4.1 - Forbered virksomheten på håndtering av hendelser

Målet med prinsippet: Virksomheten har implementert effektive prosesser for hendelseshåndtering slik at hendelser oppdages hurtig, kontrolleres, skaden minimeres og hendelsesårsaken fjernes effektivt. Dette inkluderer gjenopprettelse av integriteten til systemer og nettverk.

---

Hvorfor er dette viktig ?

Dataangrep har blitt en del av dagliglivet. Selv store, teknisk sofistikerte virksomheter med mange ressurser har utfordringer med å holde følge med frekvensen og kompleksiteten på dataangrep. Spørsmålet er ikke «om» en virksomhet blir offer for et vellykket dataangrep, men «når». Uten en plan og en prosess for hendelseshåndtering vil det være vanskelig for virksomheten å begrense skaden og gjenopprette normaltilstanden.

Når hendelsen inntreffer er det for sent å utarbeide gode prosedyrer, rapporteringsrutiner, datainnsamling, ledelsesansvar og kommunikasjonsstrategier. Disse må utarbeides og øves jevnlig for å gjøre virksomheten i stand til å forstå, håndtere og gjenopprette normaltilstanden.

---

Tilhørende tiltak

Tiltak	ISO 27002
4.1.1 - Etabler et planverk for hendelseshåndtering	5.24 5.29 5.30 6.3
4.1.2 - Gjennomfør en analyse av virksomhetskritiske effekter	5.29 5.30
4.1.3 - Utarbeid rolle- og ansvarsbeskrivelse for personell som skal involveres i hendelseshåndtering	5.24 5.29 5.30 6.3
4.1.4 - Utarbeid avtaler med relevante tredjeparter	5.5 5.6 5.19 5.24
4.1.5 - Fastsett hvilke kommunikasjonskanaler som skal benyttes i forbindelse med hendelser	5.24
4.1.6 - Test og øv på planer jevnlig slik at disse er godt innøvd	5.30

---

Utdypende informasjon

For å unngå forsinkelse, behov for godkjenninger, diskusjoner, etc. når man blir truffet av alvorlig skadevare er det en fordel å ha forhåndsgodkjente handlingsmønstre: Eksempelvis at man kutter virksomhetens tilgang til Internett når situasjon X inntreffer, man slår på svært restriktive regelsett på brannmurene når situasjon Y inntreffer, osv. En slik plan må være godkjent av forretningen, ikke bare av IT.

Hva gjør man hvis et dataangrep blir oppdaget utenfor arbeidstid?

• Hvor fort kan man mobilisere responsfunksjoner i virksomheten?
• Er virksomhetens telefonliste oppdatert?
• Har man betalt underleverandører og støttepersonell som kan trå til på kort varsel?
• Hva gjør man hvis nøkkelpersoner er på ferie i utlandet?

Ved oppdagelse av selvspredende skadevare må man reagere hurtig for å hindre omfattende skader. Virksomheter har ofte bare en time eller to på seg fra skadevaren oppdages til de må ta en avgjørelse.

• Skal brannmurer stenges?
• Skal strømmen tas fra sentrale servere?
• Har man tjenester som må isoleres fra øvrig IKT-infrastruktur?
• Fungerer responsfunksjoner dersom informasjonssystemene er nede?
• Fungerer sikkerhetskopier hvis man må slette alle servere?

God planlegging, et oppdatert og veltestet planverk og en døgnkontinuerlig vaktordning kan bety vinn eller forsvinn for virksomheter når dataangrep inntreffer.

---

Lenker

1. NSM - Rammeverk for håndtering av IKT-hendelser
2. UK National Cyber Security Center - Incident management
   • a. https://www.ncsc.gov.uk/collection/10-steps-to-cyber-security/the-10-steps/incident-management
   • b. https://www.ncsc.gov.uk/collection/board-toolkit/planning-your-response-to-cyber-incidents
   • https://www.ncsc.gov.uk/collection/small-business-guidance—response-and-recovery/step-1-prepare-for-incidents
3. ISO/IEC 27035-1 Information security incident management - Part 1: Principles of incident management
4. ISO/IEC 27035-2 Information security incident management - Part 2: Guidelines to plan and prepare for incident response