BSI-Standard 100-4

BSI-Standard 100-4der neue deutsche Standard zumNotfallmanagementDr. Marie-Luise MoschgathBundesamt für Sicherheit in der InformationstechnikIT-Sicherheitsmanagement und IT-Grundschutz

Das BSIDas Bundesamt für Sicherheit in der Informationstechnik... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung 1991 per Gesetzals nationale Behörde fürIT-Sicherheit,BMI nachgeordnet Jahresbudget: € 60 Mio. Mitarbeiter: ca. 500Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 2

ZielgruppenRegierung und Verwaltung Sicherheitsberatung CERT-Bund, Lagezentrum Penetrationstests Betrieb des Regierungsnetzes Entwicklung vonKryptosystemen LauschabwehrWirtschaft IT-Grundschutz Zertifizierung Sicherheitspartnerschaften Schutz kritischer InfrastrukturenBürger Sensibilisierungskampagnen Info - CD´s BSI - Internetangebotwww.bsi.bund.dewww.bsi-fuer-buerger.dewww.buerger-cert.de Fachbeiträge in ZeitschriftenWissenschaft Kooperation mit Universitäten Trendanalysen Vergabe vonForschungsaufträgenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 3

BSI-Standard 100-4 Historie Einordnung in die BSI-Standards BSI-Standards 100-4 Störung – Notfall – Krise – Katastrophe Notfallmanagement-Prozess Ausblick und FazitDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 4

Warum nur?BSI-Standards zurInformationssicherheit- Bereich Sicherheitsmanagement -BSI Standard 100-1:ISMS: Managementsysteme fürInformationssicherheitBSI Standard 100-2:IT-Grundschutz-VorgehensweiseBSI Standard 100-3:Risikoanalyse auf der Basis vonIT-GrundschutzIT-Grundschutz-KatalogeKapitel 1: EinleitungKapitel 2: Schichtenmodell und ModellierungKapitel 3: GlossarKapitel 4: Rollen• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"• Gefährdungskataloge• MaßnahmenkatalogeDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 5

IT-Grundschutz und der Notfall2006 B 1.3 “Notfall-Vorsorgekonzept“ B 1.8 “Behandlung von Sicherheitsvorfällen“Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 6

BSI-Standard 100-4:NotfallmanagementAnforderungen an die EntwicklungKompatibel zu anerkannten Standards(BS 25999, BCI GPG, ITIL, ...)Hilfestellung bei der UmsetzungAbstimmung mit der Vorgehensweise nachIT-Grundschutz für ein ISMSDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 7

Warum ein BSI-Standard?Notfallmanagement ...... Teil des ISMS?... Aufgabe der IT?Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 8

ISM ↔ BCMInformationssicherheitmanagement- Vertraulichkeit- Integrität- VerfügbarkeitFachaufgaben /GeschäftsprozesseNotfallmanagement/BCM- Verfügbarkeitkritischer GPInformationenIT-SystemePersonenInfrastrukturSpezialgeräteBetriebsmittelDienstleister.Zulieferer,…Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 9

Sicherheitsmanagement ↔ Notfallmanagement Ziel von ISM:Gewährleisten vonVertraulichkeit, Integrität undVerfügbarkeit vonInformationen, Anwendungenund IT-Systemen in einem für dasGeschäft angemessenen Niveau⇒ Schaden verhindern /minimieren ParadigmenwechselIT → Informationssicherheit undGanzheitliche Betrachtung Ziel von BCM:Gewährleisten derVerfügbarkeit kritischerProzesse auf einemakzeptablen Niveau⇒ Schaden verhindern /minimieren Steigende Abhängigkeit vonder IT Steigende Vernetzung ProzessorientiertheitDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 10

BSI-Standard 100-4 Historie Einordnung in die BSI-Standards Inhalt des BSI-Standards 100-4 Störung – Notfall – Krise – Katastrophe Notfallmanagement-Prozess Ausblick und FazitDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 11

Was sind “Notfälle” im Sinne des 100-4?Störung Notfall Krise KatastropheBeeinträchtigung oder Unterbrechungvon GeschäftsprozessenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 12

Was ist Notfallmanagement?„Das Notfallmanagement umfasst das geplante undorganisierte Vorgehen, um die Widerstandsfähigkeitder (zeit-)kritischen Geschäftsprozesse einerInstitution nachhaltig zu steigern, aufSchadensereignisse angemessen reagieren und dieGeschäftstätigkeiten so schnell wie möglich wiederaufnehmen zu können.“Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 13

Notfallmanagement-Prozessim ÜberblickInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheAufrechterhaltungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 14

NotfallmanagementInitiierung Übernahme von Verantwortung durch dieLeitungsebene Erstellung einer Leitlinie Schaffung organisatorischer Voraussetzungen Einbindung aller MitarbeiterDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 15

Organisatorische StrukturenNotfallvorsorgeGesamtinstitutionOrg’EinheitenNotfallkoordinatorenNotfallvorsorgeteamInstitutionsleitungNotfallbeauftragterFachexpertenProzessverantwortlicheBereichsverantwortlicheDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 16

Notfallmanagement-Prozessim ÜberblickInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheVerbesserungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 17

Notfallmanagement-ProzessKonzeptionKonzeptionBusiness Impact Analyse (BIA)RisikoanalyseIst-AufnahmeKontinuitätsstrategienNotfallvorsorgekonzeptDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 18

KonzeptionBusiness Impact Analyse (BIA)Die zentrale Aufgabe einer Business Impact Analyse ist, ... ... zu verstehen, welche Geschäftsprozesse wichtig für dieAufrechterhaltung des Geschäftsbetriebs und damit für dieInstitution sind, und ... welche Folgen ein Ausfall haben kann.Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 19

KonzeptionBusiness Impact Analyse (BIA)GeschäftsprozesseundStammdatenAuswahl der einzubeziehendenOrganisationseinheiten undGeschäftsprozesseProzess 1 Prozess 2 Prozess nist unterteiltTeil-Teil-Input 1prozessprozessTeil-Teil-TeilprozesprozesprozessInput 2TeilprozessbenötigtRessourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…OutputSchadensanalyseFestlegung derWiederanlaufparameterBerücksichtigung derAbhängigkeitenPriorisierung und KritikalitätErhebung der Ressourcen fürNormal- und NotbetriebVererbung der Kritikalität aufdie RessourcenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 20

Business Impact AnalyseSchadensanalyseSchadenskategorien,z. B. “niedrig” / “normal” / “hoch” / “sehr hoch”SchadensszenarienDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 21

Business Impact AnalyseSchadensanalysesehr hochhoch€BestandsgefährdungslinieSchadensentwicklungIndirekte SchädenDirekte SchädennormalniedrigB1 B2 B3 B4tDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 22

Business Impact AnalyseSchadensanalyse1=niedrig, 2=normal, 3=hoch, 4=sehr hochDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 23

Business Impact AnalyseSchadensanalyseDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 24


WiederanlaufparameterDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 26


Berücksichtigung der Abhängigkeiten Schaden bei Ausfall einer Teil- oder Gesamtprozesskette Strategische Geschäftsziele ProzessabhängigkeitenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 28

KonzeptionBusiness Impact Analyse (BIA)GeschäftsprozesseundStammdatenAuswahl der einzubeziehendenOrganisationseinheiten undGeschäftsprozesseProzess 1 Prozess 2 Prozess nist unterteiltSchadensanalyseInput 1Input 2TeilprozessTeilprozessTeil-TeilprozesprozessTeilprozessTeilprozessbenötigtRessourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…OutputFestlegung derWiederanlaufparameterBerücksichtigung derAbhängigkeitenPriorisierung und KritikalitätKritischeGeschäftsprozesseErhebung der Ressourcen fürNormal- und NotbetriebVererbung der Kritikalität aufdie RessourcenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 29

Kritische Geschäftsprozesseverschiedene BeispieleDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 30

KonzeptionBusiness Impact Analyse (BIA)GeschäftsprozesseundStammdatenAuswahl der einzubeziehendenOrganisationseinheiten undGeschäftsprozesseProzess 1 Prozess 2 Prozess nist unterteiltTeil-Teil-Input 1prozessprozessTeil-Teil-TeilprozesprozesprozessInput 2TeilprozessbenötigtRessourcen-Personal-IT-Kommunikationsnetz-Spezial-HW-Büro-…OutputSchadensanalyseFestlegung derWiederanlaufparameterBerücksichtigung derAbhängigkeitenPriorisierung und KritikalitätErhebung der Ressourcen fürNormal- und NotbetriebVererbung der Kritikalität aufdie RessourcenKritischeRessourcenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 31

Notfallmanagement-ProzessKonzeptionKonzeptionBusiness Impact Analyse (BIA)RisikoanalyseIst-AufnahmeKontinuitätsstrategienNotfallvorsorgekonzeptDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 32


Notfallmanagement-Prozessim ÜberblickInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheAufrechterhaltungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 34

Organisatorische StrukturenNotfallbewältigungKrisenstabNotfallteamsstrategisch taktisch operativerweiterterKrisenstabKernteamLeiterRevisionIT-BetriebCERTFachberaterDatenschutzbeauftragterPersonalvertretungAbteilungsvertreterEntscheidungsgremiumÖffentlichkeitsarbeitBetriebssicherheitInformationssicherheitJustitiariatInfrastrukturITOrg’EinheitenProzesseDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 35

NotfallbewältigungNotfallhandbuchNotfallhandbuchNotfallpläneKrisenstabsleitfadenKrisenkommunikationsplanGeschäftsfortführungspläneWiederherstellungspläneDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 36


Tests und ÜbungenDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 38

Tests und ÜbungenRollen Übungsautor Vorbereitungsteam Übungsleiter /Moderator Kernteam Protokollant AkteureDokumente Übungshandbuch Übungsplan Übungskonzept mitDrehbuch ÜbungsprotokollAblauf Planung Vorbereitung Durchführung NachbearbeitungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 39


Überprüfung und kontinuierlicheVerbesserung Überprüfungen Self-Assessment: Überprüfung durch dieNotfallmanagement-Organisation Interne Revision Externe Revision Steuerung Kontinuierlicher VerbesserungsprozessDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 41

ZusammenfassungInitiierung des NotfallmanagementsKonzeptionUmsetzung des NotfallvorsorgekonzeptsNotfallbewältigungTests und ÜbungenÜberprüfung und kontinuierlicheVerbesserungDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 42

BSI-Standard 100-4 Historie Einordnung in die BSI-Standards Inhalt des BSI-Standards 100-4 Störung – Notfall – Krise – Katastrophe Notfallmanagement-Prozess Ausblick und FazitDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 43

Wie geht es weiter? BausteineB 1.3 “Notfall-Vorsorgekonzept“B 1.8 “Behandlung von Sicherheitsvorfällen“ Hilfsmittel Weiterentwicklungen Abgleich mit BSI-Standard 100-2? GSTOOL?Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 44

FazitNotfallmanagement -BSI-Standard 100-4 zur Business Continuity Notfallmanagement nimmt eine immer größere Rolle inUnternehmen und Behörden ein Umfassende Hilfestellung bei der Umsetzung einesNotfallmanagements Vorgehensmodell an Grundschutz-Vorgehensmodellangelehnt, um Synergieeffekte zu nutzen Kompatibel zu BS 25999Dr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 45

KontaktBundesamt für Sicherheit in derInformationstechnik (BSI)Dr. Marie-Luise MoschgathGodesberger Allee 185-18953175 BonnTelefon: +49 (0)3018 9582-5776E-Mail: Marie-Luise.Moschgath@bsi.bund.deIT-Grundschutz-HotlineTelefon: 0228-9582-5369E-Mail: gshb@bsi.bund.deDr. Marie-Luise Moschgath Rheinlandtreffen, 12.11.2008 Folie 46

BSI-Standard 100-4

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?