Ein Vorfall ist ein Eintrag über ein Ereignis bei der Ausführung des Programms, das mit dem Erkennen eines möglichen Datenverlusts in Zusammenhang steht.
Bei Übereinstimmung des E-Mail-Inhalts mit den Daten der Kategorie und allen in der Richtlinie festgelegten Bedingungen erstellt das DLP-Modul einen Vorfall, der die Verletzung der Richtlinie fixiert. Falls eine E-Mail die Informationssicherheit gemäß mehreren Richtlinien verletzt, erstellt das DLP-Modul mehrere Vorfälle gemäß der Anzahl der verletzten Richtlinien.
Jeder Vorfall enthält Informationen über das Vorfall-Objekt (E-Mail, die die Informationssicherheit verletzt hat), über den Empfänger und Absender der E-Mail, die verletzte Richtlinie sowie Dienstinformationen, wie Vorfall-ID und Uhrzeit der Vorfall-Erstellung.
Der Experte für Informationssicherheit verarbeitet die vom Programm erstellten Vorfälle. Die Verarbeitung eines Vorfalls kann beispielsweise das Fixieren der stattgefunden Verletzung und das Treffen möglicher technischer oder organisatorischer Maßnahmen zur Verstärkung des Schutzes von persönlichen Daten beinhalten.
Vorfallstatus
Der Status des Vorfalls spiegelt die Phase seiner Verarbeitung wieder. Bei der Erstellung des Vorfalls wird ihm der Status Neu zugewiesen. Während der Verarbeitung des Vorfalls ändert der Experte für Informationssicherheit seinen Status. Die Verarbeitung des Vorfalls wird abgeschlossen, wenn der Experte für Informationssicherheit ihm einen der Status mit dem Wert Geschlossen (<Grund>) zuweist.
Status der Vorfälle
Status |
Typ. |
Wert |
|---|---|---|
Neu |
Offen |
Neuer Vorfall. Die Verarbeitung des Vorfalls hat noch nicht begonnen. |
In Bearbeitung |
Offen |
Der Vorfall wird untersucht. |
Geschlossen (verarbeitet) |
Geschlossen |
Der Vorfall wurde erfolgreich verarbeitet, notwendige Maßnahmen wurden getroffen. |
Geschlossen (Fehlalarm) |
Geschlossen |
Die Richtlinie wurde verletzt, das Senden vertraulicher Daten war jedoch rechtmäßig. Es liegt keine Verletzung der Informationssicherheit vor. Möglicherweise müssen die Einstellungen der Richtlinie präzisiert werden. |
Geschlossen (kein Vorfall) |
Geschlossen |
Die Richtlinie wurde verletzt, das Senden vertraulicher Daten wurde jedoch durch eine Spezialanordnung erlaubt. Keine weiteren Aktionen erforderlich. |
Geschlossen (andere) |
Geschlossen |
Der Vorfall wurde aus anderen Gründen geschlossen. |
Priorität des Vorfalls
Die Priorität des Vorfalls gibt die Dringlichkeit wider, mit der der Vorfall verarbeitet werden soll. Das Programm weist dem Vorfall bei seiner Erstellung eine Priorität zu (Niedrig, Mittel, Hoch). Die Priorität wird basierend auf dem Wert, der in den Einstellungen der verletzten Richtlinie festgelegt wurde, zugewiesen.
Vorfallarchiv
Geschlossene Vorfälle können ins Archiv verschoben werden. Die ins Archiv verschobenen Vorfälle werden als archiviert bezeichnet. Die ins Archiv verschobenen Vorfälle werden aus der Liste der Vorfälle gelöscht. Bei Bedarf können Sie Vorfälle aus dem Archiv wiederherstellen, woraufhin sie erneut in der Liste der Vorfälle angezeigt werden.
Das Vorfälle-Archiv stellt eine Datei im Spezialformat mit der Erweiterung bak dar. Sie können eine unbeschränkte Anzahl der Vorfälle-Archive erstellen.
Die Verwendung von Archiven ermöglicht eine regelmäßige Bereinigung der Vorfälle-Liste von geschlossenen Vorfällen und somit eine optimale Nutzung des Speicherplatzes der Datenbank für Vorfälle, ohne dass der Verlauf ihres Eingangs und ihrer Verarbeitung verloren geht.
Statistik und Berichte
Das Programm zeigt statistische Informationen über eingegangene, sich in der Verarbeitung befindende und geschlossene Vorfälle an. Mithilfe dieser Informationen kann der Schutzstatus von Daten und die Effizienz des Experten für Informationssicherheit bewertet werden. Auf der Grundlage dieser Daten können ebenfalls Berichte erstellt werden.