(IT-) Notfallmanagement. - das ABC der Umsetzung

Transkript

1 (IT-) Notfallmanagement - das ABC der Umsetzung Skizze der Methodik nach BSI-Standard Weimar,

2 Referent Wirt.-Inf. (BA) Krzysztof Paschke Geschäftsführer GRC Partner GmbH (Kiel und Hamburg) Senior Berater IT-Sicherheit und Notfallmanagement Leiter Cyber Defense itsmf e.v. (ITIL Anwenderorganisation) Fachbuchautor 2

3 Notfallmanagement Bei uns ist noch nie etwas passiert Der Satz spiegelt häufig den Stellenwert der IT-Sicherheit und des Notfallmanagements im Unternehmen und in der Behörde wider. 3

4 Notfallmanagement (IT-) Notfälle bei unseren Kunden: Gleichzeitiger Ausfall von redundanten Klimaanlagen (Stadtwerke) Gleichzeitiger Ausfall von redundanten Klimaanlagen (Autozulieferer) Ausfall der Speichersysteme während der Wartung (Rechenzentrum) Notfall bei unserem Kunden: Bombendrohung (Körperschaft des öffentlichen Rechts) 4

5 Notfallmanagement Allianz Risk Barometer 2016: (*) Die 10 größten Geschäftsrisiken 2016 Befragung von mehr als 800 Risikoexperten in 40 Ländern weltweit Unter den ersten drei Geschäftsrisiken sind: 1. Betriebsunterbrechung (inkl. Lieferkettenunterbrechung) 2. Marktentwicklung (Marktvolatilität) 3. Cybervorfälle Die Betriebsunterbrechung steht zum 4. Mal an der ersten Stelle! (*) Quelle: Abruf am

6 Notfallmanagement Studie des Digitalverbandes Bitkom e.v. 2015: (*) Umsetzungsstatus des Notfallmanagements Befragt wurden Unternehmen (branchenunabhängig) Lediglich 49% der befragten Unternehmen verfügen über ein Notfallmanagement (*) Quelle: Abruf am

7 Agenda 1. Definition und Motivation (Warum machen wir das?) 2. Standards und Normen (Wie kann es umgesetzt werden?) 3. Projekt Notfallmanagement (Erfolgreiche Planung und Umsetzung?) 4. Aufbauorganisation im Notfallmanagement (Wer macht das?) 5. Business Impact Analyse [BIA] (Welche Prozesse sind wichtig?) 6. Risikoanalyse [RIA] (Warum kann es zum Notfall kommen?) 7. Kontinuitätsstrategie und Notfallvorsorgekonzept (Wir haben ein Plan!) 8. Ablauforganisation und Notfallhandbücher (Schritt für Schritt) 9. Tests und Übungen (Haben wir richtig geplant?) 10. Monitoring und Verbesserung (Ist das noch aktuell?) 7

8 1. Definition und Motivation Definition: Notfallmanagement ist ein Managementprozess mit dem Ziel, gravierende Risiken für eine Institution, die das Überleben gefährden, frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren (*) (*) Quelle: BSI 8

9 1. Definition und Motivation Begriffe: Begriffe Notfallmanagement, Business Continuity Management und betriebliches Kontinuitätsmanagement sind gleichzusetzen (*) IT-Notfallmanagement ist ein Teil des Notfallmanagements (*) Notfallmanagement IT-Notfallmanagement (*) Quelle: BSI 9

10 1. Definition und Motivation Gesetze, Verträge, Prüfungen, Zertifizierungen: Gesetze branchenabhängige (KWG, SOLAS, KTA, ITSiG, EnWG/IT-Sicherheitskatalog etc.) branchenunabhängige (AktG, KonTraG etc.) Verträge mit Geschäftspartnern (Kunden und Lieferanten) Prüfungsstandards (IDW PS 330, IDW PS 951, ISAE 3402 etc.) Umsetzung der IT-Sicherheitsstandards (BSI und ISO/IEC 27001) Zertifizierungen (ISO oder OHSAS 18001) Nicht vergessen -> gesunder Menschenverstand 10

11 Agenda 1. Definition und Motivation 2. Standards und Normen 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 11

12 2. Standards und Normen Standards und Normen: Notfallmanagement BSI-Standard BSI Umsetzungsrahmenwerk Notfallmanagement ISO BCI BCM Good Practice Guidelines 2013 ISO 31000, ISO 27005, BSI (neu Entwurf BSI-Standard 200-3) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 12

13 2. Standards und Normen Standards und Normen (warum?): Sehr gute Umsetzungshilfe (Leitfaden) Einheitliche Vorgaben und Methoden Transparenz, Vergleichbarkeit und Nachvollziehbarkeit Erlauben zuverlässige Projekt- und Kostenplanung Hohe Akzeptanz in den Unternehmen und Behörden Zertifizierung durch externe Stellen möglich Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 13

14 2. Standards und Normen Standards und Normen im Vergleich: BSI-Standard ISO BCI-GPG 2013 Leitlinie Leitlinie Leitlinie Geltungsbereich Scope Scope Notfall-Organisation Notfall-Organisation Notfall-Organisation Business Impact Analyse Business Impact Analyse Business Impact Analyse Risikoanalyse Risikoanalyse Risikoanalyse BCI GPG BSI Kontinuitätsstrategie und ISO Kontinuitätsstrategie und 2013 Kontinuitätsstrategie und Notfallvorsorgekonzept Notfallvorsorgekonzept Notfallvorsorgekonzept Notfallbewältigung und Krisenmanagement Notfallbewältigung und Krisenmanagement Notfallbewältigung und Krisenmanagement Tests und Übungen Tests und Übungen Tests und Übungen. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 14

15 2. Standards und Normen Zusammenfassung des Notfallmanagementprozesses gemäß BSI-Standard 100-4: Initiierung des Notfallmanagements Konzeption des Notfallmanagements Leitlinie und Verantwortlichkeiten Notfallorganisation (Team-Bildung) BIA RIA (BIS 100-3, ISO 27005) Soll-Ist und Kosten-Nutzen-Analyse Umsetzung des Notfallmanagements Notfallbewältigung Tests und Übungen Aufrechterhaltung und Verbesserung Planung, Budgetierung, Ressourcen Kontrolle der Umsetzung Meldung, Alarmierung und Eskalation Geschäftsfortführung und Wiederanlauf Funktionstests, Simulation, Vollübung Übungshandbuch Interne und externe Audits Korrekturmaßnahmen und Aktualisierung 15

16 Agenda 1. Definition und Motivation 2. Standards und Normen 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 16

17 3. Projekt Notfallmanagement Projektorganisation (DIN ISO 69901) Projektziel(e) Geltungsbereich Projektleitung Projektteam Meilensteine Zeitrahmen Arbeitspakete Notfallvorsorge Notfallbewältigung Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7 Projekt - Notfallmanagement 17

18 Agenda 1. Definition und Motivation 2. Standards und Normen 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 18

19 4. Aufbauorganisation im Notfallmanagement Initiierung und Leitlinie: Initiierung, Steuerung und Kontrolle durch die Geschäftsleitung Leitlinie Rahmenbedingungen für Notfallmanagement Geltungsbereich Ziel und Zweck Verantwortlichkeiten Notfallbeauftragte Notfallteams Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Meilenstein - Unternehmensorganisation 19

20 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation: Notfallvorsorgeorganisation Notfallbeauftragte Notfallkoordinatoren (optional) Notfallteams Fremde Dritte (Blaulichtorganisationen, Dienstleister) Notfallbewältigung Krisen- und Notfallstab Notfallteams Fremde Dritte (Blaulichtorganisationen, Dienstleister) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation 20

21 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation Beispiel 1: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation 21

22 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation Beispiel 2: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation 22

23 Agenda 1. Definition und Motivation 2. Standards und Normen 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 23

24 5. Business Impact Analyse [BIA] Business Impact Analyse - Prozess: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 24

25 IT-Infrastruktur 5. Notfallmanagement (BIA-Prozess) Welche Informationen werden für die BIA benötigt? Unternehmensstruktur GL OE 1 OE 2 OE n Prozessbeschreibung P 1 P 2 P 3 P 4 P 5 Pn Anwendungen und Dienste Server, Arbeitsplätze, Netzwerk Daten 25

26 5. Business Impact Analyse [BIA] Schadensanalyse: Strukturierte Klassifizierung und Bewertung eines möglichen Schadens Schadenskategorien niedrig normal hoch sehr hoch Schadensszenarien Finanzielle Auswirkung Beeinträchtigung der Aufgabenerfüllung Verstoß gegen Gesetze, Vorschriften und Verträge Imageschaden Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Versorgungssicherheit (Energieversorger) Einschränkung des Energieflusses (Energieversorger) Betroffener Bevölkerungsanteil (Energieversorger) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 26

27 5. Business Impact Analyse [BIA] Wiederanlaufparameter (Kritikalität): MTA := Maximal tolerierbare Ausfallzeit WAZ := Wiederanlaufzeit Notbetriebszeit und Wiederanlaufniveau Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 27

28 5. Business Impact Analyse [BIA] Ressourcen für Normal- und Notbetrieb: Ressource Normalbetrieb Notbetrieb Mitarbeiter 25 3 Prozess Rechnungswesen Kreditoren und Debitoren Anwendung SAP SAP Server /BS /Dienste Server-Farm (Cluster) 1x HP DL 380 Daten ERP DB (vollständig) ERP DB (vollständig) Arbeitsplätze 25 3 Räume RZ Ausweich-Rechenzentrum Gebäude Hauptgebäude Provider Dienstleister SAP Dienstleister SAP Dienstleister. (*) Organisationshandbuch und IT-Dokumentation als Voraussetzung 28

29 5. Business Impact Analyse [BIA] Das Ergebnis der Business Impact Analyse: P 1 P 2 P 3 P 4 P 5 Pn Unternehmensprozesse = Fachabteilung IT-Abteilung P 1 P 5 P 12 (zeit-)kritische Prozesse Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 29

30 Agenda 1. Definition und Motivation 2. Standards und Normen 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 30

31 6. Risikoanalyse [RIA] Risikoanalyse für kritische Prozesse und Ressourcen: Die Risikoanalyse dient die Gefährdungen zu identifizieren, die eine Unterbrechung der Prozesse verursachen können, und die damit verbundenen Risiken zu bewerten (*) Risikoanalyse nur für kritische Prozesse (siehe BIA) P 1 P 5 P 12 Einbeziehung des betrieblichen Risikomanagements Standards z.b. ISO/IEC oder BSI-Standard (neu 200-3) Risikoidentifikation (z.b. BSI G0 46 Elementare Gefährdungen) Risikobewertung = Eintrittswahrscheinlichkeit * Auswirkung (*) Quelle: BSI-Standard

32 6. Risikoanalyse [RIA] Ergebnis der Risikoanalyse: Basis für die Notfallvorsorge (Maßnahmen) Risikobehandlung Übernahme - ohne Maßnahmen akzeptiert Transfer - Versicherung oder Dienstleister Vermeidung - Reorganisation Reduktion - Umsetzung von Maßnahmen Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 3 Risikoanalyse 32

33 Agenda 1. Definition und Motivation 2. Standards und Normen 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 33

34 7. Kontinuitätsstrategie und Notfallvorsorgekonzept Kontinuitätsstrategie: 1. Soll-Ist-Analyse (u.a. Organisation, IT-Infrastruktur) ist Vergleich der BIA-Ergebnisse (z.b. MTA) mit der IT-Wirklichkeit 2. Kontinuitätsstrategie Organisatorische Maßnahmen Technische Maßnahmen 3. Kosten-Nutzen-Analyse Liefert Zahlen für die Umsetzung (Investitionen) der Maßnahmen Unterstützt die Entscheidung über die Sinnhaftigkeit einer Maßnahme 4. Notfallvorsorgekonzept beschreibt die Umsetzung der Kontinuitätsstrategie Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 5 Notfallvorsorgekonzept 34

35 7. Kontinuitätsstrategie und Notfallvorsorgekonzept Kosten-Nutzen-Analyse: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 5 Notfallvorsorgekonzept 35

36 Agenda 1. Definition und Motivation 2. Standards und Normen 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 36

37 8. Ablauforganisation und Notfallhandbücher Ablauforganisation: Definitionen (Störung, Notfall, Krise, Katastrophe) Zu klären sind folgende Fragen: Ab wann geht die Störung in einen Notfall über? Wer entscheidet darüber? Alarmierung Sofortmaßnahmen Geschäftsfortführungspläne und Wiederanlaufpläne Notfallhandbuch Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation 37

38 8. Ablauforganisation und Notfallhandbücher Ablauforganisation: Definitionen (Störung, Notfall, Krise, Katastrophe) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation 38

39 8. Ablauforganisation und Notfallhandbücher Alarmierung in der IT Beispiel 1: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation 39

40 8. Ablauforganisation und Notfallhandbücher Notfallhandbuch: Ausführbares Ergebnis der Notfallvorsorge Einzige verbindliche Beschreibung aller Handlungen, Maßnahmen und Zuständigkeiten im Notfall Abfolge von Handlungen zur Behebung des Schadensereignisses Klar strukturiert Klar formuliert Jederzeit verfügbar und aktuell 40

41 8. Ablauforganisation und Notfallhandbücher Notfallhandbuch: Papier vs. digitales Notfallhandbuch Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 7 Notfallhandbücher 41

42 Agenda 1. Definition und Motivation 2. Standards und Normen 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 42

43 9. Tests und Übungen Test und Übung: Funktionsfähigkeit der Notfallvorsorgeplanung kann nur im Notfall selbst oder während der Tests und Übungen festgestellt werden Planung und Durchführung regelmäßig geplant ( Drehbuch ) analysiert Kosten-Nutzen Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7.13 Meilenstein 5 Notfall-Übungen und Monitoring 43

44 9. Tests und Übungen Test und Übung: Prüfung der definierten Wiederanlaufparameter Wiederanlaufzeit und -niveau Handlungsanweisungen Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7.13 Meilenstein 5 Notfall-Übungen und Monitoring 44

45 Agenda 1. Definition und Motivation 2. Standards und Normen 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 45

46 10. Monitoring und Verbesserung Monitoring: Regelmäßige Überprüfung der Sachverhalte P-D-C-A z.b. Unternehmensorganisation, BIA, Risikoanalyse etc. z.b. Telefonlisten, externe Ansprechpartner etc. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7.13 Meilenstein 5 Notfall-Übungen und Monitoring 46

47 Notfallmanagement Häufige Probleme bei der Umsetzung (Auszug): Überzeugung der Geschäftsleitung und Fachbereiche Dokumentation der Organisation, Prozesse und IT Projektmanagement und -durchführung Kosten-Nutzen-Analyse und Budget Ressourcen Kenntnisse der Standards für die Umsetzung des Notfallmanagements 47

48 Fazit Fazit: Die Betriebsunterbrechung gehört zu den größten Geschäftsrisiken überhaupt Jedes Unternehmen und jede Behörde wird damit früher oder später konfrontiert seien Sie dafür vorbereitet Notfallmanagement ist kein Luxus sondern eine strategische Entscheidung Überzeugen Sie die Unternehmensleitung und Mitarbeiter über die Notwendigkeit des Notfallmanagements Eine Botschaft an die 51% der Unternehmen aus der Bitkom e.v. Umfrage Starten Sie bald mit der Planung und Umsetzung des Notfallmanagements! 48

49 Vielen Dank für Ihre Aufmerksamkeit Wirt.-Inf. (BA) Krzysztof Paschke GRC Partner GmbH Schauenburgerstraße 116 D Kiel Ein Unternehmen der AKRA Gruppe