sirtfi when a security incident investigation suggests that those entities are involved in the incident. Notification should also follow the security procedures of any federations to which your organisation belongs.** \\ (Benachrichtigung der Sicherheitskontakte anderer Sirtfi-Teilnehmer, wenn die Untersuchung eines Incidents nahelegt, dass diese ebenfalls betroffen sind. Die Benachrichtigung sollte darüber hinaus den Sicherheitsprozeduren aller Föderationen folgen, an denen die betreffende Organisation teilnimmt)
+    * **[IR3]: Notify security contacts of entities participating in Sirtfi when a security incident investigation suggests that those entities are involved in the incident. Notification should also follow the security procedures of any federations to which your organisation belongs.** \\ (Benachrichtigung der Sicherheitskontakte anderer Sirtfi-Teilnehmer, wenn die Untersuchung eines Incidents nahelegt, dass diese ebenfalls betroffen sind. Die Benachrichtigung sollte darüber hinaus den Sicherheitsprozeduren aller Föderationen folgen, an denen die betreffende Organisation teilnimmt)
     * **[IR4]: Be able and willing to collaborate in the management of a security incident with affected organisations that participate in Sirtfi** \\ (Fähigkeit und Bereitschaft, im Falle eines Vorfalls mit anderen an Sirfti teilnehmenden Organisationen zusammenzuarbeiten)
     * **[IR5]: Respect user privacy as determined by the organisations policies or legal counsel.** \\ (Der Schutz der Privatsphäre von NutzerInnen wird entsprechend der Rechtslage und der organisationsinternen Richtlinien berücksichtigt)
@@ Zeile 146: / Zeile 146: @@
 ==== 6. Beantwortung und Dokumentation von Rückfragen ====
-  * Halten Sie sich für Rückfragen anderer betroffener Föderationsteilnehmer bereit. Sirtfi-compliant zu sein, bedeutet, Rückfragen innerhalb eines lokalen Werktages zu beantworten.
+  * Halten Sie sich für Rückfragen anderer betroffener Föderationsteilnehmer bereit. Sirtfi-compliant zu sein, bedeutet, Rückfragen möglichst zeitnah, idealerweise innerhalb eines lokalen Werktages zu beantworten.
   * Alle Beteiligten erhalten die Rückfragen und Antworten, um den Umfang der Rückfragen aus das nötige Minimum zu reduzieren und zu gewährleisten, dass alle auf demselben Stand sind
   * Dokumentieren Sie alle Rückfragen und Ihre Antworten für den Abschlussbericht.