Umsetzungsrahmenwerk zur Etablierung eines Notfallmanagements. Robert Kallwies, Managing Consultant

Transkript

1 Umsetzungsrahmenwerk zur Etablierung eines Notfallmanagements Robert Kallwies, Managing Consultant

2 Agenda Agenda 1 Notfallmanagement nach BSI-Standard Das Umsetzungsrahmenwerk zum BSIStandard 100-4

4 Notfallmanagement nach BSI-Standard Kurzvorstellung Robert Kallwies Audit-Teamleiter für ISO Audits auf der Basis von IT-Grundschutz (BSI) Mitautor des BSI-Standards Notfallmanagement Projektleiter und Mitautor / UMRA Beratungsschwerpunkte der letzten 10 Jahre: Implementierung, Prüfung und Optimierung von Business Continuity Management Systemen Etablierung IT-Notfallmanagement Einführung Informationssicherheitsmanagementsysteme

5 Notfallmanagement nach BSI-Standard ZIEL EINES NOTFALLMANAGEMENTS Ziel des Notfallmanagements ist es, sicherzustellen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz der Institution auch bei einem größeren Schadensereignis gesichert bleibt. (BSI-Standard 100-4) Quelle: BSI Standard 100-4, Seite 1

6 Notfallmanagement nach BSI-Standard Status Quo bis 2008: IT-Grundschutz-Baustein B1.3 Notfallvorsorge-Konzept

7 Notfallmanagement nach BSI-Standard Status Quo seit 2009 Schnelle Umsetzungshilfe durch konkrete Beispiele Prozessorientierter Ansatz (PDCA) Vorschläge für Inhaltsverzeichnisse und Musterstrukturen (KANN, kein MUSS) Bsp.: Gliederung Notfallhandbuch Bsp.: Strategieoptionen

8 Notfallmanagement nach BSI-Standard Der BSI-Standard beschreibt [ ] ein eigenständiges Managementsystem für die Geschäftsfortführung und die Notfallbewältigung. Ziel ist es, einen systematischen Weg aufzuzeigen, um bei Notfällen und Krisen der verschiedensten Art und Ursprungs, die zu einer Geschäftsunterbrechung führen können, schnell reagieren zu können. Er beschreibt mehr als IT-Notfallmanagement und ist daher nicht als Unterbereich des ISMS zu sehen. Quelle: BSI Standard 100-4, Seite 4

9 Notfallmanagement nach BSI-Standard Der BSI-Standard Betrachtet mehr als den IT-Ausfall Ausfall Gebäude / Infrastr. Ausfall IT Stromausfall Bombendrohung Hochwasser Defekt an Zuleitungen Ausfallszenarien Ausfall Personal Krankheit/Pandemie Unfall/Todesfall Streik bzw. Demonstration Systemausfall Feuer-/ Wasserschaden Ausfall von Strom oder Klimatisierung Ausfall Dienstleister Personalausfall beim Dienstleister Insolvenz Ausfall Infrastruktur

10 Notfallmanagement nach BSI-Standard Der Notfallmanagement-Prozess nach BSI-Standard Initialisierung des Notfallmanagements Vorgehen Konzeption Umsetzung des Notfallvorsorgekonzepts Notfallbewältigung Übungen & Tests Aufrechterhaltung und Kontinuierliche Verbesserung

11 Notfallmanagement nach BSI-Standard Der Notfallmanagement-Prozess nach BSI-Standard Initialisierung des Notfallmanagements Business Impact Analyse Konzeption Vorgehen Risikoanalyse Umsetzung des Notfallvorsorgekonzepts Aufnahme des Ist-Zustands Notfallbewältigung Übungen & Tests Aufrechterhaltung und Kontinuierliche Verbesserung Kontinuitätsstrategien Notfallvorsorgekonzept

12 Notfallmanagement nach BSI-Standard Zur Umsetzung eines Notfallmanagements werden verschiedene Dokumente benötigt Sofortmaßnahmenplan BIA Ergebungsbogen Schulung sk onzept W BIA Bericht W iedera ch drehbu Übungs splan Übung Krisenikationskommun plan nlaufplan Übungskonzept Leitlinie Übungsprotokoll ied erh ers an tellu ng s äftsgesch gsru n fortfüh plan pl Notfallvorsorgekonzept b Notfallhand Risiko Erhebungsbogen uch Risikoinven ta Strategie r

13 Notfallmanagement nach BSI-Standard Hier ergeben sich unterschiedliche Fragen 1. Wann sollten die Dokumente erstellt werden? 2. Welche Inhalte sollten mindestens enthalten sein? 3. Welcher Personenkreis ist im Rahmen der Erstellung mit einzubeziehen? 4. Welche Voraussetzungen müssen vor der Erstellung erfüllt sein? 5.

15 Das Umsetzungsrahmenwerk zum BSI-Standard Die Etablierung eines Notfallmanagements bringt Herausforderungen mit sich* Studien belegen, dass Notfallmanagement bei den Befragten einen sehr hohen Stellenwert hat, in der Praxis schätzen jedoch nur 1/3 der Befragten ihr Notfallmanagement als sehr gut bis gut ein*. Herausforderung bei der Implementierung: Personen mit geringen Praxiskenntnissen und begrenzten Ressourcen haben Schwierigkeiten Prioritäten festzulegen und den benötigten Reifegrad bzw. Umfang des Notfallmanagements zu ermitteln. Die Umsetzung kann vielfach nicht zielgerichtet angegangen werden, da Aufwände nicht eingeschätzt werden können und Ziele unklar sind. Für die Realisierung der im BSI-Standard beschriebenen Methoden fehlen Anwendern konkrete Vorgaben und Hilfsmittel. *Quellen: Ernst & Young, 2012 Global Information Security Survey, BSI-Studie zu IT-Sicherheitsstandards und Notfallmanagement

16 Das Umsetzungsrahmenwerk zum BSI-Standard Zielstellung des Umsetzungsrahmenwerks Behörden und Institutionen einen Umsetzungsleitfaden für die Etablierung eines Notfallmanagements zur Verfügung stellen, mit dem ein Anwender mit geringen Vorkenntnissen und mit begrenztem Aufwand ein angepasstes Notfallmanagementsystem etablieren kann.

17 Das Umsetzungsrahmenwerk zum BSI-Standard Der Aufbau des Umsetzungsrahmenwerks gliedert sich in unterschiedliche Ebenen Umsetzungsrahmenwerk (Hauptdokument) Drei Leitfäden (Beschreibung ressourcenabhängiger Detailtiefe) 5 Phasen mit 9 Modulen 70 Dokumente (Modulbeschreibungen, Dokumentenvorlagen, Ausfüllanleitungen, Erfassungsbögen und Präsentationen) In den Formaten MS Office und OpenOffice

18 Das Umsetzungsrahmenwerk zum BSI-Standard Übersicht der Gliederungsstruktur des Umsetzungsrahmenwerks Initialisierung des Notfallmanagements Leitlinie Erfassung der Organisation Konzeption Business Impact Analyse Erhebung und Auswertung BIA-Bericht Risikoanalyse Erhebung und Auswertung Risiko-Inventar Strategieentwicklung Entwicklung von Kontinuitätsstrategien Kosten-Nutzen-Analyse Umsetzungsplan Notfallvorsorgekonzept Notfallvorsorgekonzept Notfallbewältigung Notfallhandbuch Notfallhandbuch Wiederanlaufplan Wiederherstellungsplan Geschäftsfortführungsplan Krisenkommunikationsplan Übungen und Tests Übungen und Tests Mittel- langfristiger Übungsplan Checkliste Übungsplanung Übungskonzept Berichtserstellung Drehbuch Aufrechterhaltung und kontinuierliche Verbesserung Audit Selbstüberprüfung Interview und Dokumentenprüfung Standardfragenkatalog (institutionsspezifische Anpassung) Schulung und Sensibilisierung Sensibilisierung ausgewählter Mitarbeiter Sensibilisierung aller Mitarbeiter

19 Das Umsetzungsrahmenwerk zum BSI-Standard Stufen des Umsetzungsrahmenwerks

20 Das Umsetzungsrahmenwerk zum BSI-Standard Umsetzung der Stufe 1 Stufe 1 Leitlinie Business Impact Analyse Strategieentwicklung III II I Notfallhandbuch Übungen und Tests Schulung & Sensibilisierung Zeit Aufwand Personalbedarf

21 Das Umsetzungsrahmenwerk zum BSI-Standard Umsetzung der Stufe 2 Stufe 2 Leitlinie Business Impact Analyse Risikoanalyse (gekürzt) Strategieentwicklung III II I Notfallvorsorgekonzept (gekürzt) Notfallhandbuch Übungen und Tests (gekürzt) Audit Schulung & Sensibilisierung Zeit Aufwand Personalbedarf

22 Das Umsetzungsrahmenwerk zum BSI-Standard Umsetzung der Stufe 2 Stufe 3 Leitlinie Business Impact Analyse Risikoanalyse Strategieentwicklung III II I Notfallvorsorgekonzept Notfallhandbuch Übungen und Tests Audit Schulung & Sensibilisierung Zeit Aufwand Personalbedarf

23 Das Umsetzungsrahmenwerk zum BSI-Standard Die Leitfäden sind der rote Faden zur Etablierung des Notfallmanagementsystems Folgende Beschreibungen bestehen für alle Module: Voraussetzungen zur Umsetzung Mindestanforderung zur Erreichung der definierten Stufe Mindestinhalte der Hilfsmittel Modul Eingangs- / Ausgangsinformationen Bildquelle: astrologieschule.org

24 Das Umsetzungsrahmenwerk zum BSI-Standard Beispiel: Modul Übungen und Tests Erstellen des lang- und mittelfristigen Übungsplans Konzeption Erstellung einzelner Übungskonzepte Umsetzung des Notfallvorsorgekonzepts Notfallbewältigung Übungen / Tests planen und vorbereiten Übungen & Tests Übungen / Tests durchführen Aufrechterhaltung & Kontinuierliche Verbesserung Übungen / Tests nachbereiten Etablierung von Übungen & Tests Initialisierung des Notfallmanagements

25 Das Umsetzungsrahmenwerk zum BSI-Standard Hilfsmittel zu Übungen und Tests 1. Modulbeschreibung 2. Ausfüllanleitung 3. Übungsplan 4. Übungssteckbrief 5. Übungskonzept 6. Übungsdrehbuch 7. Übungseinladung 8. Präsentation 9. Protokollvorlage kurz 10. Protokollvorlage umfangreich 11. Fragebogen zur Sofortauswertung 12. Ergebnisbericht

28 Das Umsetzungsrahmenwerk zum BSI-Standard Rahmenbedingungen und Veröffentlichung für das Umsetzungsrahmenwerk Adressaten: Notfallbeauftragte, IT-Sicherheitsbeauftrage oder zur Umsetzung beauftragte Personen Barrierearme Dokumente in MS-Office und Open-Office Dokumente sind für Institutionen frei zugänglich Sicherheitsberatung des Bundes Öffentlich auf der BSI-Webseite (eingeschränkt) Veröffentlichungsstand: Finaler Draft Zeitpunkt der Veröffentlichung: mit dem Grundschutztag Anmerkungen/Kritiken

29 HISOLUTIONS BEDANKT SICH FÜR IHRE AUFMERKSAMKEIT HiSolutions AG Robert Kallwies Bouchéstraße Berlin