Management operationaler IT- und Prozess-Risiken

Transkript

1 Karlheinz H. W. Thies Management operationaler IT- und Prozess-Risiken Methoden für eine Risikobewältigungsstrategie 4u Springer

2 1 Einführung 1 2 IT-Sicherheitspolicy Einordnung der IT-Sicherheitspolicy Definition des Geltungsbereichs Sicherheitsgrundsätze Sicherheitsgrundsatz 1: Unternehmensziel Sicherheitsgrundsatz 2: Schadensvermeidung Sicherheitsgrundsatz 3: Sicherheitsbewusstsein Sicherheitsgrundsatz 4: Gesetzliche, aufsichtsrechtliche und vertragliche Pflichten Sicherheitsgrundsatz 5: Maßnahmen gemäß allgemeingültiger Sicherheitsstandards Sicherheitsgrundsatz 6: Aufrechterhaltung des Geschäftsbetriebes Sicherheitsgrundsatz 7: Sicherheitsarchitektur 7 Jl% Verantwortlichkeiten Geschäftsführung und Management Sicherheitsorganisation Mitarbeiter Umsetzung Sicherheitsarchitektur Aufgabengebiete Kontrolle 12 3 Operationale Risiken Grundbetrachtung der operationalen Risiken Warum sind die operationalen Risiken für ein Unternehmen zu berücksichtigen? 15

3 3.1.2 Übersicht Risiken Gesetzliche und quasigesetzliche" Vorgaben KonTraG (u.a. Änderungen des AktG und des HGB) 18 4 Aufbau eines Managements operationaler IT-Risiken IT-Risikobetrachtung über ein Schichtenmodell Welche Sicherheit ist angemessen? Grobe Vorgehensweise für ein Risikomanagement Das operationale Risiko" Aktualisierung der Werte des operationalen Risikos Rollierender Report Operationales Risiko" Rahmen für Risikoeinschätzung operationaler Risiken Definitionen Schutzbedürftigkeitsskalen Feststellung des Schutzbedarfs Qualitative Risikoeinschätzung einzelner Produkte Quantitative Risikoeinschätzung eines Produktes Steuerung der operationalen Risiken Aufbau des Reporting mit Darstellung der Risiken auf Prozess-/Produktebene Risikodarstellung der Prozesse/Anwendungen in einem Risikoportfolio Risikobewältigungsstrategien Risikomanagement operationaler Risiken 38 5 Strukturierte Risikoanalyse Schwachstellenanalyse und Risikoeinschätzung für die einzelnen IT-Systeme/Anwendungen mit der Methode FMEA / : Übersicht.'.' Kurzbeschreibung der Methode Begriffsbestimmung Anwendung der Methode FMEA Strukturierte Risikoanalyse (smart scan) Generelle Vorgehensweise Übersicht über die Klassifizierung und Einschätzung Feststellung des Schutzbedarfs Checkliste Feststellung der Schutzbedarfsklasse bei Prozessen/Anwendungen 54 ' Checkliste Feststellung Schutzbedarfsklassen bei IT-Systemen/IT-Infrastruktur Ermittlung des Gesamtschutzbedarfs Feststellung der Grundsicherheit von IT-Komponenten und Infrastruktur 59

4 5.2.8 Feststellung der Sicherheit und Verfügbarkeit von Anwendungen Feststellung der Risikovorsorge Feststellung des Risikos Zuordnung und Bewertung der Risikoanalyse für die FMEA Überführung der Bewertung in die FMEA 65 6 Das IT-Security & Contingency Management Warum IT-Security & Contingency Management? Risiken im Fokus des IT-Security & Contingency Managements Aufbau und Ablauforganisation des IT-Security & Contingency Managements Zuständigkeiten Aufbauorganisation Teamleitung IT-Security & Contingency Management Rolle: Security & Prevention IT-Systeme/Infrastruktur Rolle: Contingency Management Fachbereichsbetreuung Rolle: IT-Risikosteuerung Schnittstellen zu anderen Bereichen Besondere Aufgaben Anforderungsprofil an Mitarbeiter des IT-Security & Contingency Managements 75 7 IT-Krisenorganisation Aufbauorganisation des IT-Krisenmanagements Zusammensetzung, Kompetenzen und Informationspflichten ^ der Krisenstäbe Operativer Krisenstab Strategischer Krisenstab Verhältnis zwischen den beiden Krisenstäben Zusammenkunft des Krisenstabs (Kommandozentrale) Auslöser für die Aktivierung des Krisenstabs Arbeitsaufnahme des operativen Krisenstabs Bilden von Arbeitsgruppen Unterlagen für den Krisenstab Verfahrensanweisungen zu einzelnen K-Fall-Situationen Brand Wassereinbruch Stromausfall Ausfall der Klimaanlage 95

5 7.7.5 Flugzeugabsturz Geiselnahme Ausfall der Datenübertragung intern, zum RZ, zu den Kunden Ausfall des Host, des Rechenzentrums Verstrahlung, Kontamination, Pandemie Sabotage Spionage 97 8 Präventiv-, Notfall-, K-Fall-Planung Präventiv- und Ausfallvermeidungsmaßnahmen Generelle Vorgehensweise Präventivmaßnahmen, die einen möglichen Schaden verlagern Präventiv- und Ausfallvermeidungsmaßnahmen, die den Eintritt des Notfalles verhindern Präventivmaßnahmen, die die Ausübung des Notfallplans ermöglichen Praktische Umsetzung und Anwendung Bestehende Grundsicherheit in technischen Räumen Maßnahmen in der Projektarbeit Maßnahmen in der Linienaufgabe Verfügbarkeitsklasse Überprüfung von Präventivund Ausfallvermeidungsmaßnahmen Versicherung Checkliste zur Feststellung des Schutzbedarfs bei Präventiv- und Ausfallvermeidungsmaßnahmen Checkliste zur Überprüfung von Ausfallvermeidungsmaßnahmen Notfall- und Kontinuitätspläne Inhalte des Notfallhandbuches Handhabung des Notfallhandbuches (IT-Krisenstab, Notfallpläne, Anhang) Ziele des Notfallhandbuches Praktische Anwendung und Umsetzung Notfall- und K-Fall-Übungen Notfallübungen K-Fall-Übungen 121 Anhang 129 A.l Begriffsdefinitionen Sicherheit 129 A.2 Checkliste: Organisation der IT-Sicherheit 131 A.3 Checklisten für innere Sicherheit 132 A.4 Checklisten für äußere Sicherheit 132

6 A.5 Checkliste Mitarbeiter 133 A.6 Checkliste Datensicherung 133 A.7 Checkliste Risikoanalyse und Sicherheitsziele 134 A.8 Mustervorlage -Richtlinien 134 I. Gegenstand und Geltungsbereich 134 II. Verhaltensgrundsätze 135 III. Einwilligung und Vertretungsregelung 136 IV. Leistungs- und Verhaltenskontrolle/Datenschutz für 136 A.9 Übersicht von Normen für Zwecke des Notfallund Kontinuitätsmanagements 137 Abkürzungsverzeichnis 139 Abbildungsverzeichnis 141 Tabellenverzeichnis 143 Literatur- und Quellenverweise 145 Index 147