IT Notfallhandbuch: Das große Missverständnis

Transkript

1 IT Notfallhandbuch: Das große Missverständnis 13. Deutscher IT Sicherheitskongress Mai 2013 Manuela Reiss Manuela Reiss April

2 Auszug aus einem Gespräch zum Thema IT Notfallhandbuch MA1: Kommen wir nun zum Bereich Notfalldokumentation. Haben wir ein Notfallhandbuch, ein Notfallkonzept und ein Testkonzept? MA2: Notfallkonzept? Wir haben ein Notfallhandbuch und unser Backup testen wir einmal im Jahr. Reicht das nicht? MA1: Wie definieren wir Notfall? Und basieren unsere Notfallpläne auf den Anforderungen der Fachbereiche? Liegt uns eine BIA vor? MA2: BIA? Bei uns ist ein Stromausfall ein Notfall. Den haben wir beschrieben. MA1: Für welche Notfallszenarien haben wir bereits Geschäftsfortführungspläne für den Notbetrieb und Wiederanlaufpläne? MA2: Notbetrieb? Wir haben ein Handbuch in dem die Wiederherstellung unserer Systeme beschrieben ist. Außerdem haben wir doch unsere Betriebsdokumentation. Manuela Reiss April

3 Agenda Die Rolle der IT im unternehmensweiten Notfallmanagement Anforderungen an die Notfalldokumentation Das Notfallhandbuch aus Sicht von IT SCM Manuela Reiss April

4 DIE ROLLE DER IT IM UNTERNEHMENSWEITEN NOTFALLMANAGEMENT Manuela Reiss April

5 IT Notfallmanagement wie es häufig zu finden ist Auf Seiten der IT Ein Unternehmen betreibt ein Rechenzentrum Ausfallsicherheit bietet ein zweites Rechenzentrum mit Fast Recovery Es existieren Pläne für die Wiederherstellung der einzelnen Systeme Die IT schätzt für die Wiederherstellung aller Services etwa drei Arbeitstage (Einspielen von Images, Datensicherungen etc.). Anforderungen an die IT von Seiten des Business sind nicht spezifiziert Auf Seiten des Business Ein unternehmensweites Notfallmanagement existiert nur punktuell Notfallmanagement wird als Aufgabe der IT gesehen Glaubt man, dass mit dem Ausweichrechenzentrum alle Services unterbrechungsfrei verfügbar sind Manuela Reiss April

6 Steigende Anforderungen an die IT durch Serviceorientierung Personal Systeme Infrastruktur Services Prozesse Manuela Reiss April

7 Trennung der Verantwortung ist wichtig Business Continuity Management (BCM) Stellt die Verfügbarkeit der kritischen Geschäftsprozesse sicher Definiert Anforderungen an die IT Services aus Geschäftsprozesssicht IT Service Continuity Management (IT SCM) Ist integraler Bestandteil eines übergeordneten BCM Definiert und mindert IT Risiken Stellt sicher, dass auch im Notfall das definierte Mindestmaß an IT Services zur Verfügung steht Manuela Reiss April

8 ANFORDERUNGEN AN DIE NOTFALL DOKUMENTATION Manuela Reiss April

9 Nationale und Internationale Continuity Standards Manuela Reiss April

10 Notfallmanagement ist mehr als Notfallbewältigung Notfallvorsorge Notfallbewältigung Prüfung und Verbesserung Business Impact Analyse Risikoanalyse Kontinuitätsstrategien Notfallvorsorgekonzept Notfallhandbuch Wiederanlaufpläne Geschäftsfortführungspläne Wiederherstellungspläne Test und Übungskonzept Schulungskonzept Auditplanung Manuela Reiss April

11 Hilfreiche Vorlagen im BSI Umsetzungsrahmenwerk (UMRA) UMRA beinhaltet Leitfäden, Modulbeschreibungen, Ausfüllanleitungen, Dokumentenvorlagen und Präsentationen Quelle: Themen/ITGrundschutz/ITGru ndschutzstandards/umsetzun gsrahmenwerk/umra.html Manuela Reiss April

12 NOTFALLHANDBUCH AUS SICHT VON IT SCM Manuela Reiss April

13 Notfallhandbuch Dokumentation der Notfallbewältigungsmaßnahmen Ziel des IT Notfallhandbuchs: Aufrechterhaltung des IT Betriebs nach Notfällen Dies beinhaltet: Etablierung einer IT Notfallbewältigungsorganisation Wiederanlauf kritischer IT Services Etablierung eines anforderungsgerechten Notbetriebs Bereitstellung eines Notfall Support für Kunden / Fachabteilungen Wiederherstellung der ausgefallenen IT Services ITIL verwendet hierfür den Begriff IT Service Continuity Plan. Dieser ist Bestandteil des Business Continuity Plan Manuela Reiss April

14 Das Notfallhandbuch gibt es nicht Unternehmens Notfallhandbuch IT SCM Notfallhandbuch IT Notfallorganisation Notfallorganisation IT Notfallbewältigung Notfallbewältigung Wiederanlaufpläne und Geschäftsfortführungspläne für verschiedene Szenarien Wiederanlaufpläne und Geschäftsfortführungspläne für IT Services / IT Szenarien Wiederherstellungspläne für IT Komponenten Manuela Reiss April

15 Dokumentation IT Notfallorganisation (Auszug) Schnittstelle zum Krisenstab definieren Definition gemeinsamer Alarmierungspläne, Festlegung von Verantwortlichkeiten Schnittstellen zu Facility Management definieren Manuela Reiss April

16 Dokumentation IT Notfallbewältigung (Auszug) Rettungsmaßnahmen z. B. mit BCM abstimmen Schnittstellen und Berichtswege definieren Definition von Schnittstellen zum Unter nehmensnotfall Support Manuela Reiss April

17 Häufig vernachlässigt: Definition eines Notbetriebs Wiederanlaufpläne und Geschäftsfortführungspläne Sollen das Erreichen eines geordneten Notbetriebs sicherstellen Beschreiben alle Maßnahmen zur Aufrechterhaltung eines eingeschränkten Notbetriebs für spezifische Szenarien Enthalten Maßnahmen zur Rückführung in den Normalbetrieb Typische Szenarien: Ausfall eines Standortes Ausfall von Personal Ausfall eines Dienstleisters Ausfall von IT Die IT muss die Pläne für IT bezogene Szenarien bzw. für die kritischen IT Services (auf Basis der BIA) liefern Manuela Reiss April

18 F Dokumentation ist kein Selbstzweck benötigt wird ein dokumentiertes Notfallmanagement A Das Notfallhandbuch ist nur ein Teil einer ganzheitlichen Notfalldokumentation Z Die Betriebsdokumentation ist keine Notfalldokumentation zu wissen welche Systeme im Einsatz sind reicht nicht I Wichtig ist die Etablierung und Dokumentation eines anforderungsgerechten Notbetriebs (Geschäftsfortführungspläne u.a.) T Das IT Notfallhandbuch muss Bestandteil eines unternehmensweiten Notfallhandbuchs sein Wichtig: Schnittstellen und Verantwortlichkeiten definieren Manuela Reiss April

19 Viel Erfolg! Manuela Reiss Tel Manuela Reiss April