BSI-Standard Notfallmanagement

Transkript

1 BSI-Standard Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie 1

2 IT-Grundschutz seit 2005 BSI-Standards + Loseblattsammlung Folie 2

3 Dienstleistungen und Produkte rund um den IT-Grundschutz Sicherheitsbedarf, Anspruch - Webkurs zum Selbststudium Leitfaden Informationssicherheit BSI Standard 100-1: ISMS Software: GSTOOL BSI Standard 100-2: ITGrundschutzVorgehensweise + ISO 27001Zertifikat BSI Standard 100-3: RisikoAnalyse BSI Standard 100-4: Notfallmanagement Leitfaden ISRevision Hilfsmittel & Musterrichtlinien Beispiele: GS-Profile IT-GrundschutzKataloge BSI-Empfehlungen: - Internetsicherheit - Hochverfügbarkeit Folie 3

4 BSI-Standards 2006 BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-GrundschutzVorgehensweise BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz IT-Grundschutz-Kataloge Bausteinkataloge Gefährdungskataloge Maßnahmenkataloge Folie 4

5 IT-Grundschutz und der Notfall 2006 B 1.3 Notfall-Vorsorgekonzept B 1.8 Behandlung von Sicherheitsvorfällen Folie 5

6 BSI-Standard 100-4: Notfallmanagement Anforderungen an die Entwicklung Kompatibel zu anerkannten Standards (BS 25999, BCI GPG, ITIL,...) Hilfestellung bei der Umsetzung Abstimmung mit der Vorgehensweise nach IT-Grundschutz für ein ISMS Folie 6

7 Warum ein BSI-Standard? Notfallmanagement Teil des ISMS?... Aufgabe der IT? Folie 7

8 ISM BCM Informationssicherheitmanagement Fachaufgaben / Geschäftsprozesse - Verfügbarkeit kritischer GP - Vertraulichkeit - Integrität - Verfügbarkeit Informationen ITSysteme Personen Infrastruktur Notfallmanagement / BCM Spezialgeräte BetriebsDienstleister. mittel Zulieferer, Folie 8

9 Was sind Notfälle im Sinne des 100-4? Störung Notfall Krise Katastrophe nicht betrachtet Folie 9

10 Was sind Notfälle im Sinne des 100-4? Störung Notfall Krise Katastrophe Folie 10

11 Was sind Notfälle im Sinne des 100-4? Robustheit erhöhen Notfallhandbuch Ersatzsystem Ersatzprozesse Folie 11

12 Was sind Notfälle im Sinne des 100-4? Störung Notfall Ausfall Umspannwerk Krise Katastrophe Ausfall von 150 Sparkassen-Instituten, Geldautomaten, Kontoauszugsdrucker, Onlinebanking Ausfall Rechenzentrum Folie 12

16 Was ist Notfallmanagement? Das Notfallmanagement umfasst das geplante und organisierte Vorgehen, um die Widerstandsfähigkeit der (zeit-)kritischen Geschäftsprozesse einer Institution nachhaltig zu steigern, auf Schadensereignisse angemessen reagieren und die Geschäftstätigkeiten so schnell wie möglich wieder aufnehmen zu können. Folie 16

17 Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Notfallbewältigung Initiierung des Notfallmanagements Konzeption Umsetzung des Notfallkonzepts Folie 17

18 Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Notfallbewältigung Initiierung des Notfallmanagements - Verantwortung - Organisatorische Strukturen - Leitlinie - Einbindung Mitarbeiter Konzeption Umsetzung des Notfallkonzepts Folie 18

19 Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Notfallbewältigung Initiierung des Notfallmanagements Konzeption Umsetzung des Notfallkonzepts Folie 19

20 Notfallmanagement-Prozess Konzeption Business Impact Analyse (BIA) Risikoanalyse Ist-Aufnahme Kontinuitätsstrategien Notfallvorsorgekonzept Folie 20

21 Konzeption Business Impact Analyse (BIA) Die zentrale Aufgabe einer Business Impact Analyse ist es, zu verstehen, welche Geschäftsprozesse und Ressourcen wichtig für die Aufrechterhaltung des Geschäftsbetriebs und damit für die Institution sind, und... welche Folgen ein Ausfall haben kann. Folie 21

22 Notfallmanagement-Prozess Konzeption Business Impact Analyse (BIA) Geschäftsprozesse und Stammdaten Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse Prozess ١ Schadensanalyse Input ٢ Festlegung der Wiederanlaufparameter Kontinuitätsstrategien Notfallvorsorgekonzept ist unterteilt Input ١ Risikoanalyse Ist-Aufnahme Prozess n Prozess ٢ Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess benötigt Ressourcen -Personal -IT -Kommunikationsnetz -Spezial-HW -Büro - Berücksichtigung der Abhängigkeiten Priorisierung und Kritikalität Erhebung der Ressourcen für Normal- und Notbetrieb Vererbung der Kritikalität auf die Ressourcen Folie 22 Output

23 Schutzbedarfsfeststellung Schutzbedarfsfeststellung Geschäftsprozess / Anwendung Grundwert Schutzbedarf Anwendung A Vertraulichkeit Hoch Integrität Hoch Verfügbarkeit Normal Anwendung B Folie 23

24 Business Impact Analyse Schadensanalyse Indirekte Schäden sehr hoch Bestandsgefährdungslinie Direkte Schäden Schadensentwicklung hoch normal t niedrig B1 B2 B3 B4 Folie 24

25 Business Impact Analyse Schadensanalyse 1=niedrig, 2=normal, 3=hoch, 4=sehr hoch Folie 25

26 Wiederanlaufparameter Folie 26

27 Notfallmanagement-Prozess Konzeption Business Impact Analyse (BIA) Geschäftsprozesse und Stammdaten Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse Prozess 1 Schadensanalyse Input 2 Festlegung der Wiederanlaufparameter Kontinuitätsstrategien Notfallvorsorgekonzept ist unterteilt Input 1 Risikoanalyse Ist-Aufnahme Prozess n Prozess 2 Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess benötigt Ressourcen -Personal -IT -Kommunikationsnetz -Spezial-HW -Büro - Berücksichtigung der Abhängigkeiten Priorisierung und Kritikalität Erhebung der Ressourcen für Normal- und Notbetrieb Vererbung der Kritikalität auf die Ressourcen Folie 27 Output

28 Kritische Geschäftsprozesse verschiedene Beispiele Folie 28

29 Notfallmanagement-Prozess Konzeption Business Impact Analyse (BIA) Geschäftsprozesse und Stammdaten Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse Prozess 1 Schadensanalyse Input 2 Festlegung der Wiederanlaufparameter Kontinuitätsstrategien Notfallvorsorgekonzept ist unterteilt Input 1 Risikoanalyse Ist-Aufnahme Prozess n Prozess 2 Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess benötigt Ressourcen -Personal -IT -Kommunikationsnetz -Spezial-HW -Büro - Berücksichtigung der Abhängigkeiten Priorisierung und Kritikalität Erhebung der Ressourcen für Normal- und Notbetrieb Vererbung der Kritikalität auf die Ressourcen Folie 29 Output

30 Notfallmanagement-Prozess Konzeption Business Impact Analyse (BIA) Risikoanalyse Ist-Aufnahme Kontinuitätsstrategien Notfallvorsorgekonzept Folie 30

31 Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Notfallbewältigung Initiierung des Notfallmanagements Konzeption Umsetzung des Notfallkonzepts - Kosten- und Aufwandsabschätzung - Umsetzungsreihenfolge - Aufgaben und Verantwortung - Realisierungsbegl. Maßnahmen Folie 31

32 Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Notfallbewältigung - Aufbauorganisation - Ablauforganisation - Krisenkommunikation - Notfallhandbuch Initiierung des Notfallmanagements Konzeption Umsetzung des Notfallkonzepts Folie 32

33 Organisatorische Strukturen Notfallbewältigung Entscheidungsgremium Krisenstab strategisch Notfallteams taktisch operativ Kernteam Betriebssicherheit Leiter Öffentlichkeitsarbeit erweiterter Krisenstab Informationssicherheit IT-Betrieb Revision Datenschutzbeauftragter CERT Personalvertretung Justitiariat Abteilungsvertreter Infrastruktur IT Org Einheiten Prozesse Fachberater Folie 33

34 Krisenstabsraum Besondere Anforderungen: Ausreichend Platz: abgetrennte Besprechungszonen, soziale Bereiche etc. Sicherheit: Vertraulichkeit, Zugangs- und Sichtschutz, Abhörschutz Technische Ausstattung: vernetzten Rechnern, Beamer, Scanner, Drucker, mobile Speichermedien, Faxgeräte, Radio, Fernsehen oder Videorekorder, Mobiltelefone und eventuell analoge, stromunabhängige Telefone Redundante Stromversorgung Redundante Telekommunikations- und Internetanbindung Sonstige Ausstattung: Büromaterialien, Arbeitsmittel (z. B. Flipcharts, Tafeln, Karten, Nachschlagewerke, Telefonbücher), gegebenenfalls Schutzausrüstung Verpflegung und Entsorgung... Folie 34

35 Notfallhandbuch Notfallbewältigung Notfallhandbuch Notfallpläne Krisenstabsleitfaden Krisenkommunikationsplan Geschäftsfortführungspläne Wiederherstellungspläne Folie 35

36 Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Initiierung des Notfallmanagements Konzeption - Übungsarten - Dokumente - Durchführung Notfallbewältigung Umsetzung des Notfallkonzepts Folie 36

37 Tests und Übungen Folie 37

38 Tests und Übungen Rollen Übungsautor Vorbereitungsteam Übungsleiter / Moderator Kernteam Protokollant Akteure Dokumente Übungshandbuch Übungsplan Übungskonzept mit Drehbuch Übungsprotokoll Ablauf Planung Vorbereitung Durchführung Nachbearbeitung Folie 38

39 Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Initiierung des Notfallmanagements - Self-Assessment, Revisionen - Verbesserungsprozess Tests und Übungen Notfallbewältigung Konzeption Umsetzung des Notfallkonzepts Folie 39

40 Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung - Self-Assessment, Revisionen - Verbesserungsprozess Tests und Übungen - Übungsarten - Dokumente - Durchführung Notfallbewältigung - Ablauforganisation - Krisenkommunikation - Notfallhandbuch Initiierung des Notfallmanagements - Verantwortung - Organisatorische Strukturen - Leitlinie - Einbindung Mitarbeiter Konzeption - Business Impact Analyse - Risikoanalyse - Ist-Zustand - Kontinuitätsstrategien Umsetzung des Notfallkonzepts - Kosten- und Aufwandsabschätzung - Umsetzungsreihenfolge - Aufgaben und Verantwortung - Realisierungsbegl. Maßnahmen Folie 40

41 Welche Rolle spielt der Standard 100-4? Verbindliche Vorgaben? Zertifizierung?... Folie 41

42 Wie geht es weiter? Bausteine B 1.3 Notfall-Vorsorgekonzept B 1.8 Behandlung von Sicherheitsvorfällen Hilfsmittel Weiterentwicklungen Abgleich mit BSI-Standard 100-2? GSTOOL? Folie 42

43 Informationsmaterial Folie 43

44 Fazit Notfallmanagement BSI-Standard zur Business Continuity Notfallmanagement nimmt eine immer größere Rolle in Unternehmen und Behörden ein Umfassende Hilfestellung bei der Umsetzung eines Notfallmanagements Vorgehensmodell an Grundschutz-Vorgehensmodell angelehnt, um Synergieeffekte zu nutzen Folie 44

45 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Isabel Münch Godesberger Allee Bonn Telefon: +49 (0) IT-Grundschutz-Hotline Telefon: +49 (0) Folie 45