IG3

Tetapkan dan Pelihara Ambang Batas Insiden Keamanan

Kelompok Kontrol: 17. Manajemen Respons Insiden

Jenis Aset: T/A

Fungsi Keamanan: Pulihkan

Deskripsi

Tetapkan dan pelihara ambang batas insiden keamanan, termasuk, minimal, membedakan antara insiden dan peristiwa. Contoh dapat mencakup: aktivitas abnormal, kerentanan keamanan, kelemahan keamanan, pelanggaran data, insiden privasi, dll. Tinjau setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

Platform SIEM dengan manajemen log, deteksi ancaman, investigasi, dan pelaporan kepatuhan di seluruh sumber data perusahaan

Cisco (Splunk) · Berbasis ingest atau berbasis beban kerja

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

SIEM dan SOAR cloud-native dengan analitik berbasis AI, respons ancaman otomatis, dan integrasi native Azure/M365

Microsoft · Bayar sesuai penggunaan (per GB yang diproses)

Palo Alto Cortex XSOAR Gartner MQ Leader, SOAR 2024; Forrester Wave Leader 2024

Platform orkestrasi, otomasi, dan respons keamanan dengan otomasi playbook dan manajemen kasus

Palo Alto Networks · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Peristiwa Keamanan Minor Diperlakukan sebagai Insiden Besar

Availability

Peristiwa keamanan rutin seperti satu login gagal memicu mobilisasi respons insiden penuh karena tidak ada ambang batas yang membedakan peristiwa dari insiden, membuang sumber daya dan menyebabkan kelelahan peringatan.

Pelanggaran Aktual Diperlakukan sebagai Peristiwa Rutin

Confidentiality

Pelanggaran data asli diklasifikasikan sebagai peristiwa keamanan rutin dan menerima investigasi minimal karena tidak ada ambang batas yang ditetapkan yang membedakan antara peristiwa yang memerlukan penanganan standar dan insiden yang memerlukan respons yang ditingkatkan.

Klasifikasi Insiden yang Tidak Konsisten di Seluruh Tim

Integrity

Analis yang berbeda mengklasifikasikan jenis kejadian keamanan yang sama secara berbeda karena tidak ada ambang batas terstandarisasi, menyebabkan tingkat respons yang tidak konsisten dan metrik insiden yang tidak andal.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Ambang Batas yang Ditetapkan Antara Peristiwa dan Insiden

Tanpa ambang batas yang ditetapkan yang membedakan peristiwa keamanan dari insiden, organisasi tidak dapat secara konsisten menentukan kapan harus mengeskalasi, mengakibatkan reaksi berlebihan terhadap peristiwa minor atau reaksi kurang terhadap pelanggaran aktual.

Tidak Ada Kerangka Klasifikasi Insiden Terstandarisasi

Ketiadaan ambang batas yang ditetapkan untuk kategori seperti aktivitas abnormal, kerentanan keamanan, pelanggaran data, dan insiden privasi berarti setiap kejadian diklasifikasikan secara subjektif, menghasilkan respons yang tidak konsisten.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Respons Insiden

Control 17

Pengamanan Terkait di Kontrol 17

17.1 Tetapkan dan Pelihara Proses Pelaporan dan Penanganan Insiden

17.2 Tetapkan dan Pelihara Kontak Informasi untuk Melaporkan Insiden Keamanan

17.3 Tetapkan dan Pelihara Prosedur Respons Insiden Perusahaan

17.4 Tetapkan dan Pelihara Proses Respons Insiden untuk Penyedia Layanan

17.5 Tetapkan Personel Kunci untuk Manajemen Insiden

17.6 Definisikan Mekanisme Komunikasi Selama Respons Insiden

17.7 Lakukan Latihan Respons Insiden Rutin

17.8 Lakukan Tinjauan Pasca-Insiden