BSI-Standard 100-4
BSI-Standard 100-4
BSI-Standard 100-4
- Keine Tags gefunden...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>BSI</strong>-<strong>Standard</strong> <strong>100</strong>-4der neue deutsche <strong>Standard</strong> zumNotfallmanagementDr. Marie-Luise MoschgathBundesamt für Sicherheit in der InformationstechnikIT-Sicherheitsmanagement und IT-Grundschutz
Das <strong>BSI</strong>Das Bundesamt für Sicherheit in der Informationstechnik... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung 1991 per Gesetzals nationale Behörde fürIT-Sicherheit,BMI nachgeordnet Jahresbudget: € 60 Mio. Mitarbeiter: ca. 500Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 2
ZielgruppenRegierung und Verwaltung Sicherheitsberatung CERT-Bund, Lagezentrum Penetrationstests Betrieb des Regierungsnetzes Entwicklung vonKryptosystemen LauschabwehrWirtschaft IT-Grundschutz Zertifizierung Sicherheitspartnerschaften Schutz kritischer InfrastrukturenBürger Sensibilisierungskampagnen Info - CD´s <strong>BSI</strong> - Internetangebotwww.bsi.bund.dewww.bsi-fuer-buerger.dewww.buerger-cert.de Fachbeiträge in ZeitschriftenWissenschaft Kooperation mit Universitäten Trendanalysen Vergabe vonForschungsaufträgenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 3
<strong>BSI</strong>-<strong>Standard</strong> <strong>100</strong>-4 Historie Einordnung in die <strong>BSI</strong>-<strong>Standard</strong>s <strong>BSI</strong>-<strong>Standard</strong>s <strong>100</strong>-4 Störung – Notfall – Krise – Katastrophe Notfallmanagement-Prozess Ausblick und FazitDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 4
Warum nur?<strong>BSI</strong>-<strong>Standard</strong>s zurInformationssicherheit- Bereich Sicherheitsmanagement -<strong>BSI</strong> <strong>Standard</strong> <strong>100</strong>-1:ISMS: Managementsysteme fürInformationssicherheit<strong>BSI</strong> <strong>Standard</strong> <strong>100</strong>-2:IT-Grundschutz-Vorgehensweise<strong>BSI</strong> <strong>Standard</strong> <strong>100</strong>-3:Risikoanalyse auf der Basis vonIT-GrundschutzIT-Grundschutz-KatalogeKapitel 1: EinleitungKapitel 2: Schichtenmodell und ModellierungKapitel 3: GlossarKapitel 4: Rollen• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"• Gefährdungskataloge• MaßnahmenkatalogeDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 5
IT-Grundschutz und der Notfall2006 B 1.3 “Notfall-Vorsorgekonzept“ B 1.8 “Behandlung von Sicherheitsvorfällen“Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 6
<strong>BSI</strong>-<strong>Standard</strong> <strong>100</strong>-4:NotfallmanagementAnforderungen an die EntwicklungKompatibel zu anerkannten <strong>Standard</strong>s(BS 25999, BCI GPG, ITIL, ...)Hilfestellung bei der UmsetzungAbstimmung mit der Vorgehensweise nachIT-Grundschutz für ein ISMSDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 7
Warum ein <strong>BSI</strong>-<strong>Standard</strong>?Notfallmanagement ...... Teil des ISMS?... Aufgabe der IT?Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 8
ISM ↔ BCMInformationssicherheitmanagement- Vertraulichkeit- Integrität- VerfügbarkeitFachaufgaben /GeschäftsprozesseNotfallmanagement/BCM- Verfügbarkeitkritischer GPInformationenIT-SystemePersonenInfrastrukturSpezialgeräteBetriebsmittelDienstleister.Zulieferer,…Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 9
Sicherheitsmanagement ↔ Notfallmanagement Ziel von ISM:Gewährleisten vonVertraulichkeit, Integrität undVerfügbarkeit vonInformationen, Anwendungenund IT-Systemen in einem für dasGeschäft angemessenen Niveau⇒ Schaden verhindern /minimieren ParadigmenwechselIT → Informationssicherheit undGanzheitliche Betrachtung Ziel von BCM:Gewährleisten derVerfügbarkeit kritischerProzesse auf einemakzeptablen Niveau⇒ Schaden verhindern /minimieren Steigende Abhängigkeit vonder IT Steigende Vernetzung ProzessorientiertheitDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 10
<strong>BSI</strong>-<strong>Standard</strong> <strong>100</strong>-4 Historie Einordnung in die <strong>BSI</strong>-<strong>Standard</strong>s Inhalt des <strong>BSI</strong>-<strong>Standard</strong>s <strong>100</strong>-4 Störung – Notfall – Krise – Katastrophe Notfallmanagement-Prozess Ausblick und FazitDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 11
Was sind “Notfälle” im Sinne des <strong>100</strong>-4?Störung Notfall Krise KatastropheBeeinträchtigung oder Unterbrechungvon GeschäftsprozessenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 12
Was ist Notfallmanagement?„Das Notfallmanagement umfasst das geplante undorganisierte Vorgehen, um die Widerstandsfähigkeitder (zeit-)kritischen Geschäftsprozesse einerInstitution nachhaltig zu steigern, aufSchadensereignisse angemessen reagieren und dieGeschäftstätigkeiten so schnell wie möglich wiederaufnehmen zu können.“Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 13
Notfallmanagement-Prozessim ÜberblickInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheAufrechterhaltungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 14
NotfallmanagementInitiierung Übernahme von Verantwortung durch dieLeitungsebene Erstellung einer Leitlinie Schaffung organisatorischer Voraussetzungen Einbindung aller MitarbeiterDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 15
Organisatorische StrukturenNotfallvorsorgeGesamtinstitutionOrg’EinheitenNotfallkoordinatorenNotfallvorsorgeteamInstitutionsleitungNotfallbeauftragterFachexpertenProzessverantwortlicheBereichsverantwortlicheDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 16
Notfallmanagement-Prozessim ÜberblickInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheVerbesserungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 17
Notfallmanagement-ProzessKonzeptionKonzeptionBusiness Impact Analyse (BIA)RisikoanalyseIst-AufnahmeKontinuitätsstrategienNotfallvorsorgekonzeptDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 18
KonzeptionBusiness Impact Analyse (BIA)Die zentrale Aufgabe einer Business Impact Analyse ist, ... ... zu verstehen, welche Geschäftsprozesse wichtig für dieAufrechterhaltung des Geschäftsbetriebs und damit für dieInstitution sind, und ... welche Folgen ein Ausfall haben kann.Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 19
KonzeptionBusiness Impact Analyse (BIA)GeschäftsprozesseundStammdatenAuswahl der einzubeziehendenOrganisationseinheiten undGeschäftsprozesseProzess 1 Prozess 2 Prozess nist unterteiltTeil-Teil-Input 1prozessprozessTeil-Teil-TeilprozesprozesprozessInput 2TeilprozessbenötigtRessourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…OutputSchadensanalyseFestlegung derWiederanlaufparameterBerücksichtigung derAbhängigkeitenPriorisierung und KritikalitätErhebung der Ressourcen fürNormal- und NotbetriebVererbung der Kritikalität aufdie RessourcenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 20
Business Impact AnalyseSchadensanalyseSchadenskategorien,z. B. “niedrig” / “normal” / “hoch” / “sehr hoch”SchadensszenarienDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 21
Business Impact AnalyseSchadensanalysesehr hochhoch€BestandsgefährdungslinieSchadensentwicklungIndirekte SchädenDirekte SchädennormalniedrigB1 B2 B3 B4tDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 22
Business Impact AnalyseSchadensanalyse1=niedrig, 2=normal, 3=hoch, 4=sehr hochDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 23
Business Impact AnalyseSchadensanalyseDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 24
KonzeptionBusiness Impact Analyse (BIA)GeschäftsprozesseundStammdatenAuswahl der einzubeziehendenOrganisationseinheiten undGeschäftsprozesseProzess 1 Prozess 2 Prozess nist unterteiltTeil-Teil-Input 1prozessprozessTeil-Teil-TeilprozesprozesprozessInput 2TeilprozessbenötigtRessourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…OutputSchadensanalyseFestlegung derWiederanlaufparameterBerücksichtigung derAbhängigkeitenPriorisierung und KritikalitätErhebung der Ressourcen fürNormal- und NotbetriebVererbung der Kritikalität aufdie RessourcenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 25
WiederanlaufparameterDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 26
KonzeptionBusiness Impact Analyse (BIA)GeschäftsprozesseundStammdatenAuswahl der einzubeziehendenOrganisationseinheiten undGeschäftsprozesseProzess 1 Prozess 2 Prozess nist unterteiltTeil-Teil-Input 1prozessprozessTeil-Teil-TeilprozesprozesprozessInput 2TeilprozessbenötigtRessourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…OutputSchadensanalyseFestlegung derWiederanlaufparameterBerücksichtigung derAbhängigkeitenPriorisierung und KritikalitätErhebung der Ressourcen fürNormal- und NotbetriebVererbung der Kritikalität aufdie RessourcenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 27
Berücksichtigung der Abhängigkeiten Schaden bei Ausfall einer Teil- oder Gesamtprozesskette Strategische Geschäftsziele ProzessabhängigkeitenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 28
KonzeptionBusiness Impact Analyse (BIA)GeschäftsprozesseundStammdatenAuswahl der einzubeziehendenOrganisationseinheiten undGeschäftsprozesseProzess 1 Prozess 2 Prozess nist unterteiltSchadensanalyseInput 1Input 2TeilprozessTeilprozessTeil-TeilprozesprozessTeilprozessTeilprozessbenötigtRessourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…OutputFestlegung derWiederanlaufparameterBerücksichtigung derAbhängigkeitenPriorisierung und KritikalitätKritischeGeschäftsprozesseErhebung der Ressourcen fürNormal- und NotbetriebVererbung der Kritikalität aufdie RessourcenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 29
Kritische Geschäftsprozesseverschiedene BeispieleDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 30
KonzeptionBusiness Impact Analyse (BIA)GeschäftsprozesseundStammdatenAuswahl der einzubeziehendenOrganisationseinheiten undGeschäftsprozesseProzess 1 Prozess 2 Prozess nist unterteiltTeil-Teil-Input 1prozessprozessTeil-Teil-TeilprozesprozesprozessInput 2TeilprozessbenötigtRessourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…OutputSchadensanalyseFestlegung derWiederanlaufparameterBerücksichtigung derAbhängigkeitenPriorisierung und KritikalitätErhebung der Ressourcen fürNormal- und NotbetriebVererbung der Kritikalität aufdie RessourcenKritischeRessourcenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 31
Notfallmanagement-ProzessKonzeptionKonzeptionBusiness Impact Analyse (BIA)RisikoanalyseIst-AufnahmeKontinuitätsstrategienNotfallvorsorgekonzeptDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 32
Notfallmanagement-Prozessim ÜberblickInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheVerbesserungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 33
Notfallmanagement-Prozessim ÜberblickInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheAufrechterhaltungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 34
Organisatorische StrukturenNotfallbewältigungKrisenstabNotfallteamsstrategisch taktisch operativerweiterterKrisenstabKernteamLeiterRevisionIT-BetriebCERTFachberaterDatenschutzbeauftragterPersonalvertretungAbteilungsvertreterEntscheidungsgremiumÖffentlichkeitsarbeitBetriebssicherheitInformationssicherheitJustitiariatInfrastrukturITOrg’EinheitenProzesseDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 35
NotfallbewältigungNotfallhandbuchNotfallhandbuchNotfallpläneKrisenstabsleitfadenKrisenkommunikationsplanGeschäftsfortführungspläneWiederherstellungspläneDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 36
Notfallmanagement-Prozessim ÜberblickInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheVerbesserungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 37
Tests und ÜbungenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 38
Tests und ÜbungenRollen Übungsautor Vorbereitungsteam Übungsleiter /Moderator Kernteam Protokollant AkteureDokumente Übungshandbuch Übungsplan Übungskonzept mitDrehbuch ÜbungsprotokollAblauf Planung Vorbereitung Durchführung NachbearbeitungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 39
Notfallmanagement-Prozessim ÜberblickInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheVerbesserungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 40
Überprüfung und kontinuierlicheVerbesserung Überprüfungen Self-Assessment: Überprüfung durch dieNotfallmanagement-Organisation Interne Revision Externe Revision Steuerung Kontinuierlicher VerbesserungsprozessDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 41
ZusammenfassungInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheVerbesserungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 42
<strong>BSI</strong>-<strong>Standard</strong> <strong>100</strong>-4 Historie Einordnung in die <strong>BSI</strong>-<strong>Standard</strong>s Inhalt des <strong>BSI</strong>-<strong>Standard</strong>s <strong>100</strong>-4 Störung – Notfall – Krise – Katastrophe Notfallmanagement-Prozess Ausblick und FazitDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 43
Wie geht es weiter? BausteineB 1.3 “Notfall-Vorsorgekonzept“B 1.8 “Behandlung von Sicherheitsvorfällen“ Hilfsmittel Weiterentwicklungen Abgleich mit <strong>BSI</strong>-<strong>Standard</strong> <strong>100</strong>-2? GSTOOL?Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 44
FazitNotfallmanagement -<strong>BSI</strong>-<strong>Standard</strong> <strong>100</strong>-4 zur Business Continuity Notfallmanagement nimmt eine immer größere Rolle inUnternehmen und Behörden ein Umfassende Hilfestellung bei der Umsetzung einesNotfallmanagements Vorgehensmodell an Grundschutz-Vorgehensmodellangelehnt, um Synergieeffekte zu nutzen Kompatibel zu BS 25999Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 45
KontaktBundesamt für Sicherheit in derInformationstechnik (<strong>BSI</strong>)Dr. Marie-Luise MoschgathGodesberger Allee 185-18953175 BonnTelefon: +49 (0)3018 9582-5776E-Mail: Marie-Luise.Moschgath@bsi.bund.deIT-Grundschutz-HotlineTelefon: 0228-9582-5369E-Mail: gshb@bsi.bund.deDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 46