キャンパスインシデントレスポンスプランをお探しですか? 代わりに「情報セキュリティ文書」をご覧ください。
UCバークレーのセキュリティポリシーでは、対象となるデータを扱うデバイスに対して「電子情報の最小セキュリティ基準」への準拠を義務付けています。
要求事項
各システムの管理者は、以下を含むシステム レベルのインシデント対応計画を作成し、少なくとも年に一度は見直さなければなりません:
- ローカル インシデント対応チームの名前と連絡先情報。
- システムのビジネス上の影響や利用できないことを理解している、そのシステムのローカルな権限者/意思決定者。
- データ・フロー・ダイアグラム
- ネットワーク・ダイアグラム
- システム・ハードウェア・インベントリ(年次登録管理で必要とされる)
- ログ情報(監査ログ管理で必要とされる)
- 誰に連絡を取るか
- 潜在的な証拠を改ざんしない方法(例,
リスクの説明
ユーザーやシステム管理者がインシデント対応手順を認識していない場合、対応が遅れたり、証拠が破損または紛失したりして、インシデントの潜在的な影響が大きくなります。
推奨事項
情報セキュリティのイベントや、対象となるコアシステムに関連する弱点が、タイムリーな是正措置が取れるような方法で確実に伝えられるようにするために、イベントの報告とエスカレーションの手順を正式なインシデント レスポンス プランで文書化する必要があります。
-
検出 – 情報セキュリティ オフィス (ISO) へのエスカレーション、およびインシデントの優先度の割り当てを含む、対象となるコア システム上のセキュリティ インシデントの初期評価およびトリアージ
-
分析 – 影響の大きい違反に必要な追加の対応活動を適切に優先させるために、詳細な影響分析を行う。 証拠の保存と封じ込めの活動、および初期の回復を開始します。
-
復旧 – インシデントの重大性に合わせて、封じ込めと根絶活動を終えることでインシデントの影響を軽減し、最終的には復旧させます。
-
インシデント後 – インシデントが適切に処理された後、インシデントの根本原因と総コスト、および将来のインシデントを防ぐために組織が取るべきステップを詳細に説明したレポートを発行します。
すべてのキャンパススタッフ、請負業者、およびサードパーティのユーザーは、対象となるデバイスのセキュリティに影響を与える可能性のあるさまざまなタイプのイベントを報告するための手順を認識する必要があります。
セキュリティ インシデントとは?
この MSSEI の要件におけるセキュリティ インシデントとは、以下を危険にさらす、または危険にさらす可能性のある事象です。
- 対象となるコア システムの運用、または
- 対象となるデータ資産の機密性または完全性
セキュリティ インシデントは以下のいずれかまたはすべてを含む可能性があります。
- 学内のコンピュータ・セキュリティ・ポリシーおよび基準の違反
- 許可されていないコンピュータまたはデータへのアクセス
- ウイルスなどの悪意のあるアプリケーションの存在
- 予期しない/異常なプログラムの存在
- データ、ネットワーク、またはコンピュータに対するサービス拒否状態
- サービスの悪用。
- システムまたは情報の悪用
- システムへの物理的または論理的な損害
- コンピュータの盗難
個々のシステムおよびサービスに対するインシデント対応計画の構成要素
リソースの所有者およびリソースのカストディアンは、インシデント対応計画に以下の構成要素が含まれていることを確認する必要があります。
-
ローカルのインシデント対応チームの名前、連絡先、および責任は以下のとおりです。
- インシデント処理担当者:システム管理者の資格を持ち、システムの技術的な知識を持ち、インシデント対応計画の場所を知っている、セキュリティ担当者とその代理の担当者。 システムのローカルな権限者/意思決定者で、システムとその利用不能のビジネス上の影響を理解している人。 リソースの所有者は、リソース マネージャの責任を負うか、キャンパスのスタッフをこの役割に指名します。
システムの詳細、またはそのような情報の場所への参照を含みます。
- データ・フロー・ダイアグラム
- ネットワーク・ダイアグラム
- システム・ハードウェア・インベントリ(年次登録管理で必要とされる)
- ログ情報(監査ログ管理で必要とされる)
疑わしいインシデントの報告と処理のための手順、これを含む。
- 以下の情報を含むインシデント インテーク レポートを完成させる:
- 連絡先担当者の名前と電話番号
- 侵害されたシステムのIPアドレス、ホスト名、物理的な場所
- 対象システムの名前(NetRegに表示されているもの)
- 侵害されたホスト上/からどのような種類の対象データが利用可能だったか?
- 氏名
- 社会保障番号
- 運転免許証番号またはカリフォルニア州の身分証明書番号
- クレジットまたは金融口座番号カード番号(PINまたは有効期限を含む)
- 銀行口座番号(PINまたは有効期限を含む。
- 銀行口座番号(PINまたはその他のアクセス情報を含む)
- 医療情報または健康保険情報
- その他
- 個人情報を含む各ファイルについて、以下を指定します。
- ファイルの名前
- ファイルのサイズ
- ファイルの場所(フルパス)
- データは暗号化されていましたか、されている場合はどのように?
- インシデントの影響について説明してください(例:侵害されたデータ レコードの数、使用できないシステムの影響を受けたユーザーの数)
- 活動のタイムライン、インシデントがどのように検出されたか、インシデントの影響(ビジネス上および技術上)、どのようなデータ暗号化メカニズムが使用されたかなど、実施されている緩和制御の詳細を含む、セキュリティ インシデントについて説明してください。
- 侵害されたシステムに取られているアクションを文書化する(現在のシステムの状態はどうか、など)
セキュリティ インシデントを ISO (メール [email protected]*) に報告し、インテーク レポートを添付してください。 フォローアップのインシデント対応活動を調整するために、セキュリティ アナリストを任命します。
- セキュリティ インシデントが ISO に報告された後は、ISO セキュリティ アナリストの指示があるまで、侵害されたシステムを切断したりログオンしたりしないでください。
- 悪意のある活動の結果ではないサービスの中断は、適切な IT サポート担当者に報告してください。 異なるタイプのインシデントの報告に関する追加情報は、セキュリティのウェブサイトに掲載されています。
インシデントの優先順位付けガイドラインに基づいて、タイムリーにセキュリティ インシデントに対応してください。
** [email protected] のメールアドレスは、MSSEIが対象とするセキュリティ・インシデントの報告にのみ使用することに注意してください。 MSSEIの対象外のセキュリティ・インシデントは、[email protected] に報告してください。
セキュリティ インシデントの優先順位付け
是正措置を展開するために必要なタイミングとリソースの優先順位付けを行うために、リソースの所有者およびリソースの管理者は、以下の要因に基づいてセキュリティ インシデントの影響を評価しなければなりません。
- インシデントが影響を受けるシステムの既存の機能にどのような影響を与えるか
- インシデントが対象となるデータUC P4(旧UCB PL2)または対象外のデータの機密性または完全性を侵害するかどうか
- セキュリティ インシデントの影響を受けるユーザーの数
- キャンパスへの風評被害/財務的な影響
上記の要因を出発点として、セキュリティ インシデントを評価し、リソース管理者はその影響を評価しなければなりません。 セキュリティ・インシデントは、指定されたインシデント処理者およびリソース・マネージャーによって評価され、優先度の高低が割り当てられます。 考慮すべき要素には、インシデントの現在の影響だけでなく、インシデントが直ちに修正されなかった場合の将来的な影響の可能性も含まれます。 優先度の高いインシデントは、インシデント処理手順に従って、直ちにISOに報告されなければならない。
優先度の高いセキュリティ・インシデントの例としては、キャンパス全体または部門全体のユーザーにとって重要な機能が失われるような事象が挙げられます。 同様に、500人以上のユーザーに影響を与える対象データの機密性の侵害も、高い優先度が割り当てられなければなりません。 インシデントの優先度は、インシデント対応プロセスの後の段階で、追加の証拠分析によりインシデントの影響をより正確に理解した後に改訂されることがあります。 優先度の更新は、ローカルのインシデント対応チームのメンバーと、ISOアナリストがレビューする必要があります。
次の表は、セキュリティ インシデントが発生した場合のインシデント対応チーム メンバー (ISO アナリスト、インシデント ハンドラー、リソース マネージャー) の所要時間に関する追加ガイダンスです。
|
インシデント対応フェーズ |
インシデント対応フェーズ th |
優先度の高いインシデント |
優先度の低いインシデント |
|---|---|---|---|
|
検出 |
即時 |
8時間 |
|
|
解析 |
リソース・マネージャーとインシデント・ハンドラーは、ISOアナリスト*との共同作業を専任で行います。 継続的に行います。 |
インシデント・ハンドラーが割り当てられ、通常の営業時間内にISOアナリストと一緒に仕事をすることができます。 |
|
|
リカバリー |
リソース・マネージャーとインシデント・ハンドラーは、継続的にISOアナリスト*と仕事をするように割り当てられています。 |
インシデント・ハンドラーは、時間やリソースが利用可能な場合、ISOアナリストと一緒にケースに取り組むように割り当てられています。 |
|
|
ポスト・インシデント |
インシデント・ハンドラーは、時間とリソースが利用可能な限り、ケース上でISOアナリストと一緒に作業するよう割り当てられています。 |
* 優先度の高いケースでは、ITポリシー、キャンパスカウンセル、その他のキャンパスリーダーの代表者を含む、キャンパスの他のステークホルダーが関与する場合があります。
インシデント対応フェーズの定義:
-
検出 – 不審なイベントが検出されてから、以下のアクションが完了すると予想される時間までの最大経過時間を指定します。
- 初期評価とトリアージ
- インテークレポートに基づいて初期の優先度を決定
- インシデントをISOに報告
- ISOアナリストがインシデントハンドラーとリソースマネージャーとの作業に割り当てられる
- ISOチケットシステムにインシデントを入力する
-
分析-。 ケースのライフサイクルの中で、ケースを確実に解決するためにアクティブなインシデント対応が必要な期間のことです。 通常、これにはシステムやサービスの停止、および/または緊急の証拠保全が含まれます。 また、インシデントが正当なものであることを確認し、優先順位を確認し、インシデントの影響に基づいて適切なエスカレーションを行います。
-
評価、トリアージ、封じ込め、証拠保全、初期復旧
-
-
復旧 – ケース ライフサイクルの中で、ケースを正常に解決するために積極的なインシデント対応が必要ない期間のこと。
-
証拠の収集、分析と調査、フォレンジック、修復、完全な回復、死後の処理。
-
-
ポストインシデント – インシデントが適切に処理された後、インシデント対応チームは、インシデントの原因とコスト、および将来のインシデントを防ぐために組織が取るべきステップを詳細に説明したレポートを発行します。
定義は http://www.first.org/_assets/resources/guides/csirt_case_classification から引用しています。…
その他のリソース
-
NIST コンピュータ セキュリティ インシデント処理ガイド、http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf
-
Software Engineering Institute Handbook for Computer Security Incident Response Teams (CSIRTs),http://www.sei.cmu.edu/library/abstracts/reports/03hb002.cfm
-
個々のシステムやサービスのインシデント対応計画TEMPLATE
-
Campus Incident Response Plan