BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie 1
IT-Grundschutz seit 2005 BSI-Standards + Loseblattsammlung Folie 2
Dienstleistungen und Produkte rund um den IT-Grundschutz Sicherheitsbedarf, Anspruch - Webkurs zum Selbststudium Leitfaden Informationssicherheit BSI Standard 100-1: ISMS Software: GSTOOL BSI Standard 100-2: ITGrundschutzVorgehensweise + ISO 27001Zertifikat BSI Standard 100-3: RisikoAnalyse BSI Standard 100-4: Notfallmanagement Leitfaden ISRevision Hilfsmittel & Musterrichtlinien Beispiele: GS-Profile IT-GrundschutzKataloge BSI-Empfehlungen: - Internetsicherheit - Hochverfügbarkeit Folie 3
BSI-Standards 2006 BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-GrundschutzVorgehensweise BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz IT-Grundschutz-Kataloge Bausteinkataloge Gefährdungskataloge Maßnahmenkataloge Folie 4
IT-Grundschutz und der Notfall 2006 B 1.3 Notfall-Vorsorgekonzept B 1.8 Behandlung von Sicherheitsvorfällen Folie 5
BSI-Standard 100-4: Notfallmanagement Anforderungen an die Entwicklung Kompatibel zu anerkannten Standards (BS 25999, BCI GPG, ITIL,...) Hilfestellung bei der Umsetzung Abstimmung mit der Vorgehensweise nach IT-Grundschutz für ein ISMS Folie 6
Warum ein BSI-Standard? Notfallmanagement...... Teil des ISMS?... Aufgabe der IT? Folie 7
ISM BCM Informationssicherheitmanagement Fachaufgaben / Geschäftsprozesse - Verfügbarkeit kritischer GP - Vertraulichkeit - Integrität - Verfügbarkeit Informationen ITSysteme Personen Infrastruktur Notfallmanagement / BCM Spezialgeräte BetriebsDienstleister. mittel Zulieferer, Folie 8
Was sind Notfälle im Sinne des 100-4? Störung Notfall Krise Katastrophe nicht betrachtet Folie 9
Was sind Notfälle im Sinne des 100-4? Störung Notfall Krise Katastrophe Folie 10
Was sind Notfälle im Sinne des 100-4? Robustheit erhöhen Notfallhandbuch Ersatzsystem Ersatzprozesse Folie 11
Was sind Notfälle im Sinne des 100-4? Störung Notfall Ausfall Umspannwerk Krise Katastrophe Ausfall von 150 Sparkassen-Instituten, Geldautomaten, Kontoauszugsdrucker, Onlinebanking Ausfall Rechenzentrum Folie 12
Was sind Notfälle im Sinne des 100-4? Störung Notfall Krise Katastrophe Folie 13
Was sind Notfälle im Sinne des 100-4? Störung Notfall Krise Katastrophe Folie 14
Was sind Notfälle im Sinne des 100-4? Störung Notfall Krise Katastrophe Folie 15
Was ist Notfallmanagement? Das Notfallmanagement umfasst das geplante und organisierte Vorgehen, um die Widerstandsfähigkeit der (zeit-)kritischen Geschäftsprozesse einer Institution nachhaltig zu steigern, auf Schadensereignisse angemessen reagieren und die Geschäftstätigkeiten so schnell wie möglich wieder aufnehmen zu können. Folie 16
Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Notfallbewältigung Initiierung des Notfallmanagements Konzeption Umsetzung des Notfallkonzepts Folie 17
Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Notfallbewältigung Initiierung des Notfallmanagements - Verantwortung - Organisatorische Strukturen - Leitlinie - Einbindung Mitarbeiter Konzeption Umsetzung des Notfallkonzepts Folie 18
Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Notfallbewältigung Initiierung des Notfallmanagements Konzeption Umsetzung des Notfallkonzepts Folie 19
Notfallmanagement-Prozess Konzeption Business Impact Analyse (BIA) Risikoanalyse Ist-Aufnahme Kontinuitätsstrategien Notfallvorsorgekonzept Folie 20
Konzeption Business Impact Analyse (BIA) Die zentrale Aufgabe einer Business Impact Analyse ist es,...... zu verstehen, welche Geschäftsprozesse und Ressourcen wichtig für die Aufrechterhaltung des Geschäftsbetriebs und damit für die Institution sind, und... welche Folgen ein Ausfall haben kann. Folie 21
Notfallmanagement-Prozess Konzeption Business Impact Analyse (BIA) Geschäftsprozesse und Stammdaten Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse Prozess ١ Schadensanalyse Input ٢ Festlegung der Wiederanlaufparameter Kontinuitätsstrategien Notfallvorsorgekonzept ist unterteilt Input ١ Risikoanalyse Ist-Aufnahme Prozess n Prozess ٢ Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess benötigt Ressourcen -Personal -IT -Kommunikationsnetz -Spezial-HW -Büro - Berücksichtigung der Abhängigkeiten Priorisierung und Kritikalität Erhebung der Ressourcen für Normal- und Notbetrieb Vererbung der Kritikalität auf die Ressourcen Folie 22 Output
Schutzbedarfsfeststellung Schutzbedarfsfeststellung Geschäftsprozess / Anwendung Grundwert Schutzbedarf Anwendung A Vertraulichkeit Hoch Integrität Hoch Verfügbarkeit Normal Anwendung B Folie 23
Business Impact Analyse Schadensanalyse Indirekte Schäden sehr hoch Bestandsgefährdungslinie Direkte Schäden Schadensentwicklung hoch normal t niedrig B1 B2 B3 B4 Folie 24
Business Impact Analyse Schadensanalyse 1=niedrig, 2=normal, 3=hoch, 4=sehr hoch Folie 25
Wiederanlaufparameter Folie 26
Notfallmanagement-Prozess Konzeption Business Impact Analyse (BIA) Geschäftsprozesse und Stammdaten Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse Prozess 1 Schadensanalyse Input 2 Festlegung der Wiederanlaufparameter Kontinuitätsstrategien Notfallvorsorgekonzept ist unterteilt Input 1 Risikoanalyse Ist-Aufnahme Prozess n Prozess 2 Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess benötigt Ressourcen -Personal -IT -Kommunikationsnetz -Spezial-HW -Büro - Berücksichtigung der Abhängigkeiten Priorisierung und Kritikalität Erhebung der Ressourcen für Normal- und Notbetrieb Vererbung der Kritikalität auf die Ressourcen Folie 27 Output
Kritische Geschäftsprozesse verschiedene Beispiele Folie 28
Notfallmanagement-Prozess Konzeption Business Impact Analyse (BIA) Geschäftsprozesse und Stammdaten Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse Prozess 1 Schadensanalyse Input 2 Festlegung der Wiederanlaufparameter Kontinuitätsstrategien Notfallvorsorgekonzept ist unterteilt Input 1 Risikoanalyse Ist-Aufnahme Prozess n Prozess 2 Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess Teilprozess benötigt Ressourcen -Personal -IT -Kommunikationsnetz -Spezial-HW -Büro - Berücksichtigung der Abhängigkeiten Priorisierung und Kritikalität Erhebung der Ressourcen für Normal- und Notbetrieb Vererbung der Kritikalität auf die Ressourcen Folie 29 Output
Notfallmanagement-Prozess Konzeption Business Impact Analyse (BIA) Risikoanalyse Ist-Aufnahme Kontinuitätsstrategien Notfallvorsorgekonzept Folie 30
Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Notfallbewältigung Initiierung des Notfallmanagements Konzeption Umsetzung des Notfallkonzepts - Kosten- und Aufwandsabschätzung - Umsetzungsreihenfolge - Aufgaben und Verantwortung - Realisierungsbegl. Maßnahmen Folie 31
Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Notfallbewältigung - Aufbauorganisation - Ablauforganisation - Krisenkommunikation - Notfallhandbuch Initiierung des Notfallmanagements Konzeption Umsetzung des Notfallkonzepts Folie 32
Organisatorische Strukturen Notfallbewältigung Entscheidungsgremium Krisenstab strategisch Notfallteams taktisch operativ Kernteam Betriebssicherheit Leiter Öffentlichkeitsarbeit erweiterter Krisenstab Informationssicherheit IT-Betrieb Revision Datenschutzbeauftragter CERT Personalvertretung Justitiariat Abteilungsvertreter Infrastruktur IT Org Einheiten Prozesse Fachberater Folie 33
Krisenstabsraum Besondere Anforderungen: Ausreichend Platz: abgetrennte Besprechungszonen, soziale Bereiche etc. Sicherheit: Vertraulichkeit, Zugangs- und Sichtschutz, Abhörschutz Technische Ausstattung: vernetzten Rechnern, Beamer, Scanner, Drucker, mobile Speichermedien, Faxgeräte, Radio, Fernsehen oder Videorekorder, Mobiltelefone und eventuell analoge, stromunabhängige Telefone Redundante Stromversorgung Redundante Telekommunikations- und Internetanbindung Sonstige Ausstattung: Büromaterialien, Arbeitsmittel (z. B. Flipcharts, Tafeln, Karten, Nachschlagewerke, Telefonbücher), gegebenenfalls Schutzausrüstung Verpflegung und Entsorgung... Folie 34
Notfallhandbuch Notfallbewältigung Notfallhandbuch Notfallpläne Krisenstabsleitfaden Krisenkommunikationsplan Geschäftsfortführungspläne Wiederherstellungspläne Folie 35
Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Tests und Übungen Initiierung des Notfallmanagements Konzeption - Übungsarten - Dokumente - Durchführung Notfallbewältigung Umsetzung des Notfallkonzepts Folie 36
Tests und Übungen Folie 37
Tests und Übungen Rollen Übungsautor Vorbereitungsteam Übungsleiter / Moderator Kernteam Protokollant Akteure Dokumente Übungshandbuch Übungsplan Übungskonzept mit Drehbuch Übungsprotokoll Ablauf Planung Vorbereitung Durchführung Nachbearbeitung Folie 38
Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung Initiierung des Notfallmanagements - Self-Assessment, Revisionen - Verbesserungsprozess Tests und Übungen Notfallbewältigung Konzeption Umsetzung des Notfallkonzepts Folie 39
Notfallmanagement-Prozess im Überblick Überprüfung und Verbesserung - Self-Assessment, Revisionen - Verbesserungsprozess Tests und Übungen - Übungsarten - Dokumente - Durchführung Notfallbewältigung - Ablauforganisation - Krisenkommunikation - Notfallhandbuch Initiierung des Notfallmanagements - Verantwortung - Organisatorische Strukturen - Leitlinie - Einbindung Mitarbeiter Konzeption - Business Impact Analyse - Risikoanalyse - Ist-Zustand - Kontinuitätsstrategien Umsetzung des Notfallkonzepts - Kosten- und Aufwandsabschätzung - Umsetzungsreihenfolge - Aufgaben und Verantwortung - Realisierungsbegl. Maßnahmen Folie 40
Welche Rolle spielt der Standard 100-4? Verbindliche Vorgaben? Zertifizierung?... Folie 41
Wie geht es weiter? Bausteine B 1.3 Notfall-Vorsorgekonzept B 1.8 Behandlung von Sicherheitsvorfällen Hilfsmittel Weiterentwicklungen Abgleich mit BSI-Standard 100-2? GSTOOL? Folie 42
Informationsmaterial http://www.bsi.bund.de/literat/bsi_standard/index.htm Folie 43
Fazit Notfallmanagement BSI-Standard 100-4 zur Business Continuity Notfallmanagement nimmt eine immer größere Rolle in Unternehmen und Behörden ein Umfassende Hilfestellung bei der Umsetzung eines Notfallmanagements Vorgehensmodell an Grundschutz-Vorgehensmodell angelehnt, um Synergieeffekte zu nutzen Folie 44
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Isabel Münch Godesberger Allee 185-189 53175 Bonn Telefon: +49 (0)3018-9582-5367 IT-Grundschutz-Hotline Telefon: +49 (0)3018-9582-5369 E-Mail: grundschutz@bsi.bund.de Folie 45