Beruflich Dokumente
Kultur Dokumente
<im gesamten Dokument <text> weist auf etwas hin, das Sie in dieser Vorlage ändern müssen.
Aber zögern Sie nicht, etwas zu ändern.
Inhaltsverzeichnis (Entwurf)
1 Dokumentinformationen und -historie................................................ ............................. 3
1.1
System-/Geschäftsanwendungs-/Infrastrukturpriorisierung............................................ ................
...... 8
8.4 Geschäftskontinuitäts- und
Geschäftswiederherstellungsplanung............................................ .................................... 8
8.5 Ständige
Verbesserung................................................ ................................................. .................... 8
9 Outsourcing und Lieferantenmanagement................................................ ........................
9
9.1
1.1 Versionsgeschichte
1.2 Vertrieb
Neue genehmigte Versionen dieses Dokuments müssen an die unten aufgeführten Funktionen
verteilt werden. Es liegt in der Verantwortung des Dokumenteneigentümers, (erneute)
Genehmigungsprozesse einzuleiten, und danach liegt die Verantwortung des <Genehmigers>
darin, die Änderungen am SLA zu genehmigen.
<Unternehmensfunktion 1>
<Unternehmensfunktion 2>
<Unternehmensfunktion x>
…
Angabe von Dritten, an die die Weitergabe genehmigter Versionen dieses Dokuments
genehmigt wurde.
Unternehmen & Funktion
2. Einführung
In diesem Dokument werden die Dienste beschrieben, die vom Security Operations Center bei
<Anbieter oder interne Abteilung> für den Namen <Firma> bereitgestellt werden.
3 Allgemeines
3.1 Zweck dieses Dokuments
Der Zweck dieses SLA besteht darin, die zwischen den Parteien vereinbarten Servicelevel
festzulegen.
Das SLA muss beschreiben, welche Leistungen das SLA umfasst, wie diese erbracht werden
müssen und wie die Meldung der Lieferung erfolgen muss.
Die folgenden Rollen müssen innerhalb des Auftragnehmers und Vertragspartners dieses SLA
ernannt werden:
1. Leiter des SOC-Teams.
A. Verantwortlich für die Verwaltung der SOC-Dienste und die Berichterstattung
an den Auftragnehmer
2. SOC-Analysten
A. Verantwortlich für die Bereitstellung der SOC-Dienste für den Auftragnehmer
3. Incident Manager, beauftragt
A. Kann der SOC-Teamleiter sein. Verwaltet Vorfälle und eskaliert sie bei
Bedarf (wenn eine manuelle Bearbeitung von Vorfällen erforderlich ist).
Verantwortlich für die Kommunikation mit dem beauftragten Incident Manager
4. Incident Manager, Auftragnehmer
A. Verantwortlich für die Kommunikation mit den Vertragspartnern und die
Koordinierung, wenn Vorfälle auftreten, die eine manuelle Bearbeitung
erfordern
5. Vertragsinhaber, vertraglich vereinbart
A. Verantwortlich für den Vertrag beim Vertragspartner,
Dokumenteneigentümer. Verantwortlich für die Organisation regelmäßiger
Statusbesprechungen
6. Vertragsinhaber, Auftragnehmer
A. Verantwortlich für die Überwachung der SOC-Servicebereitstellung und
deren Nachverfolgung. Verantwortlich für die interne Kommunikation des
Status der SOC-Dienste beim Auftragnehmer
7. Change Manager, unter Vertrag
A. Verantwortlich für die Koordinierung der Leistungserbringung in Change-
Management-Situationen sowohl intern als auch mit dem Auftragnehmer
8. Change Manager, Auftragnehmer
A. Verantwortlich für die Kommunikation mit dem Vertragspartner, wenn die
Umsetzung von Änderungen erforderlich ist
9. Vertrag <Genehmigungsstelle>
A. Verantwortlich für das Budget hinter dem Vertrag/SLA
Der Auftragnehmer muss zunächst die Protokolle angeben, die in die SIEM-Protokollsammlung
aufgenommen werden sollen, und der Auftragnehmer muss die anfängliche Spezifikation
bewerten und auf Mängel hinweisen, um die Vollständigkeit sicherzustellen. In Change-
Management-Situationen muss die Vollständigkeit proaktiv gewahrt bleiben, d. h. sichergestellt
werden, dass die Protokolldateien neu hinzugefügter Systeme auch zum SIEM hinzugefügt
werden.
Der Vertragspartner muss die ununterbrochene Hinzufügung von Protokollen zum SIEM
sicherstellen. Dazu gehört auch, sicherzustellen, dass Endpunkt-Protokollweiterleitungsagenten
ausgeführt werden und dass die SIEM-Empfänger empfangsbereit und funktionsfähig sind.
Die Zahlen müssen pro Monat aufgeführt und monatlich per E-Mail gemeldet werden. Die
durchschnittliche Zeitspanne, in der die Protokolldateierfassung inaktiv ist, muss weniger als 1
Stunde pro Asset und Monat betragen, genehmigte Servicefenster nicht eingerechnet.
Die Anzahl der Anwendungsfälle muss mindestens <20> für Assets mit Priorität 1 und <10> für
Systeme mit niedrigerer Priorität betragen und die Anwendungsfälle müssen pro Asset-Typ für
eine optimale Bedrohungserkennung optimiert werden. Um sicherzustellen, dass
Anwendungsfälle realistischen Bedrohungsvektoren entsprechen, muss eine
Bedrohungsmodellierung für alle Assets und etablierten Anwendungsfälle durchgeführt und
gepflegt werden, die Bedrohungsmodellen zugeordnet sind. Jedes etablierte Bedrohungsmodell
muss die Anzahl der Anwendungsfälle angeben, die zur Überwachung der Bedrohung
erforderlich sind.
Die Zahlen müssen pro Monat aufgeführt und monatlich per E-Mail gemeldet werden. Die
Anzahl der Assets der Priorität 1, denen Bedrohungsmodelle mit weniger als der erforderlichen
Anzahl an Anwendungsfällen zugeordnet sind, muss innerhalb eines Monats nach Aktivierung
dieses Assets 0 sein. Die Anzahl der Assets der Priorität 1, denen Bedrohungsmodelle mit
weniger als der erforderlichen Anzahl an Anwendungsfällen zugeordnet sind, muss innerhalb
von 3 Monaten nach Aktivierung dieses Assets 0 sein.
Die Zahlen müssen pro Monat aufgeführt und monatlich per E-Mail gemeldet werden.
Rollierende Zahlen müssen außerdem monatlich per E-Mail gemeldet werden.
5.4 DDoS-Abwehr
Zur bedarfsgesteuerten DDoS-Abwehr:
Die Zahlen müssen pro Monat aufgelistet und monatlich per E-Mail gemeldet werden, in der
Angriffsdaten, Ein-/Ausschaltzeiten und Ziele aufgeführt sind.
5.6 Konfigurationsmanagement
Unter Konfigurationsmanagement versteht man die Sicherstellung, dass die CMDB immer
aktuelle und genaue Informationen über alle Assets und die pro Asset installierte Software
enthält. Dies bedeutet, dass die CMDB auch während des Änderungsmanagements und des
Vorfallmanagements aktualisiert werden muss.
1. Der Auftragnehmer führt alle zwei Jahre CMDB-Prüfungen auf Genauigkeit und
Vollständigkeit durch. Die Anzahl der Fehler einschließlich Auslassungen pro
Asset/Software muss weniger als 1 pro Asset oder Softwarepaket betragen
Die Meldung der Auditergebnisse muss innerhalb einer Woche nach Abschluss des Audits per
E-Mail erfolgen.
5.7 Änderungsmanagement
Unter Change Management versteht man den Umgang mit Änderungen in der Abstimmung
zwischen Auftragnehmer und Auftragnehmer. Der Vertragspartner muss Änderungsanfragen
initiieren, wenn neue Firmware- oder Software-Updates verfügbar sind oder wenn die Situation
des Incident-Managements dies erfordert.
Die Zahlen müssen als Änderungen pro Monat, initiierende Partei, Datum der
Empfangsbestätigung, Lieferdatum der Leistungen, Änderungspriorität aufgeführt und monatlich
per E-Mail gemeldet werden. Die Zahlen sollten als fortlaufende Zahlen für einen Zeitraum von
sechs Monaten beibehalten werden.
5.8 Vorfallmanagement
Das Incident Management umfasst:
Die Zahlen müssen pro Monat aufgeführt und monatlich per E-Mail gemeldet werden.
Rollierende Zahlen müssen außerdem monatlich per E-Mail gemeldet werden.
Für einen SOC-Drittanbieter sollte die Feinstruktur in % der monatlichen Zahlungen bis maximal
100 % liegen, zuzüglich einer Haftung für schwerwiegende Verstöße, die hätten verhindert
werden müssen.
Für ein intern bereitgestelltes SOC ist dies nicht machbar und Sie müssen sich etwas anderes
einfallen lassen, das für Ihre Organisation sinnvoll ist, um Anreize für das SOC zu schaffen –
Zuckerbrot ist besser als Peitsche