Download - HiSolutions AG
Download - HiSolutions AG
Download - HiSolutions AG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
1<br />
UMSETZUNGSRAHMENWERK ZUR<br />
ETABLIERUNG EINES NOTFALL-<br />
MAN<strong>AG</strong>EMENTS<br />
Robert Kallwies, Managing Consultant<br />
UMRA | IT-Grundschutz-Tag 2013
2<br />
<strong>AG</strong>ENDA<br />
1 Notfallmanagement nach BSI-Standard 100-4<br />
2 Das Umsetzungsrahmenwerk zum BSI-<br />
Standard 100-4<br />
<strong>AG</strong>ENDA<br />
UMRA | IT-Grundschutz-Tag 2013
3<br />
<strong>AG</strong>ENDA<br />
1 Notfallmanagement nach BSI-Standard 100-4<br />
2 Das Umsetzungsrahmenwerk zum BSI-<br />
Standard 100-4<br />
<strong>AG</strong>ENDA<br />
UMRA | IT-Grundschutz-Tag 2013
4<br />
KURZVORSTELLUNG ROBERT KALLWIES<br />
Audit-Teamleiter für ISO 27001 Audits auf der Basis von IT-Grundschutz (BSI)<br />
Mitautor des BSI-Standards 100-4 Notfallmanagement<br />
Projektleiter und Mitautor / UMRA<br />
Beratungsschwerpunkte der letzten 10 Jahre:<br />
Implementierung, Prüfung und Optimierung von Business Continuity Management<br />
Systemen<br />
Etablierung IT-Notfallmanagement<br />
NOTFALLMAN<strong>AG</strong>EMENT NACH BSI-STANDARD 100-4<br />
Einführung Informationssicherheitsmanagement-systeme<br />
UMRA | IT-Grundschutz-Tag 2013
5<br />
ZIEL EINES NOTFALLMAN<strong>AG</strong>EMENTS<br />
„<br />
NOTFALLMAN<strong>AG</strong>EMENT NACH BSI-STANDARD 100-4<br />
"Ziel des Notfallmanagements ist es, sicherzustellen, dass<br />
wichtige Geschäftsprozesse selbst in kritischen Situationen nicht<br />
oder nur temporär unterbrochen werden und die wirtschaftliche<br />
Existenz der Institution auch bei einem größeren<br />
Schadensereignis gesichert bleibt."<br />
(BSI-Standard 100-4)<br />
Quelle: BSI Standard 100-4, Seite 1<br />
UMRA | IT-Grundschutz-Tag 2013
6<br />
NOTFALLMAN<strong>AG</strong>EMENT NACH BSI-STANDARD 100-4<br />
STATUS QUO BIS 2008: IT-GRUNDSCHUTZ-BAUSTEIN<br />
B1.3 NOTFALLVORSORGE-KONZEPT<br />
UMRA | IT-Grundschutz-Tag 2013
7<br />
STATUS QUO SEIT 2009<br />
Schnelle Umsetzungshilfe<br />
durch unterstützende<br />
Beispiele<br />
Prozessorientierter Ansatz<br />
(PDCA)<br />
Vorschläge für<br />
Inhaltsverzeichnisse und<br />
Musterstrukturen<br />
(KANN, kein MUSS)<br />
NOTFALLMAN<strong>AG</strong>EMENT NACH BSI-STANDARD 100-4<br />
UMRA | IT-Grundschutz-Tag 2013
8<br />
NOTFALLMAN<strong>AG</strong>EMENT NACH BSI-STANDARD 100-4<br />
DER BSI-STANDARD 100-4 BESCHREIBT:<br />
„ „[…] ein eigenständiges Managementsystem<br />
für die Geschäftsfortführung und die Notfallbewältigung.<br />
Ziel ist es, einen systematischen Weg aufzuzeigen, um<br />
bei Notfällen und Krisen der verschiedensten Art und<br />
Ursprungs, die zu einer Geschäftsunterbrechung führen<br />
können, schnell reagieren zu können. Er beschreibt mehr<br />
als IT-Notfallmanagement und ist daher nicht als<br />
Unterbereich des ISMS zu sehen.“<br />
Quelle: BSI Standard 100-4, Seite 4<br />
UMRA | IT-Grundschutz-Tag 2013
9<br />
DER BSI-STANDARD 100-4 BETRACHTET MEHR ALS DEN<br />
IT-AUSFALL<br />
Ausfall Gebäude / Infrastr.<br />
Stromausfall<br />
Bombendrohung<br />
Hochwasser<br />
Defekt an Zuleitungen<br />
Ausfall Personal<br />
Krankheit/Pandemie<br />
Unfall/Todesfall<br />
Streik bzw.<br />
Demonstration<br />
NOTFALLMAN<strong>AG</strong>EMENT NACH BSI-STANDARD 100-4<br />
Ausfallszenarien<br />
Ausfall IT<br />
Systemausfall<br />
Feuer-/<br />
Wasserschaden<br />
Ausfall von Strom<br />
oder Klimatisierung<br />
Ausfall Dienstleister<br />
Personalausfall<br />
beim Dienstleister<br />
Insolvenz<br />
Ausfall Infrastruktur<br />
UMRA | IT-Grundschutz-Tag 2013
10<br />
DER NOTFALLMAN<strong>AG</strong>EMENT-PROZESS NACH<br />
BSI-STANDARD 100-4<br />
Vorgehen 100-4<br />
Initialisierung des<br />
Notfallmanagements<br />
Konzeption<br />
Umsetzung des<br />
Notfallvorsorgekonzepts<br />
Notfallbewältigung<br />
Übungen & Tests<br />
Aufrechterhaltung und<br />
Kontinuierliche Verbesserung<br />
NOTFALLMAN<strong>AG</strong>EMENT NACH BSI-STANDARD 100-4<br />
UMRA | IT-Grundschutz-Tag 2013
11<br />
DER NOTFALLMAN<strong>AG</strong>EMENT-PROZESS NACH<br />
BSI-STANDARD 100-4<br />
Vorgehen 100-4<br />
Initialisierung des<br />
Notfallmanagements<br />
Konzeption<br />
Umsetzung des<br />
Notfallvorsorgekonzepts<br />
Notfallbewältigung<br />
Übungen & Tests<br />
Aufrechterhaltung und<br />
Kontinuierliche Verbesserung<br />
NOTFALLMAN<strong>AG</strong>EMENT NACH BSI-STANDARD 100-4<br />
Business Impact Analyse<br />
Risikoanalyse<br />
Aufnahme des Ist-Zustands<br />
Kontinuitätsstrategien<br />
Notfallvorsorgekonzept<br />
UMRA | IT-Grundschutz-Tag 2013
12<br />
ZUR UMSETZUNG EINES NOTFALLMAN<strong>AG</strong>EMENTS<br />
WERDEN VERSCHIEDENE DOKUMENTE BENÖTIGT<br />
BIA Bericht<br />
NOTFALLMAN<strong>AG</strong>EMENT NACH BSI-STANDARD 100-4<br />
Übungskonzept<br />
Sofortmaßnahmenplan<br />
Übungsprotokoll<br />
Risiko<br />
Erhebungsbogen<br />
Notfallvorsorgekonzept<br />
Strategie<br />
UMRA | IT-Grundschutz-Tag 2013
13<br />
NOTFALLMAN<strong>AG</strong>EMENT NACH BSI-STANDARD 100-4<br />
HIER ERGEBEN SICH UNTERSCHIEDLICHE FR<strong>AG</strong>EN<br />
1. Wann sollten die Dokumente<br />
erstellt werden?<br />
2. Welche Inhalte sollten mindestens<br />
enthalten sein?<br />
3. Welcher Personenkreis ist im<br />
Rahmen der Erstellung mit<br />
einzubeziehen?<br />
4. Welche Voraussetzungen müssen vor<br />
der Erstellung erfüllt sein?<br />
5. …<br />
UMRA | IT-Grundschutz-Tag 2013
14<br />
<strong>AG</strong>ENDA<br />
1 Notfallmanagement nach BSI-Standard 100-4<br />
2 Das Umsetzungsrahmenwerk zum BSI-<br />
Standard 100-4<br />
<strong>AG</strong>ENDA<br />
UMRA | IT-Grundschutz-Tag 2013
15<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
DIE ETABLIERUNG EINES NOTFALLMAN<strong>AG</strong>EMENTS<br />
BRINGT HERAUSFORDERUNGEN MIT SICH*<br />
Studien belegen, dass Notfallmanagement bei den Befragten einen sehr hohen<br />
Stellenwert hat, in der Praxis schätzen jedoch nur 1/3 der Befragten ihr<br />
Notfallmanagement als sehr gut bis gut ein*.<br />
Herausforderung bei der Implementierung:<br />
Personen mit geringen Praxiskenntnissen und begrenzten<br />
Ressourcen haben Schwierigkeiten Prioritäten festzulegen<br />
und den benötigten Reifegrad bzw. Umfang des<br />
Notfallmanagements zu ermitteln.<br />
Die Umsetzung kann vielfach nicht zielgerichtet<br />
angegangen werden, da Aufwände nicht eingeschätzt<br />
werden können und Ziele unklar sind.<br />
Für die Realisierung der im BSI-Standard 100-4<br />
beschriebenen Methoden fehlen Anwendern konkrete<br />
Vorgaben und Hilfsmittel.<br />
*Quellen: Ernst & Young, 2012 Global<br />
Information Security Survey,<br />
BSI-Studie zu IT-Sicherheitsstandards<br />
und Notfallmanagement<br />
UMRA | IT-Grundschutz-Tag 2013
16<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
ZIELSTELLUNG DES UMSETZUNGSRAHMENWERKS<br />
Behörden und Institutionen einen Umsetzungsleitfaden für die<br />
Etablierung eines Notfallmanagements zur Verfügung stellen, mit<br />
dem ein Anwender mit geringen Vorkenntnissen und mit<br />
begrenztem Aufwand ein angepasstes Notfallmanagementsystem<br />
etablieren kann.<br />
UMRA | IT-Grundschutz-Tag 2013
17<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
DER AUFBAU DES UMSETZUNGSRAHMENWERKS<br />
GLIEDERT SICH IN UNTERSCHIEDLICHE EBENEN<br />
Umsetzungsrahmenwerk (Hauptdokument)<br />
Drei Leitfäden<br />
(Beschreibung ressourcenabhängiger Detailtiefe)<br />
5 Phasen mit 9 Modulen<br />
70 Dokumente (Modulbeschreibungen,<br />
Dokumentenvorlagen, Ausfüllanleitungen,<br />
Erfassungsbögen und Präsentationen)<br />
In den Formaten MS Office und OpenOffice<br />
UMRA | IT-Grundschutz-Tag 2013
18<br />
ÜBERSICHT DER GLIEDERUNGSSTRUKTUR DES<br />
UMSETZUNGSRAHMENWERKS<br />
Initialisierung des<br />
Notfallmanagements<br />
Leitlinie<br />
Erfassung der<br />
Organisation<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
Konzeption Notfallbewältigung Übungen und Tests<br />
Business Impact<br />
Analyse<br />
Erhebung und<br />
Auswertung<br />
BIA-Bericht<br />
Risikoanalyse<br />
Erhebung und<br />
Auswertung<br />
Risiko-Inventar<br />
Strategieentwicklung<br />
Entwicklung von<br />
Kontinuitätsstrategien<br />
Kosten-Nutzen-<br />
Analyse<br />
Umsetzungsplan<br />
Notfallvorsorgekonzept<br />
Notfallvorsorgekonzept<br />
Notfallhandbuch<br />
Notfallhandbuch<br />
Wiederanlaufplan<br />
Wiederherstellungsplan<br />
Geschäftsfortführungsplan<br />
Krisenkommunikationsplan<br />
Übungen und Tests<br />
Mittel- langfristiger<br />
Übungsplan<br />
Checkliste<br />
Übungsplanung<br />
Übungskonzept<br />
Berichtserstellung<br />
Drehbuch<br />
Aufrechterhaltung<br />
und kontinuierliche<br />
Verbesserung<br />
Audit<br />
Selbstüberprüfung<br />
Interview und<br />
Dokumentenprüfung<br />
Standardfragenkatalog(institutionsspezifische<br />
Anpassung)<br />
Schulung und<br />
Sensibilisierung<br />
Sensibilisierung<br />
ausgewählter<br />
Mitarbeiter<br />
Sensibilisierung aller<br />
Mitarbeiter<br />
UMRA | IT-Grundschutz-Tag 2013
19<br />
Entwicklungszeitraum<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
STUFEN DES UMSETZUNGSRAHMENWERKS<br />
Umsetzungsgrad III:<br />
Vollständige Bearbeitung aller<br />
Phasen des Notfallmanagements<br />
Umsetzungsgrad II:<br />
Präventive und reaktive Notfallreaktion<br />
definiert und beschrieben<br />
Übungen und Tests sowie<br />
kontinuierliche Weiterentwicklung in<br />
Grundsätzen beschrieben<br />
Umsetzungsgrad I:<br />
Ermöglichung eines<br />
Notfallmanagements<br />
Teilweise ist die Notfallbewältigung<br />
möglich oder initial vorbereitet<br />
Prozesse sind nicht beschrieben<br />
Ressourceneinsatz<br />
III<br />
II<br />
I<br />
UMRA | IT-Grundschutz-Tag 2013
20<br />
UMSETZUNG DER STUFE 1<br />
Stufe 1<br />
Leitlinie<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
Business Impact Analyse<br />
Strategieentwicklung<br />
Notfallhandbuch<br />
Übungen und Tests<br />
Schulung & Sensibilisierung<br />
III<br />
II<br />
I<br />
Zeit Aufwand<br />
Personal-<br />
bedarf<br />
UMRA | IT-Grundschutz-Tag 2013
21<br />
Stufe 2<br />
Leitlinie<br />
Business Impact Analyse<br />
Risikoanalyse (gekürzt)<br />
Strategieentwicklung<br />
Notfallvorsorgekonzept (gekürzt)<br />
Notfallhandbuch<br />
Übungen und Tests (gekürzt)<br />
Audit<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
UMSETZUNG DER STUFE 2<br />
Schulung & Sensibilisierung<br />
III<br />
II<br />
I<br />
Zeit Aufwand<br />
Personal-<br />
bedarf<br />
UMRA | IT-Grundschutz-Tag 2013
22<br />
UMSETZUNG DER STUFE 2<br />
Stufe 3<br />
Leitlinie<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
Business Impact Analyse<br />
Risikoanalyse<br />
Strategieentwicklung<br />
Notfallvorsorgekonzept<br />
Notfallhandbuch<br />
Übungen und Tests<br />
Audit<br />
Schulung & Sensibilisierung<br />
III<br />
II<br />
I<br />
Zeit Aufwand<br />
Personal-<br />
bedarf<br />
UMRA | IT-Grundschutz-Tag 2013
23<br />
DIE LEITFÄDEN SIND DER ROTE<br />
FADEN ZUR ETABLIERUNG DES<br />
NOTFALLMAN<strong>AG</strong>EMENTSYSTEMS<br />
Folgende Beschreibungen bestehen für alle<br />
Module:<br />
Voraussetzungen zur Umsetzung<br />
Mindestanforderung zur Erreichung der<br />
definierten Stufe<br />
Mindestinhalte der Hilfsmittel<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
Modul Eingangs- / Ausgangsinformationen<br />
Bildquelle: astrologieschule.org<br />
UMRA | IT-Grundschutz-Tag 2013
24<br />
BEISPIEL: MODUL ÜBUNGEN UND TESTS<br />
Initialisierung des<br />
Notfallmanagements<br />
Konzeption<br />
Umsetzung des<br />
Notfallvorsorgekonzepts<br />
Notfallbewältigung<br />
Übungen & Tests<br />
Aufrechterhaltung &<br />
Kontinuierliche Verbesserung<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
Erstellen des lang- und mittelfristigen<br />
Übungsplans<br />
Erstellung einzelner Übungskonzepte<br />
Übungen / Tests<br />
planen und vorbereiten<br />
Übungen / Tests<br />
durchführen<br />
Übungen / Tests<br />
nachbereiten<br />
UMRA | IT-Grundschutz-Tag 2013<br />
Etablierung von Übungen & Tests
25<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
HILFSMITTEL ZU<br />
ÜBUNGEN UND TESTS<br />
1. Modulbeschreibung<br />
2. Ausfüllanleitung<br />
3. Übungsplan<br />
4. Übungssteckbrief<br />
5. Übungskonzept<br />
6. Übungsdrehbuch<br />
7. Übungseinladung<br />
8. Präsentation<br />
9. Protokollvorlage kurz<br />
10. Protokollvorlage umfangreich<br />
11. Fragebogen zur Sofortauswertung<br />
12. Ergebnisbericht<br />
angepasst<br />
UMRA | IT-Grundschutz-Tag 2013
26<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
HILFSMITTEL ZU<br />
ÜBUNGEN UND TESTS<br />
1. Modulbeschreibung<br />
2. Ausfüllanleitung<br />
3. Übungsplan<br />
4. Übungssteckbrief<br />
5. Übungskonzept<br />
6. Übungsdrehbuch<br />
7. Übungseinladung<br />
8. Präsentation<br />
9. Protokollvorlage kurz<br />
10. Protokollvorlage umfangreich<br />
11. Fragebogen zur Sofortauswertung<br />
12. Ergebnisbericht<br />
UMRA | IT-Grundschutz-Tag 2013
27<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
HILFSMITTEL ZU<br />
ÜBUNGEN UND TESTS<br />
1. Modulbeschreibung<br />
2. Ausfüllanleitung<br />
3. Übungsplan<br />
4. Übungssteckbrief<br />
5. Übungskonzept<br />
6. Übungsdrehbuch<br />
7. Übungseinladung<br />
8. Präsentation<br />
9. Protokollvorlage kurz<br />
10. Protokollvorlage umfangreich<br />
11. Fragebogen zur Sofortauswertung<br />
12. Ergebnisbericht<br />
UMRA | IT-Grundschutz-Tag 2013
28<br />
RAHMENBEDINGUNGEN UND VERÖFFENTLICHUNG<br />
FÜR DAS UMSETZUNGSRAHMENWERK<br />
Adressaten:<br />
DAS UMSETZUNGSRAHMENWERK ZUM BSI-STANDARD 100-4<br />
Notfallbeauftragte, IT-Sicherheitsbeauftrage oder mit<br />
der Umsetzung beauftragte Personen<br />
Barrierearme Dokumente in MS-Office und Open-Office<br />
Dokumente sind frei zugänglich über<br />
Sicherheitsberatung des Bundes<br />
Öffentlich auf der BSI-Webseite (eingeschränkt)<br />
Veröffentlichungsstand: Finaler Draft<br />
Kurzlink: https://www.bsi.bund.de/UMRA<br />
Anmerkungen/Kritik an grundschutz@bsi.bund.de<br />
UMRA | IT-Grundschutz-Tag 2013
29<br />
HISOLUTIONS BEDANKT<br />
SICH FÜR IHRE<br />
AUFMERKSAMKEIT<br />
<strong>HiSolutions</strong> <strong>AG</strong><br />
Robert Kallwies<br />
Bouchéstraße 12<br />
12435 Berlin<br />
kallwies@hisolutions.com<br />
www.hisolutions.com<br />
+49 30 533 289 0<br />
UMRA | IT-Grundschutz-Tag 2013