PERF.6.1 — Sicherheitsvorfälle
MUSS
Security level: normal-SdT
Effort 0
BSI-Methodik-Grundschutz-plus-plus
Statement (Anforderung)
Monitoring-Evaluation MUSS effektive Monitoring-Methoden und -tools zur regelmäßigen Überwachung der Informationssicherheit verankern.
Guidance (Erläuterung)
Die Implementierung von Monitoring-Methoden und -tools sollte an die individuellen Bedürfnisse und Möglichkeiten der Institution angepasst sein. Während kleinere Institutionen mit einfacheren Lösungen arbeiten können, benötigen größere und komplexere Umgebungen oft umfassendere und stärker automatisierte Ansätze. Die gewonnenen Monitoring-Daten sollten systematisch ausgewertet und für verschiedene Zwecke genutzt werden, darunter die Erstellung von Kennzahlen und Berichten, die Früherkennung von Sicherheitsrisiken, die Unterstützung der Incident Response und die kontinuierliche Verbesserung des ISMS. Beispielhafte Tools für die Überwachung von Informationssicherheit sind Security Information and Event Management (SIEM) Systeme für die zentrale Sammlung, Korrelation und Analyse von Sicherheitsereignissen aus verschiedenen Quellen; Intrusion Detection/Prevention Systeme (IDS/IPS) zur Erkennung und Abwehr verdächtiger Netzwerkaktivitäten; Vulnerability Management Systeme zur systematischen Identifikation und Behandlung von Schwachstellen sowie Configuration Monitoring Tools zur Überwachung von Konfigurationsänderungen in Systemen und Anwendungen.
Statement properties
| Name | Value |
|---|---|
| result | effektive Monitoring-Methoden und -tools |
| result_specification | zur {{regelmäßigen}} Überwachung der Informationssicherheit |
| action_word | verankern |
| modal_verb | MUSS |
Control properties
| Name | Value |
|---|---|
| alt-identifier | 17e221bd-3b74-453a-ad4e-e2cb346b6af5 |
| sec_level | normal-SdT |
| effort_level | 0 |
Parameters
| ID | Label | Values |
|---|---|---|
| perf.6.1-prm1 | regelmäßigen |
Sub-controls
- PERF.6.1.1 Sicherheitsvorfälle
- PERF.6.1.2 Schwachstellen
- PERF.6.1.3 Bedrohungen
Raw OSCAL JSON (complete control)
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"controls": [
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "PERF.6.1.1",
"parts": [
{
"id": "PERF.6.1.1_stm",
"name": "statement",
"props": [
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "Sicherheitsvorfälle"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "überwachen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Monitoring-Evaluation MUSS Sicherheitsvorfälle überwachen."
},
{
"id": "PERF.6.1.1_gdn",
"name": "guidance",
"prose": "Die frühzeitige Identifikation und Meldung von Vorfällen muss ermöglicht werden. Dies kann von manuellen Prozessen bis hin zu automatisierten Erkennungssystemen reichen. Es sollen klare Meldewege, technische Überwachungsmechanismen (z. B. Log-Analyse, Intrusion Detection), Verantwortlichkeiten sowie Kriterien zur Klassifikation von Vorfällen vorliegen. So wird gewährleistet, dass sicherheitsrelevante Ereignisse frühzeitig erkannt, bewertet und in den ISMS-Verbesserungsprozess eingebunden werden."
}
],
"props": [
{
"name": "alt-identifier",
"value": "3c76f9bf-7a52-4ba4-a9dd-f351e543ca9f"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Sicherheitsvorfälle"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "PERF.6.1.2",
"parts": [
{
"id": "PERF.6.1.2_stm",
"name": "statement",
"props": [
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "einen Umgang mit Schwachstellen"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Monitoring-Evaluation MUSS einen Umgang mit Schwachstellen festlegen."
},
{
"id": "PERF.6.1.2_gdn",
"name": "guidance",
"prose": "Dies sollte die systematische Identifikation, Bewertung, Behandlung und Nachverfolgung von Schwachstellen umfassen. Schwachstellen müssen systematisch erfasst, auf ihre sicherheitsrelevante Bedeutung geprüft und in die Risikobetrachtung des ISMS übernommen werden. Daraus abgeleitete Maßnahmen sind zu priorisieren, umzusetzen und im Rahmen des Monitorings und der Evaluierung regelmäßig auf ihre Wirksamkeit hin zu überprüfen sowie zu dokumentieren. Die gewonnenen Monitoring-Daten sollten systematisch ausgewertet und für verschiedene Zwecke genutzt werden, darunter die Erstellung von Kennzahlen und Berichten, die Früherkennung von Sicherheitsrisiken, die Unterstützung der Incident Response und die kontinuierliche Verbesserung des ISMS."
}
],
"props": [
{
"name": "alt-identifier",
"value": "4f185314-4f6f-4539-b14e-d230c84ecd4d"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Schwachstellen"
},
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "PERF.6.1.3",
"parts": [
{
"id": "PERF.6.1.3_stm",
"name": "statement",
"props": [
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "einen Umgang zur Erkennung und Reaktion auf neu auftretende Bedrohungen"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "festlegen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Monitoring-Evaluation MUSS einen Umgang zur Erkennung und Reaktion auf neu auftretende Bedrohungen festlegen."
},
{
"id": "PERF.6.1.3_gdn",
"name": "guidance",
"prose": "Ein Verfahren zur Erfassung und Reaktion neu auftretende Bedrohungen stellt sicher, dass diese mit Beschreibung und Bewertung dokumentiert werden; dass die Risikobetrachtung bei Bedarf aktualisiert wird; eine Neubestimmung von Eintrittswahrscheinlichkeit und Schadensausmaß erfolgt; dass geeignete Gegenmaßnahmen abgeleitet werden; die Risiken priorisiert und mit klaren Verantwortlichkeiten versehen werden; dass die neuen Risiken in bestehende Risikobetrachtungsprozesse integriert werden und dass das Management regelmäßig über die aktuelle Risikolage und die Wirksamkeit der umgesetzten Maßnahmen unterrichtet wird."
}
],
"props": [
{
"name": "alt-identifier",
"value": "4599c41b-8c08-46cc-a88d-3a2ab141994c"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Bedrohungen"
}
],
"id": "PERF.6.1",
"params": [
{
"id": "perf.6.1-prm1",
"label": "regelmäßigen",
"props": [
{
"name": "alt-identifier",
"value": "17e221bd-3b74-453a-ad4e-e2cb346b6af5"
}
]
}
],
"parts": [
{
"id": "PERF.6.1_stm",
"name": "statement",
"props": [
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "effektive Monitoring-Methoden und -tools"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "zur {{regelmäßigen}} Überwachung der Informationssicherheit"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Monitoring-Evaluation MUSS effektive Monitoring-Methoden und -tools zur {{ insert: param, perf.6.1-prm1 }} Überwachung der Informationssicherheit verankern."
},
{
"id": "PERF.6.1_gdn",
"name": "guidance",
"prose": "Die Implementierung von Monitoring-Methoden und -tools sollte an die individuellen Bedürfnisse und Möglichkeiten der Institution angepasst sein. Während kleinere Institutionen mit einfacheren Lösungen arbeiten können, benötigen größere und komplexere Umgebungen oft umfassendere und stärker automatisierte Ansätze. Die gewonnenen Monitoring-Daten sollten systematisch ausgewertet und für verschiedene Zwecke genutzt werden, darunter die Erstellung von Kennzahlen und Berichten, die Früherkennung von Sicherheitsrisiken, die Unterstützung der Incident Response und die kontinuierliche Verbesserung des ISMS. Beispielhafte Tools für die Überwachung von Informationssicherheit sind Security Information and Event Management (SIEM) Systeme für die zentrale Sammlung, Korrelation und Analyse von Sicherheitsereignissen aus verschiedenen Quellen; Intrusion Detection/Prevention Systeme (IDS/IPS) zur Erkennung und Abwehr verdächtiger Netzwerkaktivitäten; Vulnerability Management Systeme zur systematischen Identifikation und Behandlung von Schwachstellen sowie Configuration Monitoring Tools zur Überwachung von Konfigurationsänderungen in Systemen und Anwendungen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "17e221bd-3b74-453a-ad4e-e2cb346b6af5"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Sicherheitsvorfälle"
}