White Paper GRC Reihe:

Transkript

1 White Paper GRC Reihe: Thema: IT-Dokumentation Buchauszug Projektmeilenstein IT-Verbund (IT-) Notfallmanagement im Unternehmen und in der Behörde Planung, Umsetzung und Dokumentation gemäß BSI-Standard 100-4, ISO und BCI GPG Praxisleitfaden für eine softwaregestützte Implementierung des Notfallmanagements mit DocSetMinder Autor: Wirtschaftsinformatiker (BA) Krzysztof Paschke

2 Weitere Informationen: GRC Partner GmbH Governance Risk & Compliance Bollhörnkai Kiel T F Wirtschaftsinformatiker (BA) Krzysztof Paschke (IT-) Notfallmanagement im Unternehmen und in der Behörde. Planung, Umsetzung und Dokumentation gemäß BSI-Standard 100-4, ISO und BCI GPG Praxisleitfaden für eine softwaregestützte Implementierung des Notfallmanagements mit DocSetMinder ISBN

3 1.1 Meilenstein 3 IT-Verbund Ziel Ziel diese Projektphase ist die Ist-Aufnahme und Dokumentation des IT-Verbundes. Die Ergebnisse werden im zentralen DocSetMinder -Repository gespeichert und somit für alle Projektmitarbeiter in weiteren Phasen des Notfallmanagement-Projektes bereitgestellt. Die hier aufgenommenen Sachverhalte werden u.a. im Meilenstein 4 (IT) Notfallmanagement Vorgang 2 Business Impact Analyse, Vorgang 3 Risikoanalyse, Vorgang 4 Kontinuitätsstrategie und Vorgang 7 Notfallhandbücher verwendet Verweise auf Standards BSI 100-4: Kapitel Erhebung der Ressourcen für Normal- und Notbetrieb S.45. Für die Durchführung von Geschäftsprozessen wird eine Vielzahl von Ressourcen benötigt. Für die kritischen Geschäftsprozesse wird nun erhoben, welche Ressourcen im Normalbetrieb benötigt werden und welche exklusiv bzw. von mehreren Prozessen genutzt werden. Diese Informationen sind für die Entwicklung von Wiederanlaufplänen relevant und sollten mit Sorgfalt erhoben werden 1. ISO 22301: Kapitel Business impact analysis, S.15. The business impact analysis shall include the following:... d) identifying dependencies and supporting resources for these activities, including suppliers, outsource partners and other relevant interested parties 2. BCI-GPG 2013: Phase PP3 - Analysis, The Operational BIA, S 56. During the operational BIA it is necessary to collect information about the resources required to resume and continue the business activities, supporting the organization s objectives and obligations.resources (IT, information, equipment, materials etc.) Motivation für die Erstellung der IT-Dokumentation In Kapitel Fehler! Verweisquelle konnte nicht gefunden werden. vorgestellten Notfallmanagement- Standards fordern in ihrer Umsetzung die genaue Kenntnis der Unternehmensorganisation. Die IT- Organisation ist ein fester Bestandteil der Unternehmensorganisation. Sie kann in die Aufbau- und Ablauforganisation sowie in die IT-Infrastruktur gegliedert werden. Der Bereich der Aufbau- und Ablauforganisation ist bereits in weiteren Kapiteln beschrieben worden. Die IT-Infrastruktur kann in Abhängigkeit von der Größe und den Aufgaben des Unternehmens oder der Behörde einen großen Umfang und hohe Komplexität erreichen. Ihre strukturierte und aktuelle Dokumentation ist von elementarer Bedeutung für das Notfallmanagement. Sie liefert Grundinformationen für die Business Impact Analyse, die Risikoanalyse, die Notfallvorsorge und Notfallbewältigung. Wesentliche Teile der IT-Dokumentation werden in Notfallhandbüchern verwendet. In vielen Unternehmen ist die IT- Dokumentation entweder nur partiell, nicht mehr aktuell oder gar nicht vorhanden. Ihre Erstellung, regelmäßige Aktualisierung und der daraus resultierende Mehrwert für das Unternehmen und seine Organisation wird oft in Frage gestellt oder nicht erkannt. In der Argumentation gegen eine Dokumentation stehen oft der Aufwand der Erstellung der Dokumentation im Vordergrund und nicht 1 Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard Quelle: International Organization for Standardization (ISO), ISO Quelle: Business Continuity Institutes (BCI), Good Practice Guidelines (GPG) 2013.

4 der viel entscheidenderer Nutzen. Die häufigsten Argumente gegen die Erstellung der IT- Dokumentation sind: Erheblicher zeitlicher, personeller und organisatorischer Aufwand Fehlende Ressourcen Aufgabenintensive Tagesgeschäft Unklarheit über den entstehenden Mehrwert Die Notwendigkeit der Dokumentation wird in Frage gestellt Bagatellisierung Dynamik der IT-Infrastruktur und damit verbundene permanente Aktualisierung der Dokumentation Bewusste Aufrechterhaltung der Abhängigkeit zwischen dem Mitarbeiter (seinem Know- How) und dem Unternehmen Fehlendes Wissen über Inhalte (Struktur) und Methodik der Erstellung und Aktualisierung einer solchen Dokumentation Einsatz von Inventory- und Management-Tools als Ersatz für eine strukturierte IT- Dokumentation etc Inventarisierungs-Tools für die IT-Infrastruktur Bei einer hohen Komplexität des IT-Verbundes und einer großen Anzahl von Netzwerkkomponenten ist eine Inventarisierung für eine reibungslose Administration unabdingbar. Den IT-Verantwortlichen und Administratoren steht eine beachtliche Anzahl von sowohl kostenlosen als auch kostenpflichtigen Management- und Inventarisierungs-Tools zur Auswahl. Im Wesentlichen unterstützen die Tools folgende Eigenschaften: Hardware-Inventarisierung Software-Inventarisierung Lizenzmanagement Softwareverteilung Patch-Management Management der Netzwerke und Ressourcen Diese Tools erkennen eine Vielzahl von Informationen der eingesetzten Netzwerkkomponenten, u.a.: Hersteller und Produkt System ID und Seriennummer IP- und NIC-Adresse Ressourcen (Prozessor, RAM etc.) Betriebssystem und Service Pack (Patch-Level) Installierte Anwendungen Definierbare Eigenschaften der CIs etc.

5 Die gescannten technischen Informationen werden in der Regel in einer CMDB-Datenbank 4 gespeichert, den Administratoren und Support Mitarbeitern zur Verfügung gestellt. Neben den rein technischen werden zusätzlich noch administrative Informationen benötigt. Dazu gehören u.a.: Fachlich verantwortliche Person Technisch verantwortliche Person Kaufverträge inkl. Garantieansprüche Leasing- oder Mietverträge Service Level Agreements Zuordnung der Kostenstellen und Kostenarten Notfallplan Schutzbedarf (optional) etc. In der kurzen Skizzierung der Management- und Inventarisierungs-Tools geht es nicht primär um ihre Bewertung. Vielmehr liefern sie eine beachtliche Anzahl an Informationen über die verfügbaren Schnittstellen, die in einer IT-Dokumentation verwendet werden können. Somit senken sie den Dokumentationsaufwand des IT-Verbundes erheblich, nicht nur während der Initial-Dokumentation, sondern auch im Laufe der Zeit bei ihrer Aktualisierung. Der Einsatz einer der vielen auf dem Markt verfügbaren Management- und Inventarisierungs-Lösungen für die Erfassung von SNMP 5 - oder WMI 6 - fähigen Komponenten eines IT-Verbundes ist zwar wichtig und sinnvoll, aber nicht ausreichend. Zu beachten ist, dass nicht alle Informationen, die ein Management- und Inventarisierungs-Tools über eine IT-Komponente scannen kann, in der IT- und Notfallmanagement-Dokumentation benötigt werden. Vielmehr geht es um einige wenige essentielle Informationen, die zur Identifikation und Zuordnung der IT-Komponenten im IT-Verbund beitragen Inhalt der IT-Dokumentation Die bereits skizzierten Standards und Normen der unterschiedlichen Berufsverbände und Organisationen betonen die Notwendigkeit einer aktuellen IT-Dokumentation. Obwohl jedes Unternehmen über eine mehr oder weniger komplexe IT-Infrastruktur (-Organisation) verfügt und von ihrer Verfügbarkeit, Integrität und Vertraulichkeit abhängig ist, gibt es keine verbindlichen Standards oder Normen für eine Struktur und den Inhalt der IT-Dokumentation. Auch die im deutschsprachigen Raum erhältliche Literatur zu diesem Thema ist sehr rar. Die Autoren Manuela und Georg Reiss haben in ihrer Publikation 7 unterschiedliche Aspekte der IT-Dokumentation ausführlich beschrieben. Die in der vorliegenden Publikation beschriebene Strukturen und Inhalte der IT-Dokumentation richten sich nach folgenden Merkmalen: Ziele, Größe und geographische Verteilung des Unternehmens Regulatorische Anforderungen Verpflichtungen gegenüber Dritten (Geschäftspartner) Aufgaben der IT-Organisation Komplexität der IT-Organisation 4 CMDB = Configuration Management Database. 5 SNMP= Simple Network Management Protocol. Ein Netzwerkverwaltungsprotokoll für eine automatische Erfassung der Netzwerkkomponenten wie Server, Arbeitsplätze, aktive Netzwerkkomponenten etc. 6 WMI=Windows Management Instrumentation. Es handelt sich um eine in Microsoft Windows-Betriebssystem integrierte Technologie für das Management von Netzwerkkomponenten. 7 Manuela und Georg Reiss Praxishandbuch IT-Dokumentation. Hanser Verlag 2014.

6 Strukturanalyse und Schutzbedarf der IT-Infrastruktur Komponenten der IT-Infrastruktur Eine vollständige und aktuelle IT-Dokumentation sollte nicht nur die notwendigen Informationen für die Administration, die weitere Entwicklung und Verbesserung des IT-Verbundes liefern, sondern auch den unterschiedlichen Anforderungen der Standards und Prüfungen, wie z.b. IDW PS 330, PS 951, ISO 27001, 20000, etc. genügen. Abbildung 1 stellt eine mögliche Struktur der IT- Dokumentation dar. In der Publikation werden zwei mögliche Methoden für die Erstellung und Aktualisierung der Dokumentation kurz vorgestellt. Die Methoden beschränken sich nicht nur auf die Infrastruktur der IT-Landschaft, sondern auch auf die Unternehmensorganisation. Abbildung 1: Struktur der IT-Dokumentation IT-Infrastruktur Die Aufzeichnung der IT-Infrastruktur stellt die Basis der IT-Dokumentation dar. Ohne eine vollständige und aktuelle Dokumentation der IT-Infrastruktur können weitere Teile der IT- Dokumentation nicht realisiert werden. Sie ist gemeinsam mit der Dokumentation der Unternehmensstruktur und -prozesse für die Durchführung der Business Impact Analyse und Risikoanalyse notwendig. Bei der Umsetzung des BSI-Standards bzw. ISO ist sie für die Durchführung der (IT) Strukturanalyse unerlässlich IT-Betrieb Der IT-Betrieb regelt verbindlich, strukturiert und wiederholbar sämtliche Aktivitäten und Verantwortlichkeiten innerhalb der IT-Organisation. Diese werden oft in Form eines Betriebshandbuches zusammengefasst. Es beschreibt den vollständigen störungsfreien und sicheren Ablauf zur Erfüllung der zugesicherten (oder geplanten) Leistungen. Die in Kapitel Fehler! Verweisquelle konnte nicht gefunden werden. beschriebene Prozessstruktur erlaubt eine prozessorientierte Definition des Regelbetriebes einer IT-Organisation auf Basis des ITIL-Standards IT-Notfallmanagement Das IT-Notfallmanagement wird in Kapitel Notfallmanagement ausführlich beschrieben IT-Sicherheit Die Sicherheit ist einer der wichtigsten Aspekte des IT-Betriebes in einem Unternehmen oder einer Behörde. Informationssicherheit mit ihren Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit

7 ist für die Erreichung der Unternehmensziele unabdingbar. Die Informationen (Daten) sollten adäquat geschützt werden. Bei der IT-Sicherheit handelt es sich nicht nur um die eingesetzten technischen Lösungen 8 sondern auch um organisatorische Maßnahmen und somit um eine ganzheitliche Vorgehensweise. Sie sollte in einem IT-Sicherheit-Konzept detailliert definiert werden. Das Konzept dient der technischen und organisatorischen Umsetzung der IT-Sicherheit IT-Konzepte Bei einem IT-Konzept handelt es sich um ein strategisches Dokument 9, das die Einführung oder Änderung einer bestehenden IT-Technologie und die damit verbundenen Ressourcen oder Abläufe beschreibt. Ein Konzept ist oft Bestandteil eines P-D-C-A-Zyklus (vgl. Abbildung 2). Im Rahmen der IST-Aufnahme werden die aktuelle IT-Organisation, Infrastruktur und Ressourcen dokumentiert. Abbildung 2: IT-Konzept P-D-C-A Zyklus. Sie kann in Form eines Lastenheftes erfasst werden und beinhaltet die Anforderungen an zukünftige technische und organisatorische Erweiterungen. In der Bewertungsphase wird ein IST-SOLL-Vergleich durchgeführt. Bewertet wird die Notwendigkeit der Erweiterung. Im Konzept wird die Umsetzung des Vorhabens beschrieben. Häufig werden zwei oder drei Lösungswege mit unterschiedlichen technischen Aspekten skizziert. Ein Konzept dient nicht nur als Vorlage für die Umsetzung sondern auch als Entscheidungsgrundlage für die Verantwortlichen. Ein wesentlicher Abschnitt des Konzeptes ist die Bewertung der technischen, organisatorischen und betriebswirtschaftlichen Machbarkeit mit den daraus resultierenden Vor- und Nachteilen. Eine detaillierte Umsetzung des Konzeptes kann in einem Pflichtenheft ergänzt werden. In der Einführungsphase wird das Konzept ggf. Pflichtenheft realisiert IT-Projekte Wesentliche Änderungen in der IT-Organisation, wie die Beschaffung und Einführung von neuen Technologien oder eine Veränderung der Prozesse werden in der Regel im Rahmen von IT-Projekten durchgeführt. Die Vorgehensweise eines (IT-)Projektes gemäß einem ISO-Standard ist bereits ausführlich beschrieben worden (siehe 8 Vgl. : Bundesamt für Sicherheit in der Informationstechnik (BSI), Standard V. 2.0, Kapitel 2, S Vgl. Kapitel IT-Konzept S. 106, Praxishandbuch IT-Dokumentation, Manuela und Georg Reiss. Addison-Wesley Verlag 2010.