Notfallmanagement, Notfallplanung

Transkript

1 AirITSystems Notfallmanagement, Notfallplanung Originalvortrag Risiko u. Notfallplanung zum 4. IT-Grundschutz-Tag Tag Ralph Bargmann, AirITSystems GmbH Leiter Geschäftsbereich Security AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 1

2 AirITSystems Notfallmanagement, Notfallplanung Hinweis: Im Rahmen des 4. IT-Grundschutz-Tags am in Regensburg hat der Referent zum Thema Risiko- und Notfallplanung einen Vortrag von Herrn Ralph Bargmann (AirITSystems GmbH) präsentiert. Das BSI stellt daher die Original-Präsentation der AirITSystems GmbH als Download zur Verfügung g AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 2

3 AirITSystems GmbH IT-Dienstleister am Flughafen Hannover AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 3

4 AirITSystems GmbH IT-Dienstleister am Flughafen Hannover Gründung: September 2001 Gesellschafter: Mitarbeiter: 125 (September 2011) Geschäftsbereiche: IuK Security Geschäftsprozesse & SAP Collaboration Solutions Vision und Mission: Systemhaus, Anwender und 24x7 Betreiber Produkt- und Hersteller-übergreifendes know-how Projekterfahrungen über alle Branchen und Unternehmensgrößen Wirtschaftliche Lösungen mit hoher Qualität Was der Traum vom Fliegen mit Ihrer IT-Lösung zu tun hat... AirIT: Erfahrungen von denen Sie profitieren! AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 4

5 AirITSystems GmbH Autor Dipl.-Ing. Ralph Bargmann Leitung Geschäftsbereich Security 16 Jahre bundesweite Security-Projekterfahrung als Sicherheitsberater (Großkunden und KMU) Lizenzierter Auditteamleiter / ISO Auditor des Bundesamt für Sicherheit in der Informationstechnik (BSI) Lead Auditor der British Standards Institution (B.S.I. global) Schwerpunkte: Unternehmenssicherheit, Notfall- und Krisenmanagement, Informationssicherheit (BSI / ISO 27001) Erstellung diverser IT-Notfallpläne / Notfallhandbücher, u.a. für IuK-Infrastruktur des Hannover Airport, Industrieunternehmen, Gesundheitswesen, Telekommunikationsanbieter, t etc. AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 5

6 AirITSystems Notfallmanagement, Notfallplanung Übersicht Einführung, Sensibilisierung Standards, Ziele, Methodiken Beispiel: Vorgehensweisen, Aufbau und Inhalt eines Notfallhandbuchs AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 6

7 Notfallmanagement, Notfallplanung Sicherheitsstudie 2004 <kes> online Wie hoch schätzen Sie den Verlust bei Vernichtung aller elektronisch gespeicherter Daten in Ihrem Unternehmen? Basis: 90 Antworten davon 81 falsche Antworten! AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 7

8 Notfallmanagement, Notfallplanung Zum Thema: das passiert doch nie im Leben... AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 8

9 Notfallmanagement, Notfallplanung Zum Thema: das passiert doch nie im Leben... AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 9

10 Notfallmanagement, Notfallplanung Zum Thema: das passiert doch nie im Leben... AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 10

11 Notfallmanagement, Notfallplanung... und wie geht s weiter? Wer übernimmt jetzt welche Aufgaben? Welche Dokumentationen und Unterlagen sind vorhanden? Und wo sind diese? Wie erreiche ich den Systemspezialisten? Welche Systeme sollen zuerst wiederhergestellt werden? AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 11

12 Notfallmanagement, Notfallplanung... und wie geht s weiter? Wo sind die erforderlichen Ersatzteile erhältlich? Und wie lange dauert die Lieferung? Wer ist zu benachrichtigen? (Chef, Versicherung,...) Wer kann uns jetzt unterstützen? Wer hat denn jetzt welche Entscheidungsbefugnis?... Ziel / Empfehlung: Seien Sie auf mögliche Notfälle vorbereitet! AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 12

13 AirITSystems Notfallmanagement, Notfallplanung Übersicht Einführung, Sensibilisierung Standards, Ziele, Methodiken Beispiel: Vorgehensweisen, Aufbau und Inhalt eines Notfallhandbuchs AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 13

14 Notfallmanagement, Notfallplanung Ziele Ein Notfall mit einer exakten Notfallplanung ist keine Katastrophe, sondern ein erschwerter erter Normalbetrieb. (Zitat der bayerischen Datenschützer) Ziele: - Auswirkungen auf sinnvolles Minimum reduzieren - methodische und systematische Wiederherstellung des Betriebes - dabei minimale Reibungsverluste - (quick wins) AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 14

15 Notfallmanagement, Notfallplanung Mögliche Ansätze: Standards BSI IT-Grundschutzkataloge Baustein B 1.3 Notfallvorsorge-Konzept BSI Standard (Bundesamt für Sicherheit in der Informationstechnik) BS (Code of practice), BS (Specification) des B.S.I. (British Standards Institution) ISO (Kapitel 14 BCM) GPG (good practice guidelines) BCI (Business Continuity Institute) PAS 56 (Guide to BCM) PAS 77 (Prinzipien für den Aufbau eines IT Service Continuity Managements) NIST SP (Contingency Planning Guide for Information Technology Systems)... AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 15

16 Notfallmanagement, Notfallplanung Mögliche Ansätze: Tools ROGsi (Fa. ROG) aliveit (Fa. Controll-IT) LDRPS (Fa. Strohl) Shadow Planner (Fa. Office Shadow) HiScout (Fa. HiSolutions) CAPT / XENCOS (Heine & Partner) mycoop (Fa. Coop) ebrp Toolkit (Fa. ebrpsolutions) best practice : MS Office AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 16

17 AirITSystems Notfallmanagement, Notfallplanung Übersicht Einführung, Sensibilisierung Standards, Ziele, Methodiken Beispiel: Vorgehensweisen, Aufbau und Inhalt eines Notfallhandbuchs AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 17

18 Notfallmanagement, Notfallplanung Methodiken Ist-Analyse bestehender Dokumente Vor-Ort-Begehungen Moderierte Interviews Workshops Lösungsvorschläge Abstimmung mit relevanten Zuständigkeitsbereichen Reviews Notfallübungen... AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 18

19 Notfallmanagement, Notfallplanung Definition des Geltungsbereiches Scope? Konzern Unternehmen hoch Standort / Niederlassung / Filiale Geschäftseinheit / Bereich Rechenzentrum / IuK (ausgewählte) IT-Systeme Kom mplexitä ät niedrig AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 19

20 Aufbau und Inhalt eines Notfallhandbuchs Teil 1: Notfallkonzept Notfallkonzept Notfallvorsorge Notfallübungen Notfallplan Grundsätzliche Überlegungen zu Notfallmanagement und Notfallorganisation Planungsschritte, die vor der Definition von Notfallmaßnahmen erforderlich sind AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 20

21 Aufbau und Inhalt eines Notfallhandbuchs Ist-Analyse Scope / Systemübersichten Erfassung der Struktur und Anzahl der IT-Systeme, Anwendungen und Anwender Feststellung der Kapazitäten zur Betreuung / Administration der Systeme Feststellung der Reserven und Redundanzen AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 21

22 Aufbau und Inhalt eines Notfallhandbuchs Risikoanalyse Risikobewertung / Verfügbarkeitsanforderungen Ermittlung / Festlegung der tolerierbaren Ausfallzeiten von IT-Systemen, Anwendungen und Leitungswegen (unter Berücksichtigung SLA s, Verträge, etc.) Erarbeitung / Auflistung möglicher Risiken und Störungs-/ Notfallszenarien inkl. deren potenziellen Auswirkungen auf IT-Systeme, Anwendungen und Geschäftsprozesse Priorisierung der IT-Systeme sowie (in Abhängigkeit der tolerierbaren Ausfallzeiten) Festlegung des Zeitpunktes, ab wann welche Notfallmaßnahmen einzuleiten sind Abnahme/Verabschiedung der Verfügbarkeitsanforderungen durch Entscheider (Meilenstein) AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 22

23 Aufbau und Inhalt eines Notfallhandbuchs Notfallorganisation Festlegung / Darstellung einer Notfallorganisation Notfallmanagement Funktionsteams Krisenstab Erweiterter Krisenstab Kontaktadressen Vertreterregelungen Entscheidungswege Meldewege AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 23

24 Aufbau und Inhalt eines Notfallhandbuchs Teil 2: Notfallvorsorge Notfallkonzept Notfallvorsorge Notfallübungen Notfallplan Technische und organisatorische Maßnahmen zur Verhinderung oder Begrenzung von Folgeschäden aufgrund eines Notfalls Zusammenstellung und Bewertung bestehender und notwendiger Maßnahmen AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 24

25 Aufbau und Inhalt eines Notfallhandbuchs Notfallvorsorge Themenkomplexe (Auszug) Datensicherungsmaßnahmen / Datenaufbewahrung / Archivierung Dokumentationen System- / Netzplanungen Infrastrukturelle Maßnahmen Ausweichmöglichkeiten / Redundanzen Ersatzteile / Ersatzbeschaffung / Lieferantenvereinbarungen / Wartungsverträge Passwort- und dschlüssel-hinterlegung lhi l Netzplanung AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 25

26 Aufbau und Inhalt eines Notfallhandbuchs Teil 3: Notfallübungen Notfallkonzept Notfallvorsorge Notfallübungen Notfallplan Vorgaben zur Durchführung von Übungen Kritische Überprüfung der Lebbarkeit Lebbarkeit des Notfallhandbuchs und Aktualität der Notfallmaßnahmen Trainieren von Notfallmaßnahmen zur Gewährleistung einer schnellen und methodischen Notfallbeseitigung im Ernstfall AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 26

27 Aufbau und Inhalt eines Notfallhandbuchs Teil 4: Notfallplan (optional) Notfallkonzept Notfallvorsorge Notfallübungen Notfallplan Zusammenfassung entscheidungsrelevanter Angaben zur Einleitung erster Maßnahmen Darstellung der Erstmaßnahmen und wichtigsten Informationen aus dem Notfallhandbuch in komprimierter Form (ggf. Aushang) AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 27

28 Notfallmanagement, Notfallplanung Zitat Willst du, dass einer in der Gefahr nicht zittert, dann trainiere ihn vor der Gefahr. Lucius Annaeus Seneca (4 v.chr n.chr.), röm. Philosoph u. Dichter AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 28

29 AirITSystems Vielen Dank für Ihre Aufmerksamkeit AirITSystems GmbH Geschäftsbereich Security Benkendorffstraße 6 D Langenhagen Postfach D Hannover Dipl.-Ing. Ralph Bargmann Senior Consultant Tel.: +49 (0) Fax: +49 (0) r.bargmann@airitsystems.de AirITSystems GmbH Ihr professioneller IT-Dienstleister am Flughafen Hannover Seite 29