IT-NOTFALL ÜBEN MACHT STARK! 15. Oktober 2015

Größe: px

Ab Seite anzeigen:

Download "IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015"

Werner Färber
vor 8 Jahren
Abrufe

1 IT-NOTFALL ÜBEN MACHT STARK! 15. Oktober 2015

2 Agenda 1. IT-Notfall üben macht stark! 2. Übungen im Kontext des Notfallmanagements 3. Praxisbeispiel einer Notfallübung 4. Erkenntnisse aus zurückliegenden Übungen 2

3 Marc Ragg Bachelor of Science Wirtschaftsinformatik Masterstudium Wirtschaftsinformatik Manager für Informationssicherheit, Notfallmanagement und Risikomanagement ISO/IEC Auditteamleiter (PERSICON cert AG) Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Geprüfter ISO Auditor (SGS TÜV) Foundation Certificate in IT Service Management (ITIL) Schwerpunkte: Design, Implementierung und Dokumentation von Informationssicherheitsmanagementsystemen (ISMS) gemäß ISO/IEC und BSI IT- Grundschutz IT-Notfallmanagement und Business Continuity Management gemäß BSI-Standard und ISO/IEC Risikomanagement gemäß ISO/IEC und BSI-Standard Lehrtätigkeit an der Akademie für öffentliche Verwaltung des Freistaates Sachsen (AVS) und an der Hochschule für Wirtschaft und Recht (HWR) Kontakt: 3

4 IT-Notfall üben macht stark! 4

5 Haben Sie dieses Jahr bereits ihre IT-Notfallübung durchgeführt? 5

6 Stolpersteine in der Praxis (1) Zu hoher Aufwand Keine Ressourcen Kein erkennbarer Nutzen Vorherrschendes Wahrnehmungsdefizit 6

7 Stolpersteine in der Praxis (2) Geringe Prozessreife Geringe Prozessdurchführungsqualität Keine ausreichende Kenntnis über Wirksamkeit getroffener Maßnahmen Andere Prioritäten von der Leitungsebene/ Geschäftsführung 7

8 Carsten Tschacher Master of Science - Wirtschaftsinformatik Senior Consultant für Informationssicherheit, Notfallmanagement und Risikomanagement sowie Prüfungen hinsichtlich der Angemessenheit und Wirksamkeit von internen Kontrollsystemen (IKS). Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Geprüfter ISO Auditor (SGS TÜV) Foundation Certificate in IT Service Management (ITIL) Schwerpunkte: Design, Implementierung und Dokumentation von Informationssicherheitsmanagementsystemen (ISMS) gemäß ISO/IEC und BSI IT-Grundschutz. IT-Notfallmanagement und Business Continuity Management gemäß BSI-Standard und ISO/IEC Risikomanagement gemäß ISO/IEC und BSI-Standard Kontakt: ctschacher@persicon.com 8

9 Übungen im Kontext des Notfallmanagements 9

10 Normen und Standards für das Notfallmanagement Verbreitete Standards/Normen ISO internationale Norm zum Business Continuity Management BSI-Standard deutscher Standard zum Notfallmanagement BCI-GPG 2013 Business Continuity Institute - Good Practice Guidelines 2013 Zusätzliche Pläne UP-KRITIS Umsetzungsplan zum Schutz Kritischer Infrastrukturen UP-BUND Umsetzungsplan zum Schutz von Bundesbehörden BSI-UMRA Vorlagen für Notfallmanagementdokumente 10

11 Lebenszyklus des Notfallmanagements Phase 1: Das eigene Unternehmen verstehen Phase 4: Notfallmanagement prüfen und verbessern Phase 2: Notfall- management- Strategien entwickeln Phase 3: Notfallmaßnahmen entwickeln und implementieren 11

12 Bestandteile des Notfallmanagements Plan Notfallmanagement Notfallvorsorge Act Initiierung Planung der Notfallvorsorge Planung der Notfallbewältigung Umsetzung von Maßnahmen Durchführung von Übungen Do Notfallbewältigung Anwenden von Notfallbewältigungsmaßnahmen Check 12

13 Bestandteile des Notfallmanagements Plan Notfallmanagement Notfallvorsorge Act Initiierung Planung der Notfallvorsorge Planung der Notfallbewältigung Umsetzung von Maßnahmen Durchführung von Übungen Do Notfallbewältigung Anwenden von Notfallbewältigungsmaßnahmen Check 13

14 Ziele und Voraussetzungen von Notfallübungen Ziele Ermittlung der Wirksamkeit von Maßnahmen der Notfallvorsorge und Notfallbewältigung Ermittlung und Überprüfung der Reaktionen auf ein Notfallereignis Identifizierung von Verbesserungspotentialen im Notfallmanagement Stärkung der Handlungssicherheit der übenden Teilnehmer Voraussetzungen Planvorgaben, Konzepte und Dokumentationen zu Notfallvorsorge- und Notfallbewältigungsmaßnahmen (Notfallkonzeption) Aufbau- und Ablauforganisation des Notfallmanagements 14

15 Ausgewählte Übungsarten und Übungsinhalte Übungsarten Planbesprechung Planübung Funktionstest Stabsübung Stabsrahmenübung Vollübungen Übungsinhalte (Auswahl) Beurteilung der Lage und Entschlussfassung Anwendung von Notfallplänen sowie Notfallprozess Erarbeitung von Handlungsoptionen Zusammenarbeit mit anderen Stäben 15

16 Übungskreislauf Planung Vorbereitung Durchführung Nachbereitung 16

17 Übungskreislauf - Planung Planung Vorbereitung Durchführung Nachbereitung Beschreibung Zeit-, Personal- und Ressourcenplanung Konzeption der Übung Erarbeitung von Übungsunterlagen (Notfallszenario,Übungsdrehbuch sowie Übungseinlagen) Dokumentation der Planung im Übungskonzept 17

18 Übungskreislauf - Vorbereitung Planung Vorbereitung Durchführung Nachbereitung Beschreibung Herstellung der Übungsumgebung (Ertüchtigung Übungsraum) Einweisung der Teilnehmer Umsetzen von Maßnahmen für Absicherung des Wirkbetriebs Bereitstellung von technische, personellen und administrativen Ressourcen für die Durchführung 18

19 Übungskreislauf - Durchführung Planung Vorbereitung Durchführung Nachbereitung Beschreibung Durchführung der Übung Steuerung des Übungsverlaufs mit Hilfe von Übungseinlagen Protokollierung der Übungsdurchführung 19

20 Übungskreislauf - Nachbereitung Planung Vorbereitung Durchführung Nachbereitung Beschreibung Analyse des tatsächlichen Übungsverlaufs/Gegenüberstellung des geplanten Übungsverlaufs Erstellung Auswertungsbericht Ermittlung von Verbesserungspotenzialen und Übergabe an Notfallvorsorge, Notfallbewältigung, Übungsplanung 20

21 Pause 21

22 Professor Marcel Kuhlmey Professur für Risiko- und Krisenmanagement Masterstudium Politik und deutsche Nachkriegsgeschichte Ausbildung für den höheren Polizeivollzugsdienst an der Polizei-Führungsakademie Diplom Verwaltungswirt (FH) Übungskoordinator Fachkraft für Schutz und Sicherheit (IHK) Ausbilder nach der AEVO (IHK) Geprüfter Port Facility Security Officer Schwerpunkte: Risiko- und Krisenmanagement, insbesondere Risikomanagement gemäß ISO/IEC und BSI-Standard 100-3, Vorbereitung, Durchführung und Nachbereitung von Krisenmanagementübungen sowie Prozessbetrachtungen zum Krisenmanagement Kontakt: 22

23 Praxisbeispiel einer Notfallübung 23

24 Übungsorganisation einer Stabsrahmenübung Übender Notfallstab Leiter Notfallstab Übungskoordinator Übungsleitung/ Übungssteuerung Übungsbeobachter Operative Notfallteams 24

25 Aufwand für eine Notfallübung 3. Nachbereitung 1. Vorbereitung Mitwirkung an dem Sofort- und Auswertebericht ggf. Workshop zur Nachbesprechung Aufwand: ca. ein Tag für die Übungsbeteiligten Nachbereitung Vorbereitung Workshop mit Zieldefinition, Festlegung der Übungsbeteiligten, Erarbeitung des Ausgangsszenarios sowie der Aufgabenstellung Abstimmung der Übungsunterlagen Aufwand: ca. ein bis drei Tage für die Übungsbeteiligten Durchführung 2. Durchführung Durchführung der Planbesprechung (ca. sechs bis acht Stunden) Aufwand: ein Tag für die Übungsbeteiligten 25

Kommunikation während einer Notfallübung # Zeit Absender Empfänger Thema Inhalt Anlagen/Einlagen Erwartete Maßnahmen/Anmerkungen Sequenz - Erstreaktion Absender:

26 Kommunikation während einer Notfallübung # Zeit Absender Empfänger Thema Inhalt Anlagen/Einlagen Erwartete Maßnahmen/Anmerkungen Sequenz - Erstreaktion Absender: Ansprechpartner: Dringende Nachricht sofort vorlegen Betrifft: Empfänger: Datum: Uhrzeit: Sofortmeldung - Störungsmeldung Beschreibung: Maßnahmen: Übende Notfallorganisation Übungsleitung 26

27 Vorbehalte personelle Ressourcen Zeitfaktor Arbeitsbelastung Nutzen Kosten 27

28 Erkenntnisse aus zurückliegenden Übungen 28

29 Erkenntnisse aus zurückliegenden Übungen Feststellung der sachlichen, organisatorischen und personelle Ausstattung für das Krisen- und Notfallmanagement Überprüfen der effektiven und effizienten Zusammenwirken zwischen den beteiligten Akteuren Prüfen der vorhandenen Krisen- und Notfallprozesse Funktionsfähigkeit der Kommunikationsprozesse Grundlage für ein zu initiierendes Krisen- und Notfallmanagement 29

30 Vielen Dank für Ihre Aufmerksamkeit Friedrichstraße Berlin 30

Ähnliche Dokumente

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl AGENDA Business Continuity Management System Regulatorische / gesetzliche Anforderungen Projektvorgehen