Dr. Marie-Luise Moschgath / Isabel Münch Folie 1

BSI-Standard 100-4 Notfallmanagement

Isabel MünchBundesamt für Sicherheit in der Informationstechnik

IT-Sicherheitsmanagement und IT-Grundschutz

Dr. Marie-Luise MoschgathPricewaterhouseCoopers AG

Dr. Marie-Luise Moschgath / Isabel Münch Folie 2

IT-Grundschutz

seit 2005

+BSI-Standards Loseblattsammlung

Dr. Marie-Luise Moschgath / Isabel Münch Folie 3

Dienstleistungen und Produkte rund um den IT-Grundschutz

Sicherheitsbedarf,Anspruch

Webkurs zum Selbststudium

ISO 27001-Zertifikat

LeitfadenInformationssicherheit

Software:„GSTOOL“

-

°

+

Beispiele:„GS-Profile“

Hilfsmittel & Musterrichtlinien

BSI Standard 100-1: ISMS

BSI Standard 100-2: IT-Grundschutz-Vorgehensweise

BSI Standard 100-3: Risiko-Analyse

IT-Grundschutz-Kataloge

BSI Standard 100-4: Notfallmanagement

Leitfaden IS-Revision

BSI-Empfehlungen:- Internetsicherheit- Hochverfügbarkeit

Dr. Marie-Luise Moschgath / Isabel Münch Folie 4

BSI-Standards2006

BSI-Standard 100-1: Managementsysteme für Informations-sicherheit (ISMS)

BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise

BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

IT-Grundschutz-KatalogeBausteinkataloge Gefährdungskataloge Maßnahmenkataloge

Dr. Marie-Luise Moschgath / Isabel Münch Folie 5

IT-Grundschutz und der Notfall2006

B 1.3 “Notfall-Vorsorgekonzept“B 1.8 “Behandlung von Sicherheitsvorfällen“

Dr. Marie-Luise Moschgath / Isabel Münch Folie 6

BSI-Standard 100-4: Notfallmanagement

Anforderungen an die EntwicklungKompatibel zu anerkannten Standards

(BS 25999, BCI GPG, ITIL, ...)Hilfestellung bei der UmsetzungAbstimmung mit der Vorgehensweise nach

IT-Grundschutz für ein ISMS

Dr. Marie-Luise Moschgath / Isabel Münch Folie 7

Warum ein BSI-Standard?

Notfallmanagement ... ... Teil des ISMS? ... Aufgabe der IT?

Dr. Marie-Luise Moschgath / Isabel Münch Folie 8

ISM ↔ BCM

Fachaufgaben /Geschäftsprozesse

Informationen IT-Systeme PersonenSpezial-geräte

Infrastruktur

Dienstleister.Zulieferer,

…

Informations-sicherheit-management

- Vertraulichkeit- Integrität- Verfügbarkeit

Informations-sicherheit-management

Notfall-management /BCM- Verfügbarkeit kritischer GP

Betriebs-mittel

Dr. Marie-Luise Moschgath / Isabel Münch Folie 9

Was sind “Notfälle” im Sinne des 100-4?

Störung Notfall Krise Katastrophenicht betrachtet

Dr. Marie-Luise Moschgath / Isabel Münch Folie 10

Was sind “Notfälle” im Sinne des 100-4?

Störung Notfall Krise Katastrophe

Dr. Marie-Luise Moschgath / Isabel Münch Folie 11

Was sind “Notfälle” im Sinne des 100-4?

Robustheiterhöhen Notfallhandbuch

ErsatzsystemErsatzprozesse

Dr. Marie-Luise Moschgath / Isabel Münch Folie 12

Was sind “Notfälle” im Sinne des 100-4?

AusfallUmspannwerk

AusfallRechenzentrum

Ausfall von150 Sparkassen-Instituten,Geldautomaten,Kontoauszugsdrucker,Onlinebanking

Störung Notfall Krise Katastrophe

Dr. Marie-Luise Moschgath / Isabel Münch Folie 13

Was sind “Notfälle” im Sinne des 100-4?

Störung Notfall Krise Katastrophe

Dr. Marie-Luise Moschgath / Isabel Münch Folie 14

Was sind “Notfälle” im Sinne des 100-4?

Störung Notfall Krise Katastrophe

Dr. Marie-Luise Moschgath / Isabel Münch Folie 15

Was sind “Notfälle” im Sinne des 100-4?

Störung Notfall Krise Katastrophe

Dr. Marie-Luise Moschgath / Isabel Münch Folie 16

Was ist Notfallmanagement?

„Das Notfallmanagement umfasst das geplante und organisierte Vorgehen, um die Widerstandsfähigkeit der

(zeit-)kritischen Geschäftsprozesse einer Institution nachhaltig zu steigern, auf Schadensereignisse

angemessen reagieren und die Geschäftstätigkeiten so schnell wie möglich wieder aufnehmen zu können.“

Dr. Marie-Luise Moschgath / Isabel Münch Folie 17

Initiierung des Notfallmanagements

Konzeption

Umsetzung des Notfallkonzepts

Tests und Übungen

Notfallmanagement-Prozessim Überblick

Überprüfung und Verbesserung

Notfallbewältigung

Dr. Marie-Luise Moschgath / Isabel Münch Folie 18

Konzeption

Umsetzung des Notfallkonzepts

Tests und Übungen

Notfallmanagement-Prozessim Überblick

Überprüfung undVerbesserung

Notfallbewältigung

Initiierung des Notfallmanagements

- Verantwortung- Organisatorische Strukturen- Leitlinie- Einbindung Mitarbeiter

Dr. Marie-Luise Moschgath / Isabel Münch Folie 19

Umsetzung des Notfallkonzepts

Tests und Übungen

Notfallmanagement-Prozessim Überblick

Überprüfung undVerbesserung

Notfallbewältigung

Initiierung des Notfallmanagements

Konzeption

Dr. Marie-Luise Moschgath / Isabel Münch Folie 20

Notfallmanagement-Prozess

Kontinuitätsstrategien

Ist-Aufnahme

Notfallvorsorgekonzept

Risikoanalyse

Business Impact Analyse (BIA)

Konzeption

Dr. Marie-Luise Moschgath / Isabel Münch Folie 21

KonzeptionBusiness Impact Analyse (BIA)

Die zentrale Aufgabe einer Business Impact Analyse ist es, ...

... zu verstehen, welche Geschäftsprozesse und Ressourcen wichtig für die Aufrechterhaltung des Geschäftsbetriebs und damit für die Institution sind, und

... welche Folgen ein Ausfall haben kann.

Dr. Marie-Luise Moschgath / Isabel Münch Folie 22

Kontinuitäts-strategien

Ist-Aufnahme

Notfallvorsorge-konzept

Risikoanalyse

Business Impact Analyse (BIA)

Business Impact Analyse (BIA)

Konzeption

Notfallmanagement-Prozess

Geschäfts-prozesse und Stammdaten

Teil-prozess

Teil-prozess

Teil-prozess

Prozess ١ Prozess ٢ Prozess n

Teil-prozess

Teil-prozess

Teil-prozess

Input ١

Input ٢Output

Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…

benötigt

ist unterteilt

Teil-prozess

Teil-prozess

Teil-prozess

Prozess ١ Prozess ٢ Prozess n

Teil-prozess

Teil-prozess

Teil-prozess

Input ١

Input ٢Output

Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…

benötigt

ist unterteilt

Auswahl der einzubeziehenden Organisationseinheiten und

Geschäftsprozesse

Schadensanalyse

Priorisierung und Kritikalität

Berücksichtigung der Abhängigkeiten

Vererbung der Kritikalität auf die Ressourcen

Festlegung der Wiederanlaufparameter

Erhebung der Ressourcen für Normal- und Notbetrieb

Dr. Marie-Luise Moschgath / Isabel Münch Folie 23

Schutzbedarfsfeststellung

SchutzbedarfsfeststellungGeschäftsprozess / Anwendung

Grundwert Schutzbedarf

Anwendung A Vertraulichkeit HochIntegrität Hoch

Verfügbarkeit Normal

Anwendung B … …… … …

Dr. Marie-Luise Moschgath / Isabel Münch Folie 24

Business Impact AnalyseSchadensanalyse

Bestands-gefährdungslinie

Indirekte Schäden

Direkte Schäden

t

€

niedrig

normal

hoch

sehr hoch

B1 B2 B3 B4

Schadens-entwicklung

Dr. Marie-Luise Moschgath / Isabel Münch Folie 25

Business Impact AnalyseSchadensanalyse

1=niedrig, 2=normal, 3=hoch, 4=sehr hoch

Dr. Marie-Luise Moschgath / Isabel Münch Folie 26

Wiederanlaufparameter

Dr. Marie-Luise Moschgath / Isabel Münch Folie 27

Kontinuitäts-strategien

Ist-Aufnahme

Notfallvorsorge-konzept

Risikoanalyse

Business Impact Analyse (BIA)

Business Impact Analyse (BIA)

Konzeption

Notfallmanagement-Prozess

Geschäfts-prozesse und Stammdaten

Teil-prozess

Teil-prozess

Teil-prozess

Prozess 1 Prozess 2 Prozess n

Teil-prozess

Teil-prozess

Teil-prozess

Input 1

Input 2Output

Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…

benötigt

ist unterteilt

Teil-prozess

Teil-prozess

Teil-prozess

Prozess 1 Prozess 2 Prozess n

Teil-prozess

Teil-prozess

Teil-prozess

Input 1

Input 2Output

Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…

benötigt

ist unterteilt

Auswahl der einzubeziehenden Organisationseinheiten und

Geschäftsprozesse

Schadensanalyse

Priorisierung und Kritikalität

Berücksichtigung der Abhängigkeiten

Vererbung der Kritikalität auf die Ressourcen

Festlegung der Wiederanlaufparameter

Erhebung der Ressourcen für Normal- und Notbetrieb

Dr. Marie-Luise Moschgath / Isabel Münch Folie 28

Kritische Geschäftsprozesseverschiedene Beispiele

Dr. Marie-Luise Moschgath / Isabel Münch Folie 29

Kontinuitäts-strategien

Ist-Aufnahme

Notfallvorsorge-konzept

Risikoanalyse

Business Impact Analyse (BIA)

Business Impact Analyse (BIA)

Konzeption

Notfallmanagement-Prozess

Geschäfts-prozesse und Stammdaten

Teil-prozess

Teil-prozess

Teil-prozess

Prozess 1 Prozess 2 Prozess n

Teil-prozess

Teil-prozess

Teil-prozess

Input 1

Input 2Output

Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…

benötigt

ist unterteilt

Teil-prozess

Teil-prozess

Teil-prozess

Prozess 1 Prozess 2 Prozess n

Teil-prozess

Teil-prozess

Teil-prozess

Input 1

Input 2Output

Ressourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…

benötigt

ist unterteilt

Auswahl der einzubeziehenden Organisationseinheiten und

Geschäftsprozesse

Schadensanalyse

Priorisierung und Kritikalität

Berücksichtigung der Abhängigkeiten

Vererbung der Kritikalität auf die Ressourcen

Festlegung der Wiederanlaufparameter

Erhebung der Ressourcen für Normal- und Notbetrieb

Dr. Marie-Luise Moschgath / Isabel Münch Folie 30

Notfallmanagement-Prozess

Kontinuitätsstrategien

Ist-Aufnahme

Notfallvorsorgekonzept

Risikoanalyse

Business Impact Analyse (BIA)

Konzeption

Dr. Marie-Luise Moschgath / Isabel Münch Folie 31

KonzeptionTests und Übungen

Notfallmanagement-Prozessim Überblick

Überprüfung undVerbesserung

Notfallbewältigung

Initiierung des Notfallmanagements

Umsetzung des Notfallkonzepts - Kosten- und Aufwandsabschätzung - Umsetzungsreihenfolge - Aufgaben und Verantwortung - Realisierungsbegl. Maßnahmen

Dr. Marie-Luise Moschgath / Isabel Münch Folie 32

Konzeption

Umsetzung des Notfallkonzepts

Tests und Übungen

Notfallmanagement-Prozessim Überblick

Überprüfung undVerbesserung

Initiierung des Notfallmanagements

Notfallbewältigung - Aufbauorganisation - Ablauforganisation - Krisenkommunikation - Notfallhandbuch

Dr. Marie-Luise Moschgath / Isabel Münch Folie 33

Organisatorische StrukturenNotfallbewältigung

Entscheidungs-gremium

Kernteam

erweiterter Krisenstab

Leiter

Öffentlich-keitsarbeit

Betriebs-sicherheit

Informations-sicherheit

JustitiariatIT-Betrieb

Fach-berater

Revision

CERTDatenschutz-beauftragter

Personal-vertretung

Abteilungs-vertreter

Krisenstab Notfallteams

Infrastruktur

IT

Org’Einheiten

Prozesse

strategisch taktisch operativ

Dr. Marie-Luise Moschgath / Isabel Münch Folie 34

Krisenstabsraum

Besondere Anforderungen: Ausreichend Platz: abgetrennte Besprechungszonen, soziale Bereiche etc. Sicherheit: Vertraulichkeit, Zugangs- und Sichtschutz, Abhörschutz- Technische Ausstattung: vernetzten Rechnern, Beamer, Scanner, Drucker,

mobile Speichermedien, Faxgeräte, Radio, Fernsehen oder Videorekorder, Mobiltelefone und eventuell analoge, stromunabhängige Telefone-

Redundante Stromversorgung Redundante Telekommunikations- und Internetanbindung Sonstige Ausstattung: Büromaterialien, Arbeitsmittel (z. B. Flipcharts, Tafeln,

Karten, Nachschlagewerke, Telefonbücher), gegebenenfalls Schutzausrüstung- Verpflegung und Entsorgung ...

Dr. Marie-Luise Moschgath / Isabel Münch Folie 35

NotfallbewältigungNotfallhandbuch

Notfallpläne

Geschäftsfortführungspläne

Wiederherstellungspläne

Krisenkommunikationsplan

Not

fallh

andb

uch

Krisenstabsleitfaden

Dr. Marie-Luise Moschgath / Isabel Münch Folie 36

Konzeption

Umsetzung des Notfallkonzepts

Notfallmanagement-Prozessim Überblick

Überprüfung undVerbesserung

Notfallbewältigung

Initiierung des Notfallmanagements

Tests und Übungen - Übungsarten - Dokumente - Durchführung

Dr. Marie-Luise Moschgath / Isabel Münch Folie 37

Tests und Übungen

Dr. Marie-Luise Moschgath / Isabel Münch Folie 38

Tests und Übungen

Rollen Übungsautor Vorbereitungsteam Übungsleiter / Moderator Kernteam Protokollant Akteure

Dokumente Übungshandbuch Übungsplan Übungskonzept mit Drehbuch Übungsprotokoll

Ablauf Planung Vorbereitung Durchführung Nachbearbeitung

Dr. Marie-Luise Moschgath / Isabel Münch Folie 39

Konzeption

Umsetzung des Notfallkonzepts

Tests und Übungen

Notfallmanagement-Prozessim Überblick

Notfallbewältigung

Initiierung des NotfallmanagementsÜberprüfung und

Verbesserung - Self-Assessment, Revisionen

- Verbesserungsprozess

Dr. Marie-Luise Moschgath / Isabel Münch Folie 40

Initiierung des Notfallmanagements

- Verantwortung- Organisatorische Strukturen- Leitlinie- Einbindung Mitarbeiter

Konzeption - Business Impact Analyse - Risikoanalyse - Ist-Zustand - Kontinuitätsstrategien

Umsetzung des Notfallkonzepts - Kosten- und Aufwandsabschätzung - Umsetzungsreihenfolge - Aufgaben und Verantwortung - Realisierungsbegl. Maßnahmen

Notfallbewältigung - Ablauforganisation - Krisenkommunikation - Notfallhandbuch

Tests und Übungen - Übungsarten - Dokumente - Durchführung

Überprüfung und Verbesserung

- Self-Assessment, Revisionen - Verbesserungsprozess

Notfallmanagement-Prozessim Überblick

Dr. Marie-Luise Moschgath / Isabel Münch Folie 41

Welche Rolle spielt der Standard 100-4?

Verbindliche Vorgaben?Zertifizierung?...

Dr. Marie-Luise Moschgath / Isabel Münch Folie 42

Wie geht es weiter?

Bausteine B 1.3 “Notfall-Vorsorgekonzept“ B 1.8 “Behandlung von Sicherheitsvorfällen“

HilfsmittelWeiterentwicklungen

● Abgleich mit BSI-Standard 100-2?● GSTOOL?

Dr. Marie-Luise Moschgath / Isabel Münch Folie 43

Informationsmaterial

http://www.bsi.bund.de/literat/bsi_standard/index.htm

Dr. Marie-Luise Moschgath / Isabel Münch Folie 44

Fazit

Notfallmanagement - BSI-Standard 100-4 zur Business Continuity

Notfallmanagement nimmt eine immer größere Rolle in Unternehmen und Behörden ein

Umfassende Hilfestellung bei der Umsetzung eines Notfallmanagements

Vorgehensmodell an Grundschutz-Vorgehensmodell angelehnt, um Synergieeffekte zu nutzen

Dr. Marie-Luise Moschgath / Isabel Münch Folie 45

Kontakt

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Isabel MünchGodesberger Allee 185-18953175 BonnTelefon: +49 (0)3018-9582-5367

IT-Grundschutz-HotlineTelefon: +49 (0)3018-9582-5369E-Mail: grundschutz@bsi.bund.de

Folie 1Folie 2Folie 3Folie 4Folie 5Folie 6Folie 7ISM BCMFolie 9Folie 10Folie 11Folie 12Folie 13Folie 14Folie 15Folie 16Folie 17Folie 18Folie 19Folie 20Folie 21Folie 22Folie 23Folie 24Folie 25Folie 26Folie 27Folie 28Folie 29Folie 30Folie 31Folie 32Krisenmanagement Organisatorische StrukturenFolie 34Folie 35Folie 36Folie 37Folie 38Folie 39Folie 40Folie 41Folie 42Folie 43Folie 44Folie 45