Security Forum Notfallmanagement. nach BSI-Standard Hagenberg, 9. April katmakon Katastrophen Management Konzepte

Transkript

1 Security Forum 2014 Notfallmanagement nach BSI-Standard Hagenberg, 9. April 2014 katmakon Katastrophen Management Konzepte Was: Erstellen und optimieren des Notfall- und Katastrophenmanagements Für wen: Unternehmen, Gemeinden und Organisationen Wer: Expertenteam (betriebliche Notfallplanung, Rettung, Feuerwehr, Kommunikation, IT und IT-Sicherheit, Unternehmensführung) Warum: komplette Notfallplanung aus einer Hand relevante Risiken und mögliche Schäden analysieren Notfallhandbuch Krisenstabsschulung Simulationen/Übungen Aktualisierungen Notfall- und Krisenmanagement Unsere Leistungen auf einen Blick Konzepte Business Continuity Training Krisenkommunikation Simulation prüfen und verbessern IT-Sicherheitsplanung Alarm- und Einsatzpläne Faktor Mensch Kommunikation im Notund Krisenfall Katastrophenschutzplanung für Gemeinden Krisenstabsarbeit Anfälligkeitsanalysen und Risikobewertungen Fehlermanagement Notfallmanagement Pandemieplanung organisierte Erste Hilfe 2 1

2 Historie Erstellt durch das Bundesamt für Sicherheit in der Informationstechnik in Deutschland. Anfang 2009 wurde die Version 1.0 offiziell freigegeben. ( ) Erster deutschsprachiger Standard Für jeden frei verfügbar. Derzeit nicht direkt zertifizierbar. 3 BSI-Standard Notfallmanagement Zeigt einen systematischen Weg auf, ein Notfallmanagement aufzubauen Eigenes Managementsystem für die Geschäftsfortführung und die Baut auf den folgenden Standards auf > Managementsysteme für Informationssicherheit (ISMS) > IT-Grundschutz-Vorgehensweise > Risikoanalyse auf der Basis von IT-Grundschutz Kein Unterbereich des ISMS Durch die Kooperation mit den ISMS ergeben sich Synergieeffekte Zeigt die Notwendigkeit der engen Zusammenarbeit mit dem Sicherheitsmanagement auf Notfallmanagement fokussiert sich auf die kritischen Geschäftsprozesse Die Treiber des Notfallmanagements sind die Geschäftsbereiche 4 2

3 Begriffe 1/2 Störung > Prozesse oder Ressourcen funktionieren nicht wie vorgesehen > geringer Schaden > werden im allgemeinen Tagesgeschäft beseitigt > kann sich zu einem Notfall ausweiten Notfall > Prozesse oder Ressourcen funktionieren nicht wie vorgesehen > diese können nicht in der vorgesehenen Zeit wiederhergestellt werden > Geschäftsbetrieb stark eingeschränkt > hohe bis sehr hohe Schäden > können nicht im allgemeinen Tagesgeschäft abgewickelt werden 5 Begriffe 2/2 Krise > Vom Normalzustand abweichende Situation > Es existieren keine Ablaufpläne, sondern lediglich Rahmenanweisungen > Merkmal ist die Einmaligkeit des Ereignisses > Existenz der Institution oder Leben / Gesundheit von Personen gefährdet > Konzentriert sich auf das Unternehmen Katastrophe > Großschadensereignis, das zeitlich und örtlich kaum begrenzbar ist > Großflächige Auswirkungen auf Menschen, Werte und Sachen > Existenz der Institution oder Leben / Gesundheit von Personen gefährdet > Intern wie eine Krise zu sehen > Zusammenarbeit mit externen Hilfsorganisationen zur 6 3

4 Weitere Standards im Notfallmanagement 1/3 BS / BS Business Continuity Management Part 1: Code of Practice Business Continuity Management Part 2: Specification BCI Good Practice Guidelines ISO / PAS Societal security Guidelines for incident preparedness and operational continuity management ISO / ISO Information technology Security techniques Information security Managagement systems requirements specification Information technology Code of practice for information security management NIST SP Contingency Planning Guide for Information Technology Systems 7 Weitere Standards im Notfallmanagement 2/3 PAS 77 / BS IT Service Continuity Management - Code of Practice Code of practice for information and communications technology continuity ISO / IEC Information technology Security techniques Guidelines for information and communication technology disaster recovery services ITIL IT Infrastructure Library IT-Service Continuity ISO / IEC IT Service Management 8 4

5 Weitere Standards im Notfallmanagement 3/3 PAS 200:2011 (neu) Crisis management Guidance and good practice ISO (neu) Societal security Business continuity management systems Requirements 9 Notfallmanagement-Prozess Initiierung des Notfallmanagements Aufrechterhaltung und kontinuierliche Verbesserung Konzeption Tests und Übungen Umsetzung des Notfallvorsorgekonzeptes 10 5

6 Initiierung des Notfallmanagement Prozesses Organisatorische Voraussetzungen Rollen Verantwortungsbereiche Rollen Notfallvorsorge Krisenentscheidungsgremium Gesamtverantwortung Unternehmensleitung Notfallbeauftragter Umsetzungsvorgaben Krisenstab Berichtsweg Notfallkoordinatoren Lokale Steuerung in den Fachbereichen Berichtsweg Notfallteams Notfallvorsorgeteam Umsetzung Proaktiv Reaktiv 11 Initiierung des Notfallmanagement-Prozesses: Aufbau des Krisenstabes Leiter des Krisenstabes Erweitertes Krisenstabsteam IT-Leiter Standortsicherheit Leiter CERT Justitiariat Personalvertretung Krisenkernteam Öffentlichkeitsarbeit Unternehmenssicherheit (IT-Betrieb) Ansprechpartner betr. Abteilungen Ansprechpartner wichtiger Bereiche Fachberater Externe Spezialisten Assistenz 12 6

7 Initiierung des Notfallmanagement-Prozesses: Weitere Schritte bei der Initiierung Leitlinie zum Notfallmanagement erstellen Ressourcen bereitstellen > Ressourcen für die Notfallmanagement-Organisation > Ressourcen für Vorsorgemaßnahmen > Zusammenarbeit mit anderen Management-Systemen Informationssicherheitsmanagement (IT-)Risikomanagement Ziel ist es, Synergieeffekte zu nutzen > Kosteneffizienz sicherstellen Einbindung der Mitarbeiter > Sensibilisierung und Schulung > Ansprechpartner und Zuständigkeiten festlegen und kommunizieren > Einbindung in den Informationsfluss über Risiken, Vorfälle und Auswirkungen 13 Notfallmanagement-Prozess Initiierung des Notfallmanagements Aufrechterhaltung und kontinuierliche Verbesserung Konzeption Tests und Übungen Umsetzung des Notfallvorsorgekonzeptes 14 7

8 Konzeption Business Impact Analyse Risikoanalyse Aufnahme des Ist-Zustandes Kontinuitätstrategien Notfallvorsorgekonzept Entwickeln der Kontinuitätsstrategien Kosten-Nutzen-Analyse Konsolidierung und Auswahl der Kontinuitätsstrategien 15 Konzeption Business Impact Analyse (BIA) Stammdaten und Geschäftsprozesse Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse Schadensanalyse Festlegen der Wiederanlaufparameter Berücksichtigen der Abhängigkeiten Priorisierung und Kritikalität der Geschäftsprozesse Erheben der Ressourcen für Normal- und Notbetrieb Kritikalität und Wiederanlaufzeiten der Ressourcen 16 8

9 Konzeption Risikoanalyse Risikoidentifizierung Risikobewertung Gruppierung und Szenarienbildung Risikostrategie-Optionen Risikoanalyse-Bericht Risikoübernahme Risikotransfer Risikovermeidung Risikoreduktion 17 Konzeption Notfallvorsorgekonzept Inhalt: Allgemeines Dokumentverantwortlicher, Geltungsbereich, Klassifizierung der Informationen, Verteiler, Glossar, Abkürzungsverzeichnis Organisation und Vorgehensmodell Definitionen, Ziele, Zuständigkeiten, Kompetenzen, Integration in die relevanten Geschäftsprozesse, Notfallvorsorge- und sorganisation, Ablauforganisation Geschäftsprozess- und Schadensanalyse Notfallszenarien mit Auswirkungen, kritische Geschäftsprozesse mit ihren Wiederanlauf- Anforderungen, Prioritätenliste, Kontinuitätsstrategien, Restrisiken Organisatorische und technische Vorsorgemaßnahmen Ausweichstandorte, Alarmierung, Risiko-reduzierende Maßnahmen, Datensicherung, Vereinbarung mit externen Dienstleistern Nachhaltige Einbindung des Notfallmanagements in die Unternehmenskultur Sensibilisierung und Schulung der Mitarbeiter, Einbindung in Wartungs-, Test- und Monitoringsprozesse Aufrechterhaltung und Kontrolle 18 9

10 Notfallmanagement-Prozess Initiierung des Notfallmanagements Aufrechterhaltung und kontinuierliche Verbesserung Konzeption Tests und Übungen Umsetzung des Notfallvorsorgekonzeptes 19 Umsetzung des Notfallvorsorgekonzeptes Kosten- und Aufwandsschätzung Festlegung der Umsetzungsreihenfolge der Maßnahmen Festlegen der Aufgaben und der Verantwortung Realisierungsbegleitende Maßnahmen 20 10

11 Notfallmanagement-Prozess Initiierung des Notfallmanagements Aufrechterhaltung und kontinuierliche Verbesserung Konzeption Tests und Übungen Umsetzung des Notfallvorsorgekonzeptes 21 und Krisenmanagement Phasen der Normalbetrieb Notfallvorsorge Ereignis Krisenmanagement Normalbetrieb Notfallnachsorge 100% Rückführung Wiederherstellung Nacharbeiten Wiederanlauf Reaktionszeit Notbetrieb Eskalation Sofortmaßnahmen 0% Zeit 22 11

12 und Krisenmanagement Ablauforganisation Meldung, Alarmierung und Eskalation > Zentrale Meldestelle > Alarm- und Eskalationsstufen > Alarmierungs- und Eskalationsverfahren ( Wer eskaliert, an wen eskalieren, wer wen alarmiert) > Art und Weise der Durchführung Sofortmaßnahmen Besetzung Krisenstabsraum Aufgaben und Kompetenzen des Krisenstabes aktivieren Geschäftsfortführung, Wiederanlauf und Wiederherstellung Rückführung und Nacharbeiten Analyse der Dokumentation der 23 und Krisenmanagement Psychologische Aspekte Eine Krise bedeutet enormen mentalen Stress für alle Beteiligten. Negative Stressfaktoren: Angst Emotionale Belastung Reizüberflutung Unzureichende und widersprüchliche Informationen Zeitdruck Störende Umgebungsbedingungen Positive Stressfaktoren: Motivation zu Höchstleistungen 24 12

13 und Krisenmanagement Psychologische Aspekte Folgen: Hektik Konzentrationsmängel Vergesslichkeit Zirkuläres Denken Blackouts Überschießender Aktionismus Unzureichende Problemanalyse Tunnelblick Aggressivität Völliger Kontrollverlust 25 und Krisenmanagement Psychologische Aspekte Vermeidungsmöglichkeiten Fachliche Schulungen Kenntnisse über allgemeine Problemlösungsstrategien Schulungen zur Erhöhung der Stressresistenz Weiterbildung zu psychologischen und gruppendynamischen Aspekten Vorbereitung der Teams auf die Zusammenarbeit in der Krise durch Übungen Reduzieren externer Stressfaktoren 26 13

14 und Krisenmanagement Krisenkommunikation Interne Kommunikation Meldungen, Eskalation und Alarmierung, Informationsbeschaffung, Koordination der Notfallteams, Kooperation mit externen Stellen Externe Kommunikation Ziel ist das Informieren innerhalb als auch außerhalb der Institution 27 und Krisenmanagement Zielgruppen der Krisenkommunikation Sprecher Krisenmanagement Management Mitarbeiter Anwohner Angehörige Anteilseigner Medien Aufsichts-Behörden Investoren Dienstleister Geschäftspartner Politische Vertreter Lieferanten Kunden Umweltverbände Öffentlichkeit Bürgerinitiativen Konkurrenten 28 14

15 und Krisenmanagement Notfallhandbuch Vorschlag für die Inhalte: Sofortmaßnahmenplan Krisenstabsleitfaden Krisenkommunikationsplan Geschäftsfortführungspläne Wiederanlaufpläne 29 Notfallmanagement-Prozess Initiierung des Notfallmanagements Aufrechterhaltung und kontinuierliche Verbesserung Konzeption Tests und Übungen Umsetzung des Notfallvorsorgekonzeptes 30 15

16 und Krisenmanagement Übungsarten Übungsart Zielgruppe Ablauf Aufwand/ Umfang niedrig/ mittel/ hoch/ sehr hoch handlungsorientiert diskussions - basiert operativ taktisch strategisch Test der technischen Vorsorgemaßnahmen X X niedrig Funktionstest X X mittel Plan-Review x x X niedrig Planbesprechung X x X niedrig-mittel Stabsübung x X X niedrig-mittel Stabsrahmenübung x X x X x mittel-hoch Kommunikations- und Alarmübung x X X niedrig Simulation von Szenarien X X X hoch Ernstfall- oder Vollübung X X X X sehr hoch 31 Notfallmanagement-Prozess Initiierung des Notfallmanagements Aufrechterhaltung und kontinuierliche Verbesserung Konzeption Tests und Übungen Umsetzung des Notfallvorsorgekonzeptes 32 16

17 Was hilft mir sonst noch ich weiter? Umsetzungsrahmenwerk zum Notfallmanagement III II I Entwicklungszeitraum Umsetzungsgrad III Vollständige Bearbeitung aller Phasen des Notfallmanagements Umsetzungsgrad II Präventive und reaktive Notfallreaktion definiert und beschrieben Übungen und Tests sowie kontinuierliche Weiterentwicklung in Grundsätzen beschrieben Umsetzungsgrad I Ermöglichung eines Notfallmanagements Teilweise ist die möglich oder initial vorbereitet Prozesse sind nicht beschrieben Ressourceneinsatz 33 katmakon Kontaktdaten katmakon KG Wiesenweg 4d A-6175 Kematen in Tirol post@katmakon.com Web: Ihr Ansprechpartner: Christian Pumberger Tel: ch.pumberger@katmakon.com 34 17