(IT-) Notfallmanagement. gemäß BSI-Standard Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

Transkript

1 Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

2 Agenda 1.Definition 2.Normen und Standards 3.Aufbauorganisation im Notfallmanagement 4.Business Impact Analyse [BIA] 5.Risikoanalyse [RIA] 6.Ablauforganisation und Notfallhandbücher 7.Tests und Übungen 8.Monitoring und Verbesserung 2 d.velop digital solutions GmbH

3 Notfallmanagement Notfälle bei unseren Kunden: Gleichzeitiger Ausfall von redundanten Klimaanlagen (Stadtwerke) Gleichzeitiger Ausfall von redundanten Klimaanlagen (Autozulieferer) Ausfall der Speichersysteme während der Wartung (Rechenzentrum) Bombendrohung (Körperschaft des öffentlichen Rechts) 3 d.velop digital solutions GmbH

5 1. Definition und Motivation Definition: Notfallmanagement ist ein Managementprozess mit dem Ziel, gravierende Risiken für eine Institution, die das Überleben gefährden, frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren (*) Begriffe Notfallmanagement, Business Continuity Management und betriebliches Kontinuitätsmanagement sind gleichzusetzen IT-Notfallmanagement ist ein Teil des Notfallmanagements (*) (*) Quelle: BSI-Standard d.velop digital solutions GmbH

6 Agenda 1.Definition 2.Normen und Standards 3.Aufbauorganisation im Notfallmanagement 4.Business Impact Analyse [BIA] 5.Risikoanalyse [RIA] 6.Ablauforganisation und Notfallhandbücher 7.Tests und Übungen 8.Monitoring und Verbesserung

7 2. Normen und Standards Welche Normen und Standards sind wichtig? Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Kenntnisse und Dokumentation des IT-Verbundes werden vorausgesetzt. Kenntnisse und Dokumentation der Unternehmens- /Behördenorganisation werden vorausgesetzt. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen

8 2. Normen und Standards Normen und Standards (warum?): Sehr gute Umsetzungshilfe (Leitfaden) Einheitliche Vorgaben und Methoden Transparenz, Vergleichbarkeit und Nachvollziehbarkeit Erlauben zuverlässige Projekt- und Kostenplanung Hohe Akzeptanz in den Unternehmen und Behörden Zertifizierung durch externe Stellen möglich 8 d.velop digital solutions GmbH

9 2. Normen und Standards Normen und Standards: Unternehmensorganisation DIN EN ISO 9001 und/oder IT-Verbund IT-Dokumentation (z.b. nach BSI-Standard 100-2) Strukturierte IT-Dokumentation (z.b. DocSetMinder) Notfallmanagement BSI-Standard und weitere Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 9 d.velop digital solutions GmbH

11 4. Aufbauorganisation im Notfallmanagement Initiierung und Leitlinie: Initiierung, Steuerung und Kontrolle durch die Geschäftsleitung Leitlinie Rahmenbedingungen für Notfallmanagement Geltungsbereich Ziel und Zweck Verantwortlichkeiten Notfallbeauftragte Notfallteams Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Meilenstein - Unternehmensorganisation 11 d.velop digital solutions GmbH

12 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation: Notfallorganisation Notfallbeauftragte Notfallkoordinatoren (optional) Notfallteams Fremde Dritte (Blaulichtorganisationen, Dienstleister) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation 12 d.velop digital solutions GmbH

13 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation (Beispiel): Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation

15 5. Business Impact Analyse [BIA] Business Impact Analyse - Prozess: Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse

16 5. Business Impact Analyse [BIA] Welche Informationen werden für die BIA benötigt? Aufbauorganisation OU1 OU2 OUn Ablauforganisation P 1 P 2 P 3 P 4 P 5 Pn Mitarbeiter Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Anwendungen IT-Infrastruktur Server, Arbeitsplätze, Netzwerk Daten

17 5. Business Impact Analyse [BIA] Schritt 1. Schadensanalyse: Schadensszenarien Beeinträchtigung der persönlichen Unversehrtheit Finanzielle Auswirkung Beeinträchtigung der Aufgabenerfüllung Verstoß gegen Gesetze, Vorschriften und Verträge Imageschaden Schadenskategorien niedrig normal hoch sehr hoch 17 d.velop digital solutions GmbH

18 5. Business Impact Analyse [BIA] Schritt 2. Wiederanlaufparameter (Kritikalität): Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse

19 5. Business Impact Analyse [BIA] Schritt 2. Wiederanlaufparameter (Kritikalität): MTA := Maximal tolerierbare Ausfallzeit WAZ := Wiederanlaufzeit Notbetriebszeit Wiederanlaufniveau Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 19 d.velop digital solutions GmbH

20 5. Business Impact Analyse [BIA] Schritt 3. Ressourcen für Normal- und Notbetrieb: IT-Dokumentation als Voraussetzung Ressource Normalbetrieb Notbetrieb Mitarbeiter 45 5 Prozess Rechnungswesen Kreditoren und Bankenbuchhaltung Anwendung Hauptanwendung Vorschlag: Screenshot-Folie Hauptanwendung (auch unter den Masterfolien angelegt) Server /BS /Dienste Server-Farm 4x HP Daten ERP DB (vollständig) ERP DB (vollständig) Arbeitsplätze 45 5 Räume RZ Ausweich-Rechenzentrum Gebäude Hauptgebäude Provider Dienstleister XYZ Dienstleister XYZ Dienstleister. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse

21 5. Business Impact Analyse [BIA] Das Ergebnis der Business Impact Analyse: P 1 P 2 P 3 P 4 P 5 Pn Unternehmensprozesse = Fachabteilung IT-Abteilung P 1 P 5 P 12 kritische Prozesse

23 6. Risikoanalyse [RIA] Risikoanalyse für kritische Prozesse und Ressourcen: Die Risikoanalyse dient die Gefährdungen zu identifizieren, die eine Unterbrechung der Prozesse verursachen können, und die damit verbundenen Risiken zu bewerten (*) Risikoanalyse nur für kritische Prozesse (siehe BIA) Standards z.b. BSI-Standard 100-3, ISO oder ISO Risikoidentifikation (z.b. BSI 46 Elementare Gefährdungen) Risikobewertung = JA oder NEIN Risikobewertung = Eintrittswahrscheinlichkeit * Auswirkung (*) Quelle: BSI-Standard d.velop digital solutions GmbH

24 6. Risikoanalyse [RIA] Ergebnis der Risikoanalyse: Basis für die Notfallvorsorge (Maßnahmen) Risikobehandlung Übernahme - ohne Maßnahmen akzeptiert Transfer - Versicherung oder Dienstleister Vermeidung - Reorganisation Reduktion - Umsetzung von Maßnahmen Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 3 Risikoanalyse 24 d.velop digital solutions GmbH

25 6. Risikoanalyse [RIA] Risikobehandlung (Beispiele): Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 3 Risikoanalyse

27 8. Ablauforganisation und Notfallhandbücher Ablauforganisation: Definitionen (Störung, Notfall, Krise, Katastrophe) Zu klären sind folgende Fragen: Ab wann geht die Störung in einen Notfall über? Wer entscheidet darüber? Alarmierung Sofortmaßnahmen Geschäftsfortführungspläne und Wiederanlaufpläne Notfallhandbuch Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation 27 d.velop digital solutions GmbH

28 8. Ablauforganisation und Notfallhandbücher Ablauforganisation: Definitionen (Störung, Notfall, Krise, Katastrophe) Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation

29 8. Ablauforganisation und Notfallhandbücher Alarmierung in der IT Beispiel 1: Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation

30 8. Ablauforganisation und Notfallhandbücher Notfallhandbuch: Ausführbares Ergebnis der Notfallvorsorge Einzige verbindliche Beschreibung aller Handlungen, Maßnahmen und Zuständigkeiten im Notfall Abfolge von Handlungen zur Behebung des Schadensereignisses Klar strukturiert Klar formuliert Jederzeit verfügbar und aktuell 30 d.velop digital solutions GmbH

31 8. Ablauforganisation und Notfallhandbücher Notfallhandbuch: Papier vs. digitales Notfallhandbuch 2 1 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 7 Notfallhandbücher

33 9. Tests und Übungen Test und Übung: Funktionsfähigkeit der Notfallplanung kann nur im Notfall selbst oder während der Tests und Übungen festgestellt werden Planung und Durchführung regelmäßig geplant analysiert Vgl. (IT) Notfallm. im Unternehmen und in der Behörde Kap.7.13 Meilenstein 5 Notfall-Übungen und Monitoring 33 d.velop digital solutions GmbH

34 9. Tests und Übungen Test und Übung: Prüfung der definierten Wiederanlaufparameter Wiederanlaufzeit Wiederanlaufniveau Handlungsanweisungen Vgl. (IT) Notfallm. im Unternehmen und in der Behörde Kap.7.13 Meilenstein 5 Notfall-Übungen und Monitoring 34 d.velop digital solutions GmbH

36 10. Monitoring und Verbesserung Monitoring: Regelmäßige Überprüfung der Sachverhalte P-D-C-A z.b. Organisation, BIA, Risikoanalyse etc. z.b. Telefonlisten, externe Ansprechpartner etc. Vgl. (IT) Notfallm. im Unternehmen und in der Behörde Kap.7.13 Meilenstein 5 Notfall-Übungen und Monitoring 36 d.velop digital solutions GmbH

37 Vielen Dank für Ihre Aufmerksamkeit Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Bollhörnkai 1 D Kiel Ein Unternehmen der AKRA Gruppe kpaschke@grc-partner.de