Notfallmanagement nach BSI-Standard 100-4

Transkript

1 Notfallmanagement nach BSI-Standard Auch für KMU geeignet?! Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutztag Regensburg

2 Inhalt Einleitung: Wozu Notfallmanagement? Was beinhaltet der BSI-Standard In medias res: Wie initiiert man ein Notfallmanagement? Was ist eine BIA und wie funktioniert sie? Was ist eine Risikoanalyse und wie funktioniert sie? Was sind Kontinuitätsstrategien und wie entwickelt man sie? Was tun Vor dem Notfall Übungen Und im Notfall Notfallbewältigung

3 Wozu Notfallmanagement: Die 4 Stufen der verdrängten Risikowahrnehmung 1) Es passiert schon nichts. 2) Wenn etwas passiert, dann passiert es nicht mir. 3) Wenn etwas passiert und es mir passiert, dann wird es schon nicht so schlimm sein. 4) Wenn mir etwas passiert und es schlimm ist, dann kann ich ohnehin nichts dran ändern.(eric Holdeman, EMA-Director in Time Magazine, August 2006) Das sind ein Totschlagargumente sie stimmen so nicht

4 Aus der Praxis: Wozu Notfallmanagement?

5 Was ist Notfallmanagement? Ähnlicher Fokus als Informationssicherheit: Informationssicherheit: Integrität, Vertraulichkeit und Verfügbarkeit von Information entlang der Geschäftsprozesse Notfallmanagement: Kontinuität der Geschäftsprozesse 100-4: Sowohl IT als auch Nicht-IT-Notfälle betrachtet: Ausfall des Gebäudes Ausfall des Personals Ausfall technischer Infrastruktur Ausfall eines Dienstleisters Vorteile von 100-4: Ist mit dem ISMS IT-Grundschutz abgestimmt Kompatibilität gesichert, Synergieeffekte Kompatibel zu internationalen Standards Hilfestellung durch das BSI

6 Notfallmanagement nach im Überblick Initiierung des Notfallmanagements Verantwortung Organisatorische Strukturen Leitlinie zum Notfallmanagement Einbindung Mitarbeiter Überprüfung und Verbesserung Self-Assessment, Revision Verbesserungsprozess Konzeption Tests und Übungen Business Impact Analyse Risikoanalyse Ist-Zustand Kontinuitätsstrategien Übungsarten Dokumente Durchführung Notfallbewältigung Umsetzung des Notfallkonzepts Ablauforganisation Krisenkommunikation Notfallhandbuch Kosten- und Aufwandsabschätzung Umsetzungsreihenfolge Aufgaben und Verantwortung Realisierungsbegleitende Maßnahmen

7 Die Leitlinie ist Teil der Initiierungsphase des Notfallmanagement-Prozesses Konzeption Umsetzung des Notfallvorsorgekonzepts Leitlinie zum Notfallmanagement Initiierung durch Leitung Erarbeitung im Team koordiniert vom Notfallbeauftragten Inkraftsetzung durch Leitung Notfallbewältigung Aktualisierung (regelmäßig und anlassbezogen) Entwicklung der Leitlinie NotfallmanagementProzess Initialisierung des Notfallmanagements Übungen & Tests Aufrechterhaltung / Kontinuierliche Verbesserung Seite 7

8 Leitlinie zum Notfallmanagement Die Leitlinie zum Notfallmanagement ist das zentrale Strategiedokument, welches... den Stellenwert des Notfallmanagements in der Institution und die strategische Ausrichtung zusammenfasst, den Rahmen für die Konzeption, den Aufbau und die Aufrechterhaltung des Notfallmanagements festlegt, darlegt, warum ein Notfallmanagement etabliert werden soll und welche Ziele damit angestrebt werden. Dazu nötig: Organisation aufbauen ( Rollen s. nächste Folie) Ressourcen (Personen und Material) bereitstellen Seite 8

9 Rollen im Notfallmanagement Seite 9

10 Konzeption des Notfallmanagements Initialisierung des Notfallmanagements Vorgehen Konzeption Umsetzung des Notfallvorsorgekonzepts Business-Impact-Analyse Risikoanalyse der kritischen Ressourcen Ehrliche Aufnahme des Ist-Zustandes Kontinuitätsstrategien entwickeln Notfallbewältigung Übungen & Tests Aufrechterhaltung / Kontinuierliche Verbesserung Seite 10

11 Konzeption des Notfallmanagements Initialisierung des Notfallmanagements Vorgehen Konzeption Umsetzung des Notfallvorsorgekonzepts Business-Impact-Analyse Risikoanalyse der kritischen Ressourcen Ehrliche Aufnahme des Ist-Zustandes Kontinuitätsstrategien entwickeln Notfallbewältigung Übungen & Tests Aufrechterhaltung / Kontinuierliche Verbesserung Seite 11

12 Das wichtigste am Notfallmanagement: Die BIA Vergleichbar mit Modellierung im ITGrundschutz (essentiell) Besser mehr als zu wenig Geschäftsprozesse mit einbeziehen BIA fragt nach dem Schaden durch Ausfall BIA fragt NICHT nach dem Szenario oder Wahrscheinlichkeit Wird durch Befragungen und Interviews erhoben Mitarbeit der gesamten Institution ist unabdingbar

13 Identifikation zeitkritischer Geschäftsprozesse (1/5) Bewertung der Prozesse hinsichtlich der Auswirkungen eines Ausfalles Finanzielle Auswirkungen Beeinträchtigung der Aufgabenerfüllung Verstoß gegen Gesetze, Vorschriften und Verträge Negative Innen- und Außenwirkungen (Imageschaden) Beeinträchtigung der persönlichen Unversehrtheit Seite 13

14 Identifikation zeitkritischer Geschäftsprozesse (2/5) Berücksichtigung von Prozessabhängigkeiten Hat der Prozess vorgelagerte Prozesse? Hat der Prozess nachgelagerte Prozesse? Sind Abhängigkeiten direkt oder parallel (erfolgt der Prozessinput/ -output zeitlich versetzt?) Seite 14

15 Identifikation zeitkritischer Geschäftsprozesse (3/5) Berücksichtigung der Abhängigkeit von Ressourcen Welche Ressourcen benötigt der Prozess? Benötigt der Prozess eine Ressource unmittelbar oder zeitlich versetzt? Seite 15

16 Identifikation zeitkritischer Geschäftsprozesse (4/5) Berücksichtigung von kritischen Terminen & Ereignissen Gibt es abweichende Termine oder Ereignisse zu denen der Prozess zeitkritischer ist? Seite 16

17 Identifikation zeitkritischer Geschäftsprozesse (5/5) Priorisierung der Prozesse Welche Prozesse bilden das Kerngeschäft der Institution? Wie hoch ist die maximal tolerierbare Ausfallzeit der Prozesse? Die Ergebnisse bilden die Basis für Ressourcen bereitstellende Bereiche (IT, Gebäudemanagement, usw.) Seite 17

18 Konzeption des Notfallmanagements Initialisierung des Notfallmanagements Vorgehen Konzeption Umsetzung des Notfallvorsorgekonzepts Business-Impact-Analyse Risikoanalyse der kritischen Ressourcen Ehrliche Aufnahme des Ist-Zustandes Kontinuitätsstrategien entwickeln Notfallbewältigung Übungen & Tests Aufrechterhaltung / Kontinuierliche Verbesserung Seite 18

19 Die Risikoanalyse ist Teil der Konzeptionsphase des BSI Initialisierung des Notfallmanagements Risikoanalyse der kritischen Ressourcen Umsetzung des Notfallvorsorgekonzepts Rahmenbedingungen Notfallbewältigung Risikoidentifizierung Übungen & Tests Risikobewertung Aufrechterhaltung / Kontinuierliche Verbesserung Konsolidierung der Ergebnisse Risikoanalyse-Methodik Vorgehen Konzeption Seite 19

20 Risikoidentifizierung (1/2) Risiken können wie folgt unterteilt werden: Interne/externe Direkt/indirekt wirkend Durch die Institution beeinflussbare/ nicht beeinflussbare Grundschutzgefährdungskatalog G 0 Elementare Gefährdungen Weitere Möglichkeiten zur Risikoidentifizierung Einzel- und Gruppengespräche Kollektions- & Suchmethoden (z.b. Brainstorming) Interne / externe Spezialisten Seite 20

21 Risikoidentifizierung (2/2) Betrachtung aller Gefährdungen die zum Ausfall der Ressource und damit zur Überschreitung der MTA führen können (brutto) Gefährdungskatalog G 0 enthält 46 elementare Gefährdungen Institutionsspezifische Gefährdungen sind zu ergänzen G 0.01 Feuer G 0.02 Ungünstige klimatische Bedingungen G 0.03 Wasser G 0.04 Verschmutzung, Staub, Korrosion G 0.05 Naturkatastrophen G 0.06 Katastrophen im Umfeld G 0.07 Großereignisse im Umfeld G 0.08 Ausfall oder Störung der Stromversorgung G 0.09 Ausfall oder Störung von Kommunikationsnetzen G 0.10 Ausfall oder Störung von Versorgungsnetzen G 0.11 Ausfall oder Störung von Dienstleistern G 0.12 Elektromagnetische Störstrahlung G 0.13 Abfangen kompromittierender Strahlung G 0.14 Ausspähen von Informationen / Spionage G 0.15 Abhören G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten G 0.18 Fehlplanung G 0.19 Offenlegung schützenswerter Informationen G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle G 0.21 Manipulation von Hard- oder Software G 0.22 Manipulation von Informationen G 0.23 Unbefugtes Eindringen in IT-Systeme G 0.24 Zerstörung von Geräten oder Datenträgern G 0.25 Ausfall von Geräten oder Systemen G 0.26 Fehlfunktion von Geräten oder Systemen G 0.27 Ressourcenmangel G 0.28 Software-Schwachstellen oder -fehler G 0.29 Verstoß gegen Gesetze oder Regelungen G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen G 0.32 Missbrauch von Berechtigungen G 0.33 Personalausfall G 0.34 Anschlag G 0.35 Nötigung, Erpressung oder Korruption G 0.36 Identitätsdiebstahl G 0.37 Abstreiten von Handlungen G 0.38 Missbrauch personenbezogener Daten G 0.39 Schadprogramme G 0.40 Verhinderung von Diensten (Denial of Service) G 0.41 Sabotage G 0.42 Social Engineering G 0.43 Einspielen von Nachrichten G 0.44 Unbefugtes Eindringen in Räumlichkeiten G 0.45 Datenverlust G 0.46 Integritätsverlust schützenswerter Informationen Seite 21

22 Risikobewertung (1/3) Bewertung der Gefährdung erfolgt vor und nach Maßnahmenwirkung Bewertung vor Maßnahmenwirkung Bewertung einer qualitativen Eintrittswahrscheinlichkeit Unwahrscheinlich Möglich Alle 10 Jahre oder seltener Etwa einmal pro Jahr Wahrscheinlich Sehr wahrscheinlich Etwa einmal pro Monat Einmal pro Woche oder öfter Seite 22

23 Risikobewertung (2/3) Bewertung vor Maßnahmenwirkung Bei der Bewertung der möglichen Auswirkung ist von einem Worst-CaseSzenario auszugehen Unterteilung erfolgt in vier Auswirkungsgrade Eintrittswahrscheinlichkeit und Auswirkung ermitteln die Risikoklasse Wahrscheinlichkeit Auswirkung/Schaden Niedrig Mittel Hoch Sehr hoch Sehr wahrscheinlich niedrig mittel hoch sehr hoch Wahrscheinlich niedrig mittel hoch hoch Möglich niedrig niedrig mittel mittel Unwahrscheinlich niedrig niedrig niedrig niedrig Seite 23

24 Risikobewertung (3/3) Bewertung mit Maßnahmenwirkung Welche relevanten Maßnahmen wurden bereits implementiert? Wie ist der Wirkungsgrad der implementierten Maßnahmen? (niedrig, mittel, hoch, sehr hoch) Welche Maßnahmen könnten die Risikoklasse weiter senken? Entscheidungen können z.b. durch Gruppengespräche und interne/externe Spezialisten unterstützt werden Seite 24

25 Konzeption des Notfallmanagements Initialisierung des Notfallmanagements Vorgehen Konzeption Umsetzung des Notfallvorsorgekonzepts Business-Impact-Analyse Risikoanalyse der kritischen Ressourcen Ehrliche Aufnahme des Ist-Zustandes Kontinuitätsstrategien entwickeln Notfallbewältigung Übungen & Tests Aufrechterhaltung / Kontinuierliche Verbesserung Seite 25

26 Klassifizierung der Strategieoption Risiko-Strategieoptionen Risikoübernahme Risikotransfer Strategieoptionen Risikovermeidung Risikoreduktion Seite 26

27 Grundlagen der Strategieentwicklung Business Impact Analyse Kritische Ressourcen Risikoanalyse Entwicklung von Kontinuitätsstrategien Strategieoptionen Seite 27

28 Was ist eine Kontinuitätsstrategie? Die Kontinuitätsstrategie ist die Antwort auf die Frage: Wie soll die Geschäftsfortführung bzw. der Wiederanlauf unter Berücksichtigung der Kosten- / Nutzenaspekte realisiert werden? Seite 28

29 Ziel und Ergebnis von Strategieoptionen Ziele der Strategieoptionen sind Minimierung von Risiken Einhaltung der Wiederanlaufzeit für Ressourcen Einhaltung der regulatorischen Vorgaben Kosten in einem akzeptablen Verhältnis zum erwarteten Schaden bei Ausfall pro gewählter Zeitperiode Ergebnis ist die Entwicklung von Risiko reduzierenden Maßnahmen durch die Auswahl und Einführung von Notfallvorsorgemaßnahmen Anpassung der Prozessabläufe oder Umgebungsbedingungen Seite 29

30 Übersicht über das Vorgehen der Strategieentwicklung BIA-Bericht Risikoinventar Kosten-NutzenAnalyse Leitlinie Audit, Test und Übungen etc. Präsentation zur Auswahl von Kontinuitätsstrategien / Strategieoptionen Umsetzungsplan Seite 30

31 NotfallmanagementProzess Initialisierung des Notfallmanagements Notfallvorsorgekonzept entwickeln Konzeption Notfallvorsorgekonzept bekannt geben Umsetzung des Notfallvorsorgekonzepts Notfallbewältigung Notfallvorsorgekonzept aktualisieren Vorgehen Entwicklung Notfallvorsorgekonzept Das Notfallvorsorgekonzept ist Teil der Konzeptionsphase des BSI Prozess Übungen & Tests Aufrechterhaltung / Kontinuierliche Verbesserung Seite 31

32 Grundlagen des Notfallvorsorgekonzepts Business Impact Analyse Kritische Ressourcen Entwicklung von Kontinuitätsstrategien Entwicklung des Notfallvorsorgekonzepts Risikoanalyse Seite 32

33 Achtung: Anforderungen der Sicherheit und des Datenschutzes im Notfallvorsorgekonzept berücksichtigen Business Impact Analyse Kritische Ressourcen Entwicklung von Kontinuitätsstrategien Entwicklung des Notfallvorsorgekonzepts Risikoanalyse (Ergänzendes) Sicherheitskonzept Seite 33

34 Notfallvorsorgekonzept und Notfallhandbuch bilden das Notfallkonzept Notfallkonzept Notfallvorsorgekonzept Notfallhandbuch Das Notfallvorsorgekonzept beschäftigt sich mit den Aspekten, die präventiv umzusetzen sind, um Notfälle zu verhindern und/oder Schäden zu begrenzen zu können. Es wird ergänzt durch das Notfallhandbuch, das u.a. Handlungsanweisungen und Kontaktinformationen für Notfälle beinhaltet. Seite 34

35 Definition Notfallvorsorgekonzept Das Notfallvorsorgekonzept ist ein präventives Notfalldokument mit folgenden Inhalten: Grundlage zur Umsetzung der Kontinuitätsstrategien Anforderungen an Notfallvorsorgemaßnahmen Organisatorische und konzeptionelle präventive Aspekte, wie: Vorbeugende Maßnahmen Maßnahmen, die ein schnelles und sinnvolles Reagieren auf einen Vorfall ermöglichen Seite 35

36 Abgrenzung zum Notfallhandbuch Vor einem Notfall... proktive Dokumentation Notfallvorsorgekonzept - Definitionen des NotfallManagements - Anforderungen an organisatorische und technische VorsorgeMaßnahmen Für die Notfallbewältigung... Reaktive Dokumentation Notfallhandbuch - Sofortmaßnahmen - Wiederanlaufpläne - Wiederherstellungspläne - GeschäftsfortführungsPläne - etc. Seite 36

37 Umsetzung des Notfallvorsorgekonzepts Initialisierung des Notfallmanagements Vorgehen Konzeption Umsetzung des Notfallvorsorgekonzepts Maßnahmen priorisieren und umsetzen Keine falsche Hektik Keine unrealistischen Zeitvorgaben Keine unrealistischen Budgetvorstellungen Notfallbewältigung Übungen & Tests Aufrechterhaltung / Kontinuierliche Verbesserung Für KMU zukünftig interessant: Notfallvorsorge durch die Cloud (statt alternatives Gebäude oder redundante IT-Infrastruktur) Wichtig dabei: Auswahl des Dienstleisters ( BSI-Eckpunktepapier) Seite 37

38 Notfallbewältigung: Wenn doch etwas passiert Initialisierung des Notfallmanagements Vorgehen Konzeption Umsetzung des Notfallvorsorgekonzepts Notfallbewältigung Übungen & Tests Aufrechterhaltung / Kontinuierliche Verbesserung Meldestelle einrichten Für widerstandsfähige Krisenkommunikation sorgen Eskalationsplan erstellen (inklusive Rollenverteilung) Krisenstab ernennen (Stressresistenz der Mitarbeiter) Räumlichkeiten bereitstellen An besondere Randbedingungen denken (Pausen, Verpflegung, Übernachtung, Angehörige) So viel wie sinnvoll möglich dokumentieren Seite 38

39 Übungen und Tests sind fester Bestandteil der kontinuierlichen Verbesserung des BSI Prozesses Initialisierung des Notfallmanagements Überprüfung der Alarmierung & Eskalation Handlungsfähigkeit der Notfall- & Krisenorganisation Konzeption Vorgehen Umsetzung des Notfallvorsorgekonzepts Notfallbewältigung Übungen & Tests Aufrechterhaltung / Kontinuierliche Verbesserung Sind die richtigen Personen involviert und verfügen sie über die notwendigen Fähigkeiten, Kompetenzen und Erfahrungen? Überprüfung der reaktiven Notfalldokumentation Ist die reaktive Notfalldokumentation korrekt und vollständig? Funktionieren die Verfahren mehrerer Pläne gleichzeitig? Analyse der Wirkung von technischen / organisatorischen Maßnahmen Funktionieren Maßnahmen (z.b. Workarounds ) wie vorgesehen? Können die def. Zeitpunkte zum Wiederanlauf erreicht werden? Nachweis der Notfallvorsorge gegenüber Dritten Seite 39

40 Tests und Übungen im Überblick

41 Wie bekommt man die Unterstützung der Leitung? Hinweis auf gesetzliche/vertragliche Vorgaben (Druck ist nicht immer vorteilhaft) Besser: Szenarien skizzieren Was passiert wenn wegen Bombendrohung/Wasserrohrbruch/Feuer kein Zugang zum Gebäude besteht? Was ist wenn <kritischen Prozess einfügen> nicht zur Verfügung steht? Imageverlust vor Kunden Kostenabschätzung skizzierter Szenarien vs. Aufwand für Notfallmanagement (neues Rechenzentrum: 20 Mio., jährliche Kosten für Notfallmanagement aber deutlich geringer) Etablierter IT-Grundschutz inkl. Notfallmanagement = Höhere Resilienz Wettbewerbsvorteil gegenüber Mitbewerbern Seite 41

42 Ein paar letzte Worte zur Umsetzung Rom wurde nicht an einem Tag erbaut Ein Notfallmanagement braucht selbst in der freien Wirtschaft ca. 2 Jahre bis zur vollen Etablierung Einzelschritte des Notfallmanagement lassen sich gut in Projekte kapseln (wichtig: Langer Atem der Leitung): Leitlinie erstellen, BIA durchführen, Risikoanalysen einzelner Ressourcen, Umsetzungspläne Umsetzung erst für die kritischsten Prozesse (eventuell in nur einem Teilbereich) Notfallvorsorgekonzept + Notfallhandbuch = Notfallkonzept Tests und Übungen von einfach bis komplex Verbesserung der Widerstands- und Reaktionsfähigkeit oft durch einfache Maßnahmen

43 Wie hilft Ihnen das BSI beim Notfallmanagement? Notfallmanagement ist Teil des IT-Grundschutzes Kompatibles Managementsystem, keine Reibungsverluste Synergien aus IT-Grundschutz für Notfallmanagement nutzbar Fortbildung: Webkurs Notfallmanagement auf der BSI-Webseite (+RECPLAST Doks) Grundschutztage, Grundschutz-Hotline, ..., Feedback von den Anwendern (Ihnen allen) führt zu Verbesserungen. Seite 43

44 Vielen Dank für die Aufmerksamkeit! Fragen?

45 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutz Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) IT-Grundschutz Gruppe im XING-Forum: