Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet das Management von prüfungspflichtigen Kapitalgesellschaften für die Sicherheit ihrer unternehmensrelevanten IT-Strukturen zu sorgen. IT-Sicherheit ist deshalb eine gesetzlich verankerte Aufgabe der Unternehmensleitung. Doch auch ohne gesetzliche Vorgabe liegt die IT-Sicherheit im ureigensten Interesse des Unternehmens. Es gilt, die Risiken auf ein möglichst geringes Niveau zu bringen, das wirtschaftlich vertretbar ist und dauerhaft gehalten werden kann. Standards spielen dabei eine wichtige Rolle. Der Einsatz von Sicherheitsstandards im Unternehmen oder in einzelnen Bereichen verbessert die sicherheitsrelevanten IT-Prozesse zum Vorteil des Unternehmers, seiner Kunden sowie seiner Mitarbeiter. Die bekannten Sicherheitsstandards oder Standards mit Sicherheitsaspekten sind ISO 17799, BS 7799, IT-Grundschutzhandbuch, ITIL oder Cobit. Auch die Begriffe Business Continuity Management (BCM) und IT-Service Continuity Management (IT-SCM) werden immer wieder genannt. Die Auswahl eines geeigneten Standards richtet sich jedoch nach den Anforderungen an die IT-Sicherheit im Unternehmen und kann nicht pauschal festgelegt werden. So ist zum Beispiel zu entscheiden, ob eine Zertifizierung angestrebt wird. Was muss konkret beachtet werden? Die Wiederherstellung der IT-Infrastruktur im Katastrophenfall ist von strategischer Bedeutung für das Überleben eines Unternehmens am Markt. Die Bewertung der Maßnahmen im Rahmen der Katastrophenvorsorge muss auf Grundlage der wirtschaftlichen Bedeutung der Geschäftsprozesse erfolgen. Bei einer nachhaltigen Störung muss die IT-Sicherheitsinfrastruktur des Unternehmens ein Anlaufen der Geschäftsprozesse in definierten Zeitfenstern ermöglichen. Je wichtiger dabei ein Geschäftsprozess für die Unternehmung ist, desto mehr muss in die IT- Sicherheitsinfrastruktur investiert werden. Ziel ist der Aufbau einer IT- Sicherheitsorganisation und eines IT-Sicherheitsmanagements, welches die Anforderungen der Fachbereiche umsetzt. Einer der wichtigsten Grundsätze ist jedoch die Unterstützung des Managements. Nur damit kann eine dauerhafte Weiterentwicklung des IT-Sicherheitsniveaus erreicht werden. Die Grundlage: Der IT-Sicherheitsprozess Die Durchsetzung und Aufrechterhaltung eines angemessenen und ausreichenden IT- Sicherheitsniveaus kann nur durch geplantes und organisiertes Vorgehen aller Beteiligten gewährleistet werden. Es sind strategische Leitaussagen zu formulieren, konzeptionelle Vorgaben zu erarbeiten und die organisatorischen Rahmenbedingungen zu schaffen, um das ordnungsgemäße und sichere IT-gestützte Arbeiten des Unternehmens oder der Behörde zu ermöglichen. Sinnvollerweise wird durch die Unternehmensleitung ein gesteuerter IT-Sicherheitsprozess initiiert, der die Voraussetzungen für die durchdachte Gestaltung sowie sinnvolle Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen gewährleistet (Auszug aus dem IT- GSHB). Der Aufbau des IT-Sicherheitsprozesses ist somit der wichtigste Schritt bei der Implementierung und/oder Verbesserung der IT-Sicherheit. Entsprechend den Strukturen moderner Unternehmen stellt dies eine komplexe und anspruchsvolle Aufgabe dar. EMPRISE Process Management GmbH Seite 1
Die Einführung von Sicherheitsstandards im Unternehmen erfolgt nach dem jeweiligen Vorgehensmodell, dessen Schritte unterschiedlich ausgeprägt sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den IT-Grundschutzhandbuch (IT- GSHB) [1] eine effiziente und praxiserprobte Möglichkeit entwickelt, die IT-Sicherheit in Unternehmen zu implementieren und/oder zu verbessern. Abbildung 1: Vorgehensmodell nach IT-Grundschutzhandbuch des BSI Das IT-Grundschutzhandbuch enthält auf knapp 3.000 Seiten die empfohlenen Standardsicherheitsmaßnahmen für typische IT-Systeme. Es ist für den normalen Schutzbedarf angemessen und ausreichend und stellt die Basis für hochschutzbedürftige IT-Systeme dar. Es ist schnell anzuwenden und es stehen bereits Gefährdungs- und Maßnahmenkataloge zur Verfügung. Zusätzlich ist im BSI-Standard 100-2 die IT-Grundschutz Vorgehensweise [2] erläutert. Das Vorgehen ist allerdings fast ausschließlich textuell beschrieben. Im Rahmen der Prozessorientierung ist dabei aber die Visualisierung der Organisation und des Ablaufs von zentraler Bedeutung. Die Mitarbeiter lernen den IT-Sicherheitsprozess besser kennen. Dieser muss so gestaltet sein, dass er nicht nur von Spezialisten, sondern von allen Beteiligten verstanden wird. Die Ableitung eines transparenten, leicht nachvollziehbaren und konkreten Vorgehensmodells aus dem IT-GSHB ist daher eine langwierige und zeitaufwendige Aufgabe. Genau an dieser Stelle setzt das BONAPART Referenzmodell IT-Sicherheitsprozess an. Es liefert ein Prozessmodell, das die Implementierung der IT-Sicherheit zielführend und strukturiert durchführen kann. Aus dem IT-Grundschutzhandbuch abgeleitet kann es für das jeweilige Unternehmen individuell angepasst werden. EMPRISE Process Management GmbH Seite 2
Durch die grafische Beschreibung der Organisation und des Ablaufs, sowie der konsequenten Umsetzung des prozessorientierten Ansatzes ist das BONAPART Referenzmodell leicht verständlich und nachvollziehbar. Abbildung 2: BONAPART Referenzmodell IT-Sicherheitsprozess Es ist mit wenig Aufwand an die konkrete Organisation im Unternehmen anpassbar. Die vom BSI zur Verfügung gestellten Templates, Vorlagen, Kataloge und Formblätter sind bereits enthalten und können direkt aus dem Prozessmodell heraus gestartet werden. Durch die zusätzliche Modellierung des Ablaufs bei einer Zertifizierung, können die relevanten Bestandteile schnell nachvollzogen werden. Neben den vielen anderen Exportmöglichkeiten in BONAPART stellt der einfach zu handhabende HTML-Export eine schnelle Einbindung in das Intranet sicher und erleichtert damit die Kommunikation des IT-Sicherheitsprozesses erheblich. Was muss getan werden? Um nicht schon zu Beginn der Implementierung zu scheitern, sollte man sich zunächst auf die wirklich kritischen Schutzobjekte beschränken und den IT-Sicherheitsprozess an diese Gegebenheit anpassen. Im Laufe der Zeit können dann die relevanten Schutzobjekte erweitert werden, um ein vollständiges Bild zu erhalten. Die Umsetzbarkeit darf dabei nie aus den Augen verloren werden, denn die IT-Sicherheit muss auch gelebt werden können. Nach der Analyse der IT-Sicherheit und des derzeitigen IT-Sicherheitsniveaus wird im ersten Schritt die IT-Sicherheitsorganisation in Form eines Organigramms an das Unternehmen angepasst (Aufbauorganisation). Der Aufbau hängt dabei von der Größe des Unternehmens ab und kann daher nicht pauschal festgelegt werden. EMPRISE Process Management GmbH Seite 3
Abbildung 3: BONAPART Referenzmodell IT-Sicherheitsorganisation (Aufbauorganisation) Im nächsten Schritt ist dann der IT-Sicherheitsprozess (Ablauforganisation) an das Unternehmen anzupassen. Da zu Beginn nicht alle Anpassungen durchgeführt werden können, sind einige Änderungen erst nach Durchführung des Prozesses Erstellung eines IT-Sicherheitskonzeptes anzustoßen. Für den Praxiseinsatz bedeutet dies, dass die Abarbeitung des IT-Sicherheitsprozesses einhergeht mit der Anpassung des Prozessmodells. Es ist ein ständig durchzuführender und iterativer Prozess. So können sich zum Beispiel nach der Implementierung der IT-Sicherheit bei der Aufrechterhaltung im laufenden Betrieb erneute Verbesserungen ergeben, die bei Relevanz erneut in den IT-Sicherheitsprozess nachgezogen werden müssen. BONAPART basiert auf der objektorientierten KSA-Methode (Kommunikations-Struktur- Analyse). Hieraus und aufgrund der konsequenten Umsetzung der objektorientierten Prinzipien ist eine konsistente Modellierung gewährleistet. In BONAPART wird die Aufbau- und Ablauforganisation, sowie die Systemlandschaft eines Unternehmens abgebildet. Alle Abbildungen sind von einer Wechselbeziehung geprägt. Notwendige Objekte der Ablauforganisation wie Aufgaben, Informationen, Sachmittel, Speicher und Medien bilden einen Prozess. Zusätzlich werden in einem Organigramm alle Elemente der Aufbauorganisation wie organisatorische Einheiten, Stellen und Leiter abgebildet. Diese können als Bearbeiter einzelner Aktivitäten den Prozessen zugeordnet werden. Die Systemlandschaft wird über Speicher und Sachmittel dargestellt und kann um weitere Elemente erweitert werden. Der so mit BONAPART angepasste Prozess ist eine enorme Hilfestellung für die tägliche Arbeit im Rahmen der IT-Sicherheit. Zusätzlich können operative Sicherheitsprozesse wie zum Beispiel die Alarmierung im Katastrophenfall, modelliert und konsistent, sowie transparent abgebildet und mit dem IT-Sicherheitsprozess verbunden werden. Alle im Laufe der Prozessdurchführung erstellten Dokumente, sollten mit dem Prozessmodell und den dabei relevanten Prozessschritten verbunden werden. Dabei kann es sich zum Beispiel um die IT-Sicherheitsstrategie, eine IT-Sicherheitsleitlinie, oder dem IT-Sicherheitskonzept handeln. So kann der zuständige Bearbeiter einer Aktivität bei der Abarbeitung direkt auf diese Dokumente zugreifen. EMPRISE Process Management GmbH Seite 4
Das Prozessmodellierungswerkzeug kann zusätzlich als Informationssicherheitsmanagementsystem (ISMS) verwendet werden. Gemäß BSI Standard 100-1 [3] legt das ISMS fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt. Dabei gehören folgende Komponenten zu einem ISMS: Management Prinzipien Ressourcen Mitarbeiter IT-Sicherheitsprozess, mit der IT-Sicherheitsleitlinie inklusive der Ziele und der Strategie, das IT-Sicherheitskonzept und die IT- Sicherheitsorganisation Alle geforderten Komponenten können im Prozessmodell und dem Werkzeug BONAPART abgebildet und dokumentiert werden. Mit dem BONAPART Referenzmodell werden die gesetzlichen Auflagen erfüllt. Es erleichtert die Verminderung der Risiken auf ein akzeptables Niveau und neben der Revisionssicherheit wird ein zertifizierbares IT-Sicherheitsniveau erreicht. Da alle relevanten Dokumente bei Eintritt eines Notfalls / einer Katastrophe auch in Papierform vorliegen müssen, ist mit BONAPART auf einfache Art und Weise ein Word-Export möglich. Abbildung 4: BONAPART Referenzmodell Zertifizierung Ausblick und Fazit Nicht nur bei der Anwendung des IT-Grundschutzhandbuches, sondern bei allen eingesetzten Standards zur IT-Sicherheit, sollte eine prozessorientierte Vorgehensweise EMPRISE Process Management GmbH Seite 5
eingesetzt werden. Zusätzlich wird mit diesem Vorgehen der prozessorientierten Ausrichtung des Unternehmens auch bei der IT-Sicherheit Rechnung getragen. Durch die umfangreichen Exportmöglichkeiten, kann der IT-Sicherheitsprozess im gesamten Unternehmen einfach und transparent dokumentiert und publiziert werden. Die Kommunikation und das Verständnis im Unternehmen zum Thema IT-Sicherheit wird sich durch diese Vorgehensweise verbessern. Literatur [1] BSI, IT-Grundschutzhandbuch [2] BSI Standard 100-2 IT-Grundschutz Vorgehensweise [3] BSI Standard 100-1 Managementsysteme für Informationssicherheit (ISMS) 10.02.2006 EMPRISE Process Management GmbH Seite 6