UMSETZUNGSRAHMENWERK ZUR ETABLIERUNG EINES NOTFALL- MANAGEMENTS

Transkript

1 UMSETZUNGSRAHMENWERK ZUR ETABLIERUNG EINES NOTFALL- MANAGEMENTS Robert Kallwies, Managing Consultant 1

2 AGENDA AGENDA 1 Notfallmanagement nach BSI-Standard Das Umsetzungsrahmenwerk zum BSI- Standard

4 NOTFALLMANAGEMENT NACH BSI-STANDARD KURZVORSTELLUNG ROBERT KALLWIES Audit-Teamleiter für ISO Audits auf der Basis von IT-Grundschutz (BSI) Mitautor des BSI-Standards Notfallmanagement Projektleiter und Mitautor / UMRA Beratungsschwerpunkte der letzten 10 Jahre: Implementierung, Prüfung und Optimierung von Business Continuity Management Systemen Etablierung IT-Notfallmanagement Einführung Informationssicherheitsmanagement-systeme 4

5 NOTFALLMANAGEMENT NACH BSI-STANDARD ZIEL EINES NOTFALLMANAGEMENTS "Ziel des Notfallmanagements ist es, sicherzustellen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz der Institution auch bei einem größeren Schadensereignis gesichert bleibt." (BSI-Standard 100-4) Quelle: BSI Standard 100-4, Seite 1 5

6 NOTFALLMANAGEMENT NACH BSI-STANDARD STATUS QUO BIS 2008: IT-GRUNDSCHUTZ-BAUSTEIN B1.3 NOTFALLVORSORGE-KONZEPT 6

7 NOTFALLMANAGEMENT NACH BSI-STANDARD STATUS QUO SEIT 2009 Schnelle Umsetzungshilfe durch unterstützende Beispiele Prozessorientierter Ansatz (PDCA) Vorschläge für Inhaltsverzeichnisse und Musterstrukturen (KANN, kein MUSS) 7

8 NOTFALLMANAGEMENT NACH BSI-STANDARD DER BSI-STANDARD BESCHREIBT: [ ] ein eigenständiges Managementsystem für die Geschäftsfortführung und die Notfallbewältigung. Ziel ist es, einen systematischen Weg aufzuzeigen, um bei Notfällen und Krisen der verschiedensten Art und Ursprungs, die zu einer Geschäftsunterbrechung führen können, schnell reagieren zu können. Er beschreibt mehr als IT-Notfallmanagement und ist daher nicht als Unterbereich des ISMS zu sehen. Quelle: BSI Standard 100-4, Seite 4 8

9 NOTFALLMANAGEMENT NACH BSI-STANDARD DER BSI-STANDARD BETRACHTET MEHR ALS DEN IT-AUSFALL Ausfall Gebäude / Infrastr. Stromausfall Bombendrohung Hochwasser Defekt an Zuleitungen Ausfallszenarien Ausfall IT Systemausfall Feuer-/ Wasserschaden Ausfall von Strom oder Klimatisierung Ausfall Personal Krankheit/Pandemie Unfall/Todesfall Streik bzw. Demonstration Ausfall Dienstleister Personalausfall beim Dienstleister Insolvenz Ausfall Infrastruktur 9

10 Vorgehen NOTFALLMANAGEMENT NACH BSI-STANDARD DER NOTFALLMANAGEMENT-PROZESS NACH BSI-STANDARD Initialisierung des Notfallmanagements Konzeption Umsetzung des Notfallvorsorgekonzepts Notfallbewältigung Übungen & Tests Aufrechterhaltung und Kontinuierliche Verbesserung 10

11 Vorgehen NOTFALLMANAGEMENT NACH BSI-STANDARD DER NOTFALLMANAGEMENT-PROZESS NACH BSI-STANDARD Initialisierung des Notfallmanagements Konzeption Umsetzung des Notfallvorsorgekonzepts Notfallbewältigung Business Impact Analyse Risikoanalyse Aufnahme des Ist-Zustands Übungen & Tests Kontinuitätsstrategien Aufrechterhaltung und Kontinuierliche Verbesserung Notfallvorsorgekonzept 11

12 NOTFALLMANAGEMENT NACH BSI-STANDARD ZUR UMSETZUNG EINES NOTFALLMANAGEMENTS WERDEN VERSCHIEDENE DOKUMENTE BENÖTIGT Notfallvorsorgekonzept Sofortmaßnahmenplan Übungsprotokoll BIA Bericht Übungskonzept Risiko Erhebungsbogen Strategie 12

13 NOTFALLMANAGEMENT NACH BSI-STANDARD HIER ERGEBEN SICH UNTERSCHIEDLICHE FRAGEN 1. Wann sollten die Dokumente erstellt werden? 2. Welche Inhalte sollten mindestens enthalten sein? 3. Welcher Personenkreis ist im Rahmen der Erstellung mit einzubeziehen? 4. Welche Voraussetzungen müssen vor der Erstellung erfüllt sein? 5. 13

15 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD DIE ETABLIERUNG EINES NOTFALLMANAGEMENTS BRINGT HERAUSFORDERUNGEN MIT SICH* Studien belegen, dass Notfallmanagement bei den Befragten einen sehr hohen Stellenwert hat, in der Praxis schätzen jedoch nur 1/3 der Befragten ihr Notfallmanagement als sehr gut bis gut ein*. Herausforderung bei der Implementierung: Personen mit geringen Praxiskenntnissen und begrenzten Ressourcen haben Schwierigkeiten Prioritäten festzulegen und den benötigten Reifegrad bzw. Umfang des Notfallmanagements zu ermitteln. Die Umsetzung kann vielfach nicht zielgerichtet angegangen werden, da Aufwände nicht eingeschätzt werden können und Ziele unklar sind. Für die Realisierung der im BSI-Standard beschriebenen Methoden fehlen Anwendern konkrete Vorgaben und Hilfsmittel. *Quellen: Ernst & Young, 2012 Global Information Security Survey, BSI-Studie zu IT-Sicherheitsstandards und Notfallmanagement 15

16 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD ZIELSTELLUNG DES UMSETZUNGSRAHMENWERKS Behörden und Institutionen einen Umsetzungsleitfaden für die Etablierung eines Notfallmanagements zur Verfügung stellen, mit dem ein Anwender mit geringen Vorkenntnissen und mit begrenztem Aufwand ein angepasstes Notfallmanagementsystem etablieren kann. 16

17 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD DER AUFBAU DES UMSETZUNGSRAHMENWERKS GLIEDERT SICH IN UNTERSCHIEDLICHE EBENEN Umsetzungsrahmenwerk (Hauptdokument) Drei Leitfäden (Beschreibung ressourcenabhängiger Detailtiefe) 5 Phasen mit 9 Modulen 70 Dokumente (Modulbeschreibungen, Dokumentenvorlagen, Ausfüllanleitungen, Erfassungsbögen und Präsentationen) In den Formaten MS Office und OpenOffice 17

18 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD ÜBERSICHT DER GLIEDERUNGSSTRUKTUR DES UMSETZUNGSRAHMENWERKS Initialisierung des Notfallmanagements Konzeption Notfallbewältigung Übungen und Tests Aufrechterhaltung und kontinuierliche Verbesserung Leitlinie Erfassung der Organisation Business Impact Analyse Erhebung und Auswertung BIA-Bericht Risikoanalyse Erhebung und Auswertung Risiko-Inventar Notfallhandbuch Notfallhandbuch Wiederanlaufplan Wiederherstellungsplan Geschäftsfortführungsplan Krisenkommunikationsplan Übungen und Tests Mittel- langfristiger Übungsplan Checkliste Übungsplanung Übungskonzept Berichtserstellung Drehbuch Audit Selbstüberprüfung Interview und Dokumentenprüfung Standardfragenkatalog (institutionsspezifische Anpassung) Strategieentwicklung Entwicklung von Kontinuitätsstrategien Kosten-Nutzen- Analyse Umsetzungsplan Notfallvorsorgekonzept Notfallvorsorgekonzept Schulung und Sensibilisierung Sensibilisierung ausgewählter Mitarbeiter Sensibilisierung aller Mitarbeiter 18

19 Entwicklungszeitraum DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD STUFEN DES UMSETZUNGSRAHMENWERKS Umsetzungsgrad III: Vollständige Bearbeitung aller Phasen des Notfallmanagements Umsetzungsgrad II: Präventive und reaktive Notfallreaktion definiert und beschrieben Übungen und Tests sowie kontinuierliche Weiterentwicklung in Grundsätzen beschrieben Umsetzungsgrad I: Ermöglichung eines Notfallmanagements Teilweise ist die Notfallbewältigung möglich oder initial vorbereitet Prozesse sind nicht beschrieben Ressourceneinsatz III II I 19

20 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD UMSETZUNG DER STUFE 1 Stufe 1 Leitlinie Business Impact Analyse Strategieentwicklung III II I Notfallhandbuch Übungen und Tests Schulung & Sensibilisierung Zeit Aufwand Personalbedarf 20

21 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD UMSETZUNG DER STUFE 2 Stufe 2 Leitlinie Business Impact Analyse Risikoanalyse (gekürzt) Strategieentwicklung Notfallvorsorgekonzept (gekürzt) III II I Notfallhandbuch Übungen und Tests (gekürzt) Audit Schulung & Sensibilisierung Zeit Aufwand Personalbedarf 21

22 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD UMSETZUNG DER STUFE 2 Stufe 3 Leitlinie Business Impact Analyse Risikoanalyse Strategieentwicklung Notfallvorsorgekonzept III II I Notfallhandbuch Übungen und Tests Audit Schulung & Sensibilisierung Zeit Aufwand Personalbedarf 22

23 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD DIE LEITFÄDEN SIND DER ROTE FADEN ZUR ETABLIERUNG DES NOTFALLMANAGEMENTSYSTEMS Folgende Beschreibungen bestehen für alle Module: Voraussetzungen zur Umsetzung Mindestanforderung zur Erreichung der definierten Stufe Mindestinhalte der Hilfsmittel Modul Eingangs- / Ausgangsinformationen Bildquelle: astrologieschule.org 23

24 Etablierung von Übungen & Tests DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD BEISPIEL: MODUL ÜBUNGEN UND TESTS Initialisierung des Notfallmanagements Erstellen des lang- und mittelfristigen Übungsplans Konzeption Umsetzung des Notfallvorsorgekonzepts Notfallbewältigung Übungen & Tests Erstellung einzelner Übungskonzepte Übungen / Tests planen und vorbereiten Übungen / Tests durchführen Aufrechterhaltung & Kontinuierliche Verbesserung Übungen / Tests nachbereiten 24

25 angepasst DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD HILFSMITTEL ZU ÜBUNGEN UND TESTS 1. Modulbeschreibung 2. Ausfüllanleitung 3. Übungsplan 4. Übungssteckbrief 5. Übungskonzept 6. Übungsdrehbuch 7. Übungseinladung 8. Präsentation 9. Protokollvorlage kurz 10. Protokollvorlage umfangreich 11. Fragebogen zur Sofortauswertung 12. Ergebnisbericht 25

26 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD HILFSMITTEL ZU ÜBUNGEN UND TESTS 1. Modulbeschreibung 2. Ausfüllanleitung 3. Übungsplan 4. Übungssteckbrief 5. Übungskonzept 6. Übungsdrehbuch 7. Übungseinladung 8. Präsentation 9. Protokollvorlage kurz 10. Protokollvorlage umfangreich 11. Fragebogen zur Sofortauswertung 12. Ergebnisbericht 26

27 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD HILFSMITTEL ZU ÜBUNGEN UND TESTS 1. Modulbeschreibung 2. Ausfüllanleitung 3. Übungsplan 4. Übungssteckbrief 5. Übungskonzept 6. Übungsdrehbuch 7. Übungseinladung 8. Präsentation 9. Protokollvorlage kurz 10. Protokollvorlage umfangreich 11. Fragebogen zur Sofortauswertung 12. Ergebnisbericht 27

28 DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD RAHMENBEDINGUNGEN UND VERÖFFENTLICHUNG FÜR DAS UMSETZUNGSRAHMENWERK Adressaten: Notfallbeauftragte, IT-Sicherheitsbeauftrage oder mit der Umsetzung beauftragte Personen Barrierearme Dokumente in MS-Office und Open-Office Dokumente sind frei zugänglich über Sicherheitsberatung des Bundes Öffentlich auf der BSI-Webseite (eingeschränkt) Veröffentlichungsstand: Finaler Draft Kurzlink: Anmerkungen/Kritik an 28

29 HISOLUTIONS BEDANKT SICH FÜR IHRE AUFMERKSAMKEIT HiSolutions AG Robert Kallwies Bouchéstraße Berlin