Logo Optimus Def

voor elkaar!

home

Incident Respons Plan

Ga terug
Organigramweergave

Liever een organigramweergave met onderliggende informatie per actie? Klik hier.

0. Incident detectie

Eigenaar: IRM (Incident Respons Manager)

Te doen: Informatie verzamelen en eerste identificatie van incident vaststellen.

  • Vaststellen: tijd start- datum en tijd incident. 
  • Vaststellen: hoe incident ontdekt is.
  • Vaststellen: welke acties zijn al ondernomen. Geef zo specifiek mogelijk antwoord inclusief: data, tijden, gecompromitteerde applicaties, websites, etc.

Open hieronder de stap: “Incident detectie” en vul het formulier in.

1 Identificatie en initiatie

Eigenaar: Betrokken afdelingen

Er is een incident ontstaan en dit komt bij de Incident Response Manager. Afhankelijk van het soort incident schakelt de I.R.M de relevante IRT teamleden in.

Te doen: Voer deze stappen uit:

  • Controleer
  • Bepaal incident
  • Bepaal responsreactie
  • Registreer

2. Analyse

Eigenaar: 

Informeer en onderzoek wat de oorzaak en mogelijke schade (impact) is. Afhankelijk hiervan escaleer je richting het bestuur en stel je prioriteiten vast.

Te doen: Voer deze stappen uit:

  • Onderzoeken
  • Schade vaststellen
  • Informeren IRT- teamleden
  • Beoordeling responce proces

Stappen

0.1 Incident detectie

Te doen:

 Klik hieronder op het uitroepteken en vul de gevraagde gegevens in.

 

Eigenaar: Incident Respons Manager en Hoofd ICT

Stappen

1.1 Controleer

Te doen:

  • Bepaal of een incident daadwerkelijk heeft plaatsgevonden.
  • Is het incident nog actief?
  • Beperk onmiddellijke blootstelling
    • Als een elektronisch apparaat is gecompromitteerd:
      • Niet gebruiken (niet inloggen) of wijzigen van het apparaat;
      • Zet het apparaat niet uit als het aan staat;
      • Haal de netwerkverbindingen er af, maar NIET de voedingskabel.

Eigenaar: Incident Respons Manager en Hoofd ICT

1.2 Bepaal incident

BEPAAL INCIDENT

  • Bepaal soort aanval, het effect en de mogelijke risico van het incident.
  • Escaleert het incident snel?
  • Vinden primaire organisatietaken hinder?
  • Komt de dienstverlening in gevaar?

Eigenaar: Incident Respons Manager en Hoofd ICT

    1.3 Bepaal responsreactie

    BEPAAL RESPONSREACTIE

    • Bij GROOT RISICO (bijv. bij versleuteling vitale systemen)
      • Activeren IRT- team
      • Escaleren naar stap 3:”Indammen schade
    • Bij BEPERKT RISICO
      • Informeren IRT- team
      • Dienstverleners m.b.t. systemen die (mogelijk) indirect getroffen zijn inschakelen.

    Indien het incident over elektronische apparaten gaat of als er media gestolen of verloren is, dan ook aangifte doen bij de politie.

    Eigenaar: Incident Respons Manager en Hoofd ICT

      1.4 Registreer

      REGISTREER:

      • Klik onder op de kop DIGITAAL LOGBOOK.
      • Registreer in het logboek gedurende het incident alle activiteiten op datum en tijd.

      DIGITAAL LOGBOOK

      Eigenaar: Incident Respons Manager en Hoofd ICT

        Stappen

        2.1 Onderzoeken

         

        Voer een voorlopige beoordeling uit van het type en de scope van het incident en de impact.

        Te doen:

            • Breng alle op het moment aanwezig beschikbare informatie samen en maak een duiding van het:
                  • Soort incident
                  • Oorzaak van het incident
                  • Houd het digitaal logbook nauwkeurig bij.

              Eigenaar: Incident Respons Manager en Hoofd ICT

        2.1.1 Hulpvragen

        Hulpvragen:

              • Wat is er gebeurd?
              • Hoe kon dit gebeuren?
              • Hoe lang is dit al aan de hand?
              • Is het incident nog bezig of al afgelopen?
              • Wie/welke kwaadwillige heeft/hebben toegang gehad (IPadres of inlog)?
              • Om welke systemen en applicaties gaat het?

        2.2 Schade vaststellen

        Als er potentieel gevoelige informatie blootgesteld is, dan moet het C.v.B geïnformeerd worden en deze moet tijdens het verloop van het incident op de hoogte gehouden worden als er persoonsgegevens zijn gelekt.

        Te doen:

        • C.v.B informeren wanneer (mogelijk) persoonsgegevens zijn gelekt.
        • Maak een melding van het incident bij het CERT.
        • Schakel de cybersecurityverzekeraar in.
        • Beoordeel de ernst van het incident en geef advies/overleg met C.v.B of een forenisch onderzoekteam moet worden ingeschakeld.
        • Vul het digitaal logbook aan.

        Eigenaar: Incident Respons Manager en Hoofd ICT

          2.3 Informeren IRT-teamleden

          Afhankelijk van de zwaarte van het incident moet nu ook het IRT verder worden samengesteld met de juiste specialisten.

          De communicatie adviseur wordt in deze fase als specialist toegevoegd aan het IRT- team.

          Eigenaar: Incident Respons Manager

            2.4 Beoordeling IRP met het IRT

            Verstrek ieder teamlid de incident response management App.

            Bespreek met het IRT TEAM

            • de communicatiestrategie.
            • het belang van het goed in een tijdlijn documenteren en het voorkomen van het verloren raken van onderzoeksgegevens.
            • Verzamel zoveel als mogelijk (al dan niet samen met mogelijke externe partijen) fysiek en digitaal bewijs, wat een duidelijke gedetailleerde beschrijving geeft van hoe de data gecompromitteerd kon worden.
            • Houd bij waar het bewijsmateriaal zich bevindt en wie er toegang toe heeft.  (Bijvoorbeeld door een inventarisatielijst van al het bewijsmateriaal te maken en bij te houden wie, wanneer, wat gedaan heeft hiermee.)

            Regels van de communicatie

            Het is vooral belangrijk om de nauwkeurigheid van de feiten te waarborgen tussen teamleden onderling en tussen het team en de juiste externe partijen. 

            • Teamleden mogen niet praten met anderen buiten het team over het incident totdat er daarvoor toestemming is gegeven door het management of de CISO.
            • Alle documentatie die door het team geschreven wordt moet op feiten gebaseerd zijn omdat het mogelijk in een strafrechtelijk onderzoek gebruikt kan worden.
            • Er is dagelijks overleg tussen de teamleden.
            • Het team moet bijhouden hoeveel tijd er besteed wordt en waaraan.

             Eigenaar: IRT- leden

              2.5 Start uitvoering datalekkenprotocol

              Wanneer persoonsgegevens zijn gelekt moet het datalekkenprotocol gevolgd worden.  FG moet worden in geinformeer.

              Te doen:

              Eigenaar: Privacy Officer

                2.6 Communiceer intern/extern

                Te doen: Communiceer indien nodig intern/extern:

                • richting de medewerkers (intern)

                Afhankelijk van de situatie ook:

                • extern met partners (bijv. stichting in het gebouw) of leveranciers (bijv. LVS- aanbieders)
                • Notificereer ouders en leerlingen.

                Eigenaar: Incident Respons Manager en Hoofd ICT

                Shortlist externe partners

                  ga verder