Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
Dr. Marie-Luise Moschgath / Isabel Münch Folie 1
BSI-Standard 100-4 Notfallmanagement
Isabel MünchBundesamt für Sicherheit in der Informationstechnik
IT-Sicherheitsmanagement und IT-Grundschutz
Dr. Marie-Luise MoschgathPricewaterhouseCoopers AG
Dr. Marie-Luise Moschgath / Isabel Münch Folie 2
IT-Grundschutz
seit 2005
+BSI-Standards Loseblattsammlung
Dr. Marie-Luise Moschgath / Isabel Münch Folie 3
Dienstleistungen und Produkte rund um den IT-Grundschutz
Sicherheitsbedarf,Anspruch
Webkurs zum Selbststudium
ISO 27001-Zertifikat
LeitfadenInformationssicherheit
Software:„GSTOOL“
-
°
+
Beispiele:„GS-Profile“
Hilfsmittel & Musterrichtlinien
BSI Standard 100-1: ISMS
BSI Standard 100-2: IT-Grundschutz-Vorgehensweise
BSI Standard 100-3: Risiko-Analyse
IT-Grundschutz-Kataloge
BSI Standard 100-4: Notfallmanagement
Leitfaden IS-Revision
BSI-Empfehlungen:- Internetsicherheit- Hochverfügbarkeit
Dr. Marie-Luise Moschgath / Isabel Münch Folie 4
BSI-Standards2006
BSI-Standard 100-1: Managementsysteme für Informations-sicherheit (ISMS)
BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
IT-Grundschutz-KatalogeBausteinkataloge Gefährdungskataloge Maßnahmenkataloge
Dr. Marie-Luise Moschgath / Isabel Münch Folie 5
IT-Grundschutz und der Notfall2006
B 1.3 “Notfall-Vorsorgekonzept“B 1.8 “Behandlung von Sicherheitsvorfällen“
Dr. Marie-Luise Moschgath / Isabel Münch Folie 6
BSI-Standard 100-4: Notfallmanagement
Anforderungen an die EntwicklungKompatibel zu anerkannten Standards
(BS 25999, BCI GPG, ITIL, ...)Hilfestellung bei der UmsetzungAbstimmung mit der Vorgehensweise nach
IT-Grundschutz für ein ISMS
Dr. Marie-Luise Moschgath / Isabel Münch Folie 7
Warum ein BSI-Standard?
Notfallmanagement ... ... Teil des ISMS? ... Aufgabe der IT?
Dr. Marie-Luise Moschgath / Isabel Münch Folie 8
ISM ↔ BCM
Fachaufgaben /Geschäftsprozesse
Informationen IT-Systeme PersonenSpezial-geräte
Infrastruktur
Dienstleister.Zulieferer,
…
Informations-sicherheit-management
- Vertraulichkeit- Integrität- Verfügbarkeit
Informations-sicherheit-management
Notfall-management /BCM- Verfügbarkeit kritischer GP
Betriebs-mittel
Dr. Marie-Luise Moschgath / Isabel Münch Folie 9
Was sind “Notfälle” im Sinne des 100-4?
Störung Notfall Krise Katastrophenicht betrachtet
Dr. Marie-Luise Moschgath / Isabel Münch Folie 10
Was sind “Notfälle” im Sinne des 100-4?
Störung Notfall Krise Katastrophe
Dr. Marie-Luise Moschgath / Isabel Münch Folie 11
Was sind “Notfälle” im Sinne des 100-4?
Robustheiterhöhen Notfallhandbuch
ErsatzsystemErsatzprozesse
Dr. Marie-Luise Moschgath / Isabel Münch Folie 12
Was sind “Notfälle” im Sinne des 100-4?
AusfallUmspannwerk
AusfallRechenzentrum
Ausfall von150 Sparkassen-Instituten,Geldautomaten,Kontoauszugsdrucker,Onlinebanking
Störung Notfall Krise Katastrophe
Dr. Marie-Luise Moschgath / Isabel Münch Folie 13
Was sind “Notfälle” im Sinne des 100-4?
Störung Notfall Krise Katastrophe
Dr. Marie-Luise Moschgath / Isabel Münch Folie 14
Was sind “Notfälle” im Sinne des 100-4?
Störung Notfall Krise Katastrophe
Dr. Marie-Luise Moschgath / Isabel Münch Folie 15
Was sind “Notfälle” im Sinne des 100-4?
Störung Notfall Krise Katastrophe
Dr. Marie-Luise Moschgath / Isabel Münch Folie 16
Was ist Notfallmanagement?
„Das Notfallmanagement umfasst das geplante und organisierte Vorgehen, um die Widerstandsfähigkeit der
(zeit-)kritischen Geschäftsprozesse einer Institution nachhaltig zu steigern, auf Schadensereignisse
angemessen reagieren und die Geschäftstätigkeiten so schnell wie möglich wieder aufnehmen zu können.“
Dr. Marie-Luise Moschgath / Isabel Münch Folie 17
Initiierung des Notfallmanagements
Konzeption
Umsetzung des Notfallkonzepts
Tests und Übungen
Notfallmanagement-Prozessim Überblick
Überprüfung und Verbesserung
Notfallbewältigung
Dr. Marie-Luise Moschgath / Isabel Münch Folie 18
Konzeption
Umsetzung des Notfallkonzepts
Tests und Übungen
Notfallmanagement-Prozessim Überblick
Überprüfung undVerbesserung
Notfallbewältigung
Initiierung des Notfallmanagements
- Verantwortung- Organisatorische Strukturen- Leitlinie- Einbindung Mitarbeiter
Dr. Marie-Luise Moschgath / Isabel Münch Folie 19
Umsetzung des Notfallkonzepts
Tests und Übungen
Notfallmanagement-Prozessim Überblick
Überprüfung undVerbesserung
Notfallbewältigung
Initiierung des Notfallmanagements
Konzeption
Dr. Marie-Luise Moschgath / Isabel Münch Folie 20
Notfallmanagement-Prozess
Kontinuitätsstrategien
Ist-Aufnahme
Notfallvorsorgekonzept
Risikoanalyse
Business Impact Analyse (BIA)
Konzeption
Dr. Marie-Luise Moschgath / Isabel Münch Folie 21
KonzeptionBusiness Impact Analyse (BIA)
Die zentrale Aufgabe einer Business Impact Analyse ist es, ...
... zu verstehen, welche Geschäftsprozesse und Ressourcen wichtig für die Aufrechterhaltung des Geschäftsbetriebs und damit für die Institution sind, und
... welche Folgen ein Ausfall haben kann.
Dr. Marie-Luise Moschgath / Isabel Münch Folie 22
Kontinuitäts-strategien
Ist-Aufnahme
Notfallvorsorge-konzept
Risikoanalyse
Business Impact Analyse (BIA)
Business Impact Analyse (BIA)
Konzeption
Notfallmanagement-Prozess
Geschäfts-prozesse und Stammdaten
Teil-prozess
Teil-prozess
Teil-prozess
Prozess ١ Prozess ٢ Prozess n
Teil-prozess
Teil-prozess
Teil-prozess
Input ١
Input ٢Output
Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…
benötigt
ist unterteilt
Teil-prozess
Teil-prozess
Teil-prozess
Prozess ١ Prozess ٢ Prozess n
Teil-prozess
Teil-prozess
Teil-prozess
Input ١
Input ٢Output
Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…
benötigt
ist unterteilt
Auswahl der einzubeziehenden Organisationseinheiten und
Geschäftsprozesse
Schadensanalyse
Priorisierung und Kritikalität
Berücksichtigung der Abhängigkeiten
Vererbung der Kritikalität auf die Ressourcen
Festlegung der Wiederanlaufparameter
Erhebung der Ressourcen für Normal- und Notbetrieb
Dr. Marie-Luise Moschgath / Isabel Münch Folie 23
Schutzbedarfsfeststellung
SchutzbedarfsfeststellungGeschäftsprozess / Anwendung
Grundwert Schutzbedarf
Anwendung A Vertraulichkeit HochIntegrität Hoch
Verfügbarkeit Normal
Anwendung B … …… … …
Dr. Marie-Luise Moschgath / Isabel Münch Folie 24
Business Impact AnalyseSchadensanalyse
Bestands-gefährdungslinie
Indirekte Schäden
Direkte Schäden
t
€
niedrig
normal
hoch
sehr hoch
B1 B2 B3 B4
Schadens-entwicklung
Dr. Marie-Luise Moschgath / Isabel Münch Folie 25
Business Impact AnalyseSchadensanalyse
1=niedrig, 2=normal, 3=hoch, 4=sehr hoch
Dr. Marie-Luise Moschgath / Isabel Münch Folie 26
Wiederanlaufparameter
Dr. Marie-Luise Moschgath / Isabel Münch Folie 27
Kontinuitäts-strategien
Ist-Aufnahme
Notfallvorsorge-konzept
Risikoanalyse
Business Impact Analyse (BIA)
Business Impact Analyse (BIA)
Konzeption
Notfallmanagement-Prozess
Geschäfts-prozesse und Stammdaten
Teil-prozess
Teil-prozess
Teil-prozess
Prozess 1 Prozess 2 Prozess n
Teil-prozess
Teil-prozess
Teil-prozess
Input 1
Input 2Output
Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…
benötigt
ist unterteilt
Teil-prozess
Teil-prozess
Teil-prozess
Prozess 1 Prozess 2 Prozess n
Teil-prozess
Teil-prozess
Teil-prozess
Input 1
Input 2Output
Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…
benötigt
ist unterteilt
Auswahl der einzubeziehenden Organisationseinheiten und
Geschäftsprozesse
Schadensanalyse
Priorisierung und Kritikalität
Berücksichtigung der Abhängigkeiten
Vererbung der Kritikalität auf die Ressourcen
Festlegung der Wiederanlaufparameter
Erhebung der Ressourcen für Normal- und Notbetrieb
Dr. Marie-Luise Moschgath / Isabel Münch Folie 28
Kritische Geschäftsprozesseverschiedene Beispiele
Dr. Marie-Luise Moschgath / Isabel Münch Folie 29
Kontinuitäts-strategien
Ist-Aufnahme
Notfallvorsorge-konzept
Risikoanalyse
Business Impact Analyse (BIA)
Business Impact Analyse (BIA)
Konzeption
Notfallmanagement-Prozess
Geschäfts-prozesse und Stammdaten
Teil-prozess
Teil-prozess
Teil-prozess
Prozess 1 Prozess 2 Prozess n
Teil-prozess
Teil-prozess
Teil-prozess
Input 1
Input 2Output
Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…
benötigt
ist unterteilt
Teil-prozess
Teil-prozess
Teil-prozess
Prozess 1 Prozess 2 Prozess n
Teil-prozess
Teil-prozess
Teil-prozess
Input 1
Input 2Output
Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…
benötigt
ist unterteilt
Auswahl der einzubeziehenden Organisationseinheiten und
Geschäftsprozesse
Schadensanalyse
Priorisierung und Kritikalität
Berücksichtigung der Abhängigkeiten
Vererbung der Kritikalität auf die Ressourcen
Festlegung der Wiederanlaufparameter
Erhebung der Ressourcen für Normal- und Notbetrieb
Dr. Marie-Luise Moschgath / Isabel Münch Folie 30
Notfallmanagement-Prozess
Kontinuitätsstrategien
Ist-Aufnahme
Notfallvorsorgekonzept
Risikoanalyse
Business Impact Analyse (BIA)
Konzeption
Dr. Marie-Luise Moschgath / Isabel Münch Folie 31
KonzeptionTests und Übungen
Notfallmanagement-Prozessim Überblick
Überprüfung undVerbesserung
Notfallbewältigung
Initiierung des Notfallmanagements
Umsetzung des Notfallkonzepts - Kosten- und Aufwandsabschätzung - Umsetzungsreihenfolge - Aufgaben und Verantwortung - Realisierungsbegl. Maßnahmen
Dr. Marie-Luise Moschgath / Isabel Münch Folie 32
Konzeption
Umsetzung des Notfallkonzepts
Tests und Übungen
Notfallmanagement-Prozessim Überblick
Überprüfung undVerbesserung
Initiierung des Notfallmanagements
Notfallbewältigung - Aufbauorganisation - Ablauforganisation - Krisenkommunikation - Notfallhandbuch
Dr. Marie-Luise Moschgath / Isabel Münch Folie 33
Organisatorische StrukturenNotfallbewältigung
Entscheidungs-gremium
Kernteam
erweiterter Krisenstab
Leiter
Öffentlich-keitsarbeit
Betriebs-sicherheit
Informations-sicherheit
JustitiariatIT-Betrieb
Fach-berater
Revision
CERTDatenschutz-beauftragter
Personal-vertretung
Abteilungs-vertreter
Krisenstab Notfallteams
Infrastruktur
IT
Org’Einheiten
Prozesse
strategisch taktisch operativ
Dr. Marie-Luise Moschgath / Isabel Münch Folie 34
Krisenstabsraum
Besondere Anforderungen: Ausreichend Platz: abgetrennte Besprechungszonen, soziale Bereiche etc. Sicherheit: Vertraulichkeit, Zugangs- und Sichtschutz, Abhörschutz- Technische Ausstattung: vernetzten Rechnern, Beamer, Scanner, Drucker,
mobile Speichermedien, Faxgeräte, Radio, Fernsehen oder Videorekorder, Mobiltelefone und eventuell analoge, stromunabhängige Telefone-
Redundante Stromversorgung Redundante Telekommunikations- und Internetanbindung Sonstige Ausstattung: Büromaterialien, Arbeitsmittel (z. B. Flipcharts, Tafeln,
Karten, Nachschlagewerke, Telefonbücher), gegebenenfalls Schutzausrüstung- Verpflegung und Entsorgung ...
Dr. Marie-Luise Moschgath / Isabel Münch Folie 35
NotfallbewältigungNotfallhandbuch
Notfallpläne
Geschäftsfortführungspläne
Wiederherstellungspläne
Krisenkommunikationsplan
Not
fallh
andb
uch
Krisenstabsleitfaden
Dr. Marie-Luise Moschgath / Isabel Münch Folie 36
Konzeption
Umsetzung des Notfallkonzepts
Notfallmanagement-Prozessim Überblick
Überprüfung undVerbesserung
Notfallbewältigung
Initiierung des Notfallmanagements
Tests und Übungen - Übungsarten - Dokumente - Durchführung
Dr. Marie-Luise Moschgath / Isabel Münch Folie 37
Tests und Übungen
Dr. Marie-Luise Moschgath / Isabel Münch Folie 38
Tests und Übungen
Rollen Übungsautor Vorbereitungsteam Übungsleiter / Moderator Kernteam Protokollant Akteure
Dokumente Übungshandbuch Übungsplan Übungskonzept mit Drehbuch Übungsprotokoll
Ablauf Planung Vorbereitung Durchführung Nachbearbeitung
Dr. Marie-Luise Moschgath / Isabel Münch Folie 39
Konzeption
Umsetzung des Notfallkonzepts
Tests und Übungen
Notfallmanagement-Prozessim Überblick
Notfallbewältigung
Initiierung des NotfallmanagementsÜberprüfung und
Verbesserung - Self-Assessment, Revisionen
- Verbesserungsprozess
Dr. Marie-Luise Moschgath / Isabel Münch Folie 40
Initiierung des Notfallmanagements
- Verantwortung- Organisatorische Strukturen- Leitlinie- Einbindung Mitarbeiter
Konzeption - Business Impact Analyse - Risikoanalyse - Ist-Zustand - Kontinuitätsstrategien
Umsetzung des Notfallkonzepts - Kosten- und Aufwandsabschätzung - Umsetzungsreihenfolge - Aufgaben und Verantwortung - Realisierungsbegl. Maßnahmen
Notfallbewältigung - Ablauforganisation - Krisenkommunikation - Notfallhandbuch
Tests und Übungen - Übungsarten - Dokumente - Durchführung
Überprüfung und Verbesserung
- Self-Assessment, Revisionen - Verbesserungsprozess
Notfallmanagement-Prozessim Überblick
Dr. Marie-Luise Moschgath / Isabel Münch Folie 41
Welche Rolle spielt der Standard 100-4?
Verbindliche Vorgaben?Zertifizierung?...
Dr. Marie-Luise Moschgath / Isabel Münch Folie 42
Wie geht es weiter?
Bausteine B 1.3 “Notfall-Vorsorgekonzept“ B 1.8 “Behandlung von Sicherheitsvorfällen“
HilfsmittelWeiterentwicklungen
● Abgleich mit BSI-Standard 100-2?● GSTOOL?
Dr. Marie-Luise Moschgath / Isabel Münch Folie 43
Informationsmaterial
http://www.bsi.bund.de/literat/bsi_standard/index.htm
Dr. Marie-Luise Moschgath / Isabel Münch Folie 44
Fazit
Notfallmanagement - BSI-Standard 100-4 zur Business Continuity
Notfallmanagement nimmt eine immer größere Rolle in Unternehmen und Behörden ein
Umfassende Hilfestellung bei der Umsetzung eines Notfallmanagements
Vorgehensmodell an Grundschutz-Vorgehensmodell angelehnt, um Synergieeffekte zu nutzen
Dr. Marie-Luise Moschgath / Isabel Münch Folie 45
Kontakt
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Isabel MünchGodesberger Allee 185-18953175 BonnTelefon: +49 (0)3018-9582-5367
IT-Grundschutz-HotlineTelefon: +49 (0)3018-9582-5369E-Mail: [email protected]
Folie 1Folie 2Folie 3Folie 4Folie 5Folie 6Folie 7ISM BCMFolie 9Folie 10Folie 11Folie 12Folie 13Folie 14Folie 15Folie 16Folie 17Folie 18Folie 19Folie 20Folie 21Folie 22Folie 23Folie 24Folie 25Folie 26Folie 27Folie 28Folie 29Folie 30Folie 31Folie 32Krisenmanagement Organisatorische StrukturenFolie 34Folie 35Folie 36Folie 37Folie 38Folie 39Folie 40Folie 41Folie 42Folie 43Folie 44Folie 45