Målet med prinsippet: Virksomheten vurderer og klassifisere hendelser korrekt og hurtig slik at hendelsene blir håndtert effektivt, med riktig prioritet og involverer nødvendige ressurser og personell.

Hvorfor er dette viktig?

Riktig klassifisering og prioritering av hendelser er viktig slik at virksomheten kan disponere ressurser fornuftig og løse hendelsen innen nødvendig tid. Hvis det tar lang tid fra en hendelse blir oppdaget til den blir varslet, prioritert og håndtert kan skadeomfang, ressursbruk og gjenopprettingstid bli betydelig. Feilaktig klassifisering kan føre til at en virksomhet bruker mye tid og krefter på uvesentlige hendelser mens viktigere hendelser går under radaren.

Om ikke riktige beslutningstagere involveres kan hendelsen eskalere og spre seg fordi det ikke settes inn reaktive tiltak hurtig nok. Ved kompleks skadevare vil de færreste klare å se reelt skadeomfang før i etterkant av hendelsen. For mange virksomheter vil det være nødvendig å hente kompetanse utenfor egen virksomhet.

Anbefalte tiltak: Vurder og klassifiser hendelser
Anbefalte tiltak: Vurder og klassifiser hendelser
IDBeskrivelse
4.2.1Gjennomgå loggdata og samle relevante data om hendelsen for å oppnå et godt beslutningsgrunnlag. Dette kan innebære innhenting og sammenstilling av data fra flere kilder, gjennomføre tester eller målinger for å verifisere eller avkrefte en hendelse. Metode og omfang vil avhenge av type hendelse som har oppstått.
4.2.2Avgjør alvorlighetsgrad for hendelsen iht. etablert planverk, se 4.1.1. a) Vurder om hendelsen er en mulig eller bekreftet sikkerhetshendelse eller en falsk alarm. b) Klassifiser hendelsen i henhold til virksomhetens klassifiseringsregimet (4.1.1.d). c) Involver relevante roller (4.1.3). d) Iverksett beredskapsplan dersom hendelsen tilsier dette.
4.2.3Informer relevante interesseparter. Dette kan være sektorvise responsmiljøer, IT-spesialister innen ulike fagfelt, leverandører av utstyr og programvare, ledelsen, sluttbrukere, media mm. Se 4.1.3-4.1.4.
Utdypende informasjon

Når en hendelse oppstår vil man alltid diskutere om man skal stenge ned tjenester, sette inn tiltak eller sitte stille og bare observere for å forstå hva som skjer. Dette er en svært vanskelig vurdering som krever kompetente observatører. Velger man feil kan skadene bli store. Å stenge ned en tjeneste vil kunne medføre konsekvenser for virksomhetens leveranser, og stenger man ned for tidlig kan det være vanskelig å rydde opp i etterkant. Virksomheter må tilstrebe at alle relevante ressurser sitter rundt bordet når beslutningen skal tas.

Lenker

UK GOV: Identify what's happening