Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Größe: px

Ab Seite anzeigen:

Download "Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0"

Gregor Brandt
vor 8 Jahren
Abrufe

1 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

2 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell Business Impact Analyse Risiko Analyse Konzeption Ableitung von Maßnahmen Beschaffung und Implementierung Einschlägige Standards und Normen Auswirkungen auf den Betrieb 2

Analyse Konzeption Ableitung von Maßnahmen Beschaffung und

3 Einführung in Disaster Recovery Planning Disaster Tolerance Meine Informationssysteme können von einer Katastrophe nicht beeinträchtigt werden. Disaster Recovery Planning (Wiederanlauf-Planung) Wir treffen alle nötigen Vorkehrungen, damit die Systeme nach einer Katastrophe (schnell) wieder verfügbar werden. Business Continuity Planning Unsere Geschäftsprozesse können auch ohne IT laufen. Akzeptierte Risiken Risiken werden eingegangen und der Schaden eventuell versichert. Alles in Allem eine teure Angelegenheit! 3

Disaster Recovery Planning (Wiederanlauf-Planung) Wir treffen alle nötigen Vorkehrungen, damit die Systeme nach einer Katastrophe

4 Übersicht Arten DRP Advanced Reliability Disaster Recovery Disaster Tolerance Business Continuity Name Beispielhafte Maßnahmen Auswirkung Preisrange für Maßnahmenumsetzung Einsatz von redundanter Hardware, besonderer Zutrittsschutz, erhöhte Aufmerksamkeit der Betriebsführung, Einführung von Cluster-Technologie und USV- Systemen, Etablierung von Vorkehrungen zum Wiederherstellen der Ursprungszustandes z.b.: Vorhalten von Ersatzhardware, Katastrophenorganisation, Alarmierungspläne, spezielle Mietverträge für Ersatzobjekte, stringente Sicherungsprozeduren, u. v. m. Trotz Eintritt einer Katastrophe ist die IT weiterhin lauffähig z.b.: gespiegeltes Rechenzentrum, Ausweichquartiere, eigene Generatoren, u. v. m. Für alle (wichtigen) IT-unterstützten Prozesse sind manuelle Prozesse fertig geplant und das Personal ist in diesen Prozessen geschult Schutz vor Betriebsstörungen bis 1, Ermöglicht das schnelle Wiederherstellen eines betriebsbereiten IT-Systems Trotz des Eintretens von bestimmten vorher angenommenen Katastrophen, steht die IT (teilweise) weiterhin zur Verfügung. Der Betrieb kann mit Einschränkungen in der Geschwindigkeit trotzdem fortgeführt werden ,- bis 2, ,- 2, ,- bis 10, ,-, in Extremfällen auch mehr Abhängig von den Prozessen von unter 1.000,- bis zu mehreren Mio. 4

Ursprungszustandes z.b.: Vorhalten von Ersatzhardware, Katastrophenorganisation, Alarmierungspläne, spezielle Mietverträge für Ersatzobjekte, stringente Sicherungsprozeduren, u. v. m.

5 Problemstellung von allen Organisationen Wandel der Geschäftsprozesse starke Abhängigkeit von der IT Ohne IT ist in den weitesten Teilen der Wirtschaft diese nicht mehr möglich. Durch Zentralisierung sind viele (alle Systeme) der gleichen Gefährdung ausgesetzt. Im Falle eines (lokalen) Schadenfalles droht der Totalausfall. Der Klimawandel bringt Naturkatastrophen in neue Regionen. Ausbildung von Wetterextremen. Durch Terror gibt es neue Bedrohungsbilder. Information ist nach dem Mitarbeiter das wichtigste Asset. 5

Durch Zentralisierung sind viele (alle Systeme) der gleichen Gefährdung ausgesetzt.

6 Disaster Recovery Planning 6

7 Vorgehensmodell Inventarisierung der Systeme BIA Risikoanalyse Maßnahmenkatalog Konzipierung 7

8 Inventarisierung der Systeme Erhebung der Standorte Erhebung der vorhandenen IT-Infrastruktur je Standort und dazwischen Erhebung der bereits getroffenen Maßnahmen je Standort und System Gemeinsam mit den Fachbereichen In Form von Interviews oder Workshops Üblicherweise mehrere hundert unterschiedliche Informationssysteme Vom *.xls-sheet über Access zu SAP und DWH 8

Standort und System Gemeinsam mit den Fachbereichen In Form von Interviews oder Workshops

9 BIA Business Impact Analysis Zuordnung der Systeme zu den einzelnen Standorten Erhebung der Anforderungen der Geschäftsprozesse an die Verfügbarkeit der einzelnen Systeme Ermittlung der Abhängigkeiten der Geschäftsprozesse von der IT Gemeinsam mit IT und Fachbereich Grobe Erhebung der Kosten oder des Geschäftsverlustes Erhebung der Rahmenbedingungen Rolle der Mitarbeiter Je nach Branche: Logistik, Vertrieb, Marketing, 9

Geschäftsprozesse von der IT Gemeinsam mit IT und Fachbereich Grobe Erhebung der Kosten oder des

10 Risikoanalyse Ermittlung der möglichen Bedrohungen Abschätzung der Eintrittswahrscheinlichkeit Prinzip der Vererbung von Bedrohungen Bezugnahme auf einschlägige Bedrohungskataloge Bewertung der Auswirkungen und möglichen Schadenshöhe 10

Vererbung von Bedrohungen Bezugnahme auf einschlägige

11 Entwicklung von Maßnahmen Adressierung der Ergebnisse von BIA und Risikoanalyse mit geeigneten Maßnamen Beginnend von der Meta-Ebene Kostenschätzung der Maßnahmen Gegenüberstellung Maßnahme zur Bedrohung(en) Bewertung der Restrisiken 11

von der Meta-Ebene Kostenschätzung der Maßnahmen

12 Konzipierung Erweiterung der Maßnahmen zu einzelnen Konzepten Clusterung der Konzepte Standortwahl Netzwerk (Physisch und Logisch) Netzdienste (DNS, DHCP, NDS, ) Basisdienste (Mail, Telefonie/Fax, File/Print, DMS, ) Einzelanwendungen (ERP, DWH, MIS, ) WWW-Anwendungen, Services nach außen Prozess Anpassungen Dienstvorschriften (Benutzerregelungen, Betriebsführungs- und Bereitschaftspläne, ) 12

File/Print, DMS, ) Einzelanwendungen (ERP, DWH, MIS, ) WWW-Anwendungen, Services nach außen

13 Beschaffung und Implementierung Ausschreibung der einzelnen Konzepte (BVergG 2006) Ausschreibungsunterlagen Bewertungsschemata Vergabe Implementierung Multiprojektmanagement oder Programm-Management Projektcontrolling Mediation zwischen AG und AN Mehrjährige Durchlaufzeit wahrscheinlich Kurz Ein normales Multimillionen- -IT-Projekt 13

Multiprojektmanagement oder Programm-Management Projektcontrolling Mediation

14 Einschlägige Normen und Standards ISO 17799:2005 Code of Practice for Information Security Management Definiert industrie-übliche Controls (Maßnahmen) um IS zu steigern ISO 27001:2005 Information Security Management Systems - Requirements Definiert Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) Grundlage für eine Zertifizierung Definiert wie bzw. welche Controls aus ISO implementiert werden müssen BSI Grundschutzhandbuch (Dtld) Definiert technische und organisatorische Maßnahmen Technische Maßnahmen sehr detailliert Österreichisches Sicherheitshandbuch (ASIT) Maßgeschneidert für österreichische Verwaltung Basiert auf dt. Grundschutzhandbuch ITIL Best Practices für IT Betrieb (auch Sicherheitsthemen) BS25999 Code of Practice f. BCM zzt. nur Draft-Version 14

welche Controls aus ISO 17799 implementiert werden müssen BSI Grundschutzhandbuch (Dtld) Definiert technische und organisatorische Maßnahmen Technische Maßnahmen sehr detailliert Österreichisches

15 Auswirkungen Betrieb Stark gestiegene Anforderungen an das Personal Stark gestiegene Anforderung an das technische Wissen Andere Qualität der IT Sprung über mehrere Kategorien Anstieg der Kosten im Betrieb Macht eine Anpassung der Organisation an die neuen Gegebenheiten notwendig! 15

der IT Sprung über mehrere Kategorien Anstieg der Kosten im Betrieb

16 Wie erreichen Sie SEC Consult? SEC Consult Unternehmensberatung GmbH Blindengasse 3, A-1080 Wien Tel: +43 / Fax: +43 / office@sec-consult.com 16

Blindengasse 3, A-1080 Wien Tel: +43 / 1 8903043

Ähnliche Dokumente

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat