Der neue Standard BSI Notfallmanagement

Transkript

1 Der neue Standard BSI Notfallmanagement Timo Kob ISO27001-Auditor auf Basis IT-Grundschutz, Vorstand 1

2 AGENDA 1 Einleitung und Ausgangslage 2 Was verlangt der BS25999, was der Grundschutz bisher nicht liefert? 3 Die Struktur des neuen Standards BSI Notfallmanagement 4 Exemplarische Details aus dem Standard 5 Ausblick 2

4 BSI-STANDARD 100-1,2,3 4 - BSI-STANDARDS UND KATALOGE IT-SICHERHEIT - BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI Standard 100-4: Notfallmanagement IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "Anwendungen" Gefährdungskataloge Maßnahmenkataloge 4

5 STATUS QUO: IT-GRUNDSCHUTZ I Situation bis Ende 2005: IT-Grundschutz: Fokussierung auf IT-Sicherheit bei hoher Detaillierung ISO17799/BS7799/ISO27001: Weniger detailliert, aber stärkere Betonung des Managementprozesses und der Informationssicherheit. Situation seit Ende 2005: Durch die Synchronisierung mit der ISO27001 (im BSI-Standard 100-1) hat der IT-Grundschutz einen bedeutsamen Paradigmenwechsel von der reinen IT- Sicherheit hin zur Informationssicherheit begonnen und kombiniert die Vorteile beider Ansätze. Prozess ist noch nicht abgeschlossen! 5

6 STATUS QUO: IT-GRUNDSCHUTZ II Dass dieser Paradigmenwechsel begonnen, aber noch nicht vollzogen ist, zeigt sich besonders exemplarisch im Bereich Notfallmanagement. Bisheriger Baustein 1.3 Notfall-Vorsorgekonzept ist sehr technisch fokussiert, der Trendwechsel von der IT-Notfallplanung zum Business Continuity Management ist nicht umgesetzt. Aus England kommt mit British Standard BS25999 wieder ein Standard, der zwar wenig konkret, aber vom Fokus breiter aufgestellt ist. Ziel: analog zur Situation Novellierung des IT-Grundschutz Ansatzes (Notfall- Vorsorgekonzept) und Kombination der jeweiligen Vorteile. 6

7 STATUS QUO: ALTER BAUSTEIN 1.3 NOTFALLVORSORGE-KONZEPT 7

8 ANSATZ Aufgabe war nicht, BS25999 zu übersetzen, sondern Grundschutzspezifika mit Aussagen aus verschiedenen Standards rund um das Thema Continuity zu verbinden. Da das Thema BCM die Komplexität eines Bausteins sprengen würde, wurde entschieden, das Thema ausführlicher in einem 4. BSI-Standard zu beschreiben und einen korrespondierenden Baustein zu erstellen. D.h. zusätzlich wurde auch der Baustein 1.3 Notfallvorsorge-Konzept überarbeitet. (wie auch der Baustein 1.8 Sicherheitsvorfallsbehandlung) 8

9 ANSATZ Standard und Baustein wurden so erstellt, dass KMUs, Behörden etc. den Standard teilweise implementieren und so ein für geringere Anforderungen angemessenes BCM erhalten Größere Unternehmen bei vollständiger Implementation ein mit allen (internationalen) Standards und Regulatorien konformes BCM erhalten Dies bedingt auch, dass für eine Zertifizierung nach ISO27001 auf Basis IT- Grundschutz KEINE neuen (für manche evtl. unüberwindliche) Hürden aufgebaut wurden. 9

11 BCM PROGRAMME MANAGEMENT Arbeitsschritt Definition der Anforderungen an das BCM Sicherstellen der Unterstützung der Geschäftsführung Erstellen der BCM Prozessbeschreibung Bereitstellen der benötigten Ressourcen und der BCM Organisation Notfallplanung der Outsourcer und Lieferanten prüfen und sicherstellen Ergebnis Benennung eines Mitglieds der Geschäftsleitung als Prozesseigentümer des BCM`s Benennung eines BCM Beauftragten Festlegung der BCM Organisation Entwicklung der BCM Policy 11

12 UNDERSTANDING THE ORGANIZATION Arbeitsschritt Business Impact Analyse Identifizierung kritischer Prozesse Bedrohungs- /Risikoanalyse Ergebnis Definition des Betrachtungsbereichs (Produkte/Services) Liste kritischer und klassifizierter Prozesse und Ressourcen (Abhängigkeiten beachten!) Priorisierung aufgrund der Schadenshöhen; Schlüsselwerte RTO, RPO, MTD, MTA, LBC Aufzeigen risikoreduzierender Maßnahmen, Strategien zur Reduzierung von Ausfallrisiken, Verkürzung der Ausfallzeiten und Steigerung der Widerstandsfähigkeit wertschöpfender Prozesse Definition der Risikobereitschaft Festlegen der Restrisiken Notfallvorsorgemaßnahmen für einzelne Ressourcen der kritischen Prozesse 12

13 DETERMINING BCM STRATEGY Arbeitsschritt Auswahl BCM Strategie Personal Gebäude / Infrastruktur IT Informationen Ergebnis Strategie zur Wiederaufnahme der kritischen Prozesse 13

14 DEVELOPING AND IMPLEMENTING BCM RESPONSE Arbeitsschritt Definition Krisenmanagement Definition Öffentlichkeitsarbeit Entwicklung von Verfahren zur Herstellung des Notbetriebs / Instandsetzung von betroffenen Ressourcen (z.b. Gebäude, Infrastruktur, IT, ) Definition des Notbetriebs der Organisationseinheiten Ergebnis Krisenmanagementplan Kommunikationsplan Wiederanlaufplan Wiederherstellungsplan Notfallpläne der Organisationseinheiten 14

15 EXERCISING, MAINTAINING AND REVIEWING Arbeitsschritt Durchführung von Übungen / Tests Überprüfung u. Aktualisierung Audit / Self-Assessment Ergebnis Übungsplan und konzept Konzept und Verantwortlichkeiten zur Überprüfung und Aktualisierung der BCM Dokumente und Maßnahmen Konzept zur Kontrolle und Bewertung des gesamten BCM Prozesses 15

16 EMBEDDING BCM IN THE ORGANIZATIONS CULTURE Arbeitsschritt Awareness Maßnahmen definieren und durchführen Schulungsmaßnahmen definieren und durchführen Ergebnis Awarenesskonzept Schulungskonzept 16

18 DIE STRUKTUR DES NEUEN BSI Planung & Konzeption zur Notfallvorsorge Erstellung Notfallhandbuch zur Notfallbewältigung Etablierung und Pflege einer Notfallmanagement-Kultur Planung und Durchführung von Übungen und Tests Permanente Aufrechterhaltung 18

19 DIE STRUKTUR DES NEUEN BSI Planung & Konzeption zur Notfallvorsorge Leitlinie zum Notfallmanagement Durchführung einer Business Impact Analyse Durchführung einer Risikoanalyse (gemäß BSI 100-3) Definition einer Notfallmanagementstrategie Erstellung eines Notfallvorsorgekonzepts Erstellung Notfallhandbuch zur Notfallbewältigung Etablierung und Pflege einer Notfallmanagement-Kultur Planung und Durchführung von Übungen und Tests Permanente Aufrechterhaltung 19

20 DIE STRUKTUR DES NEUEN BSI Planung & Konzeption zur Notfallvorsorge Erstellung Notfallhandbuch zur Notfallbewältigung Sofortmaßnahmen / Alarmierung Wiederanlauf Geschäftsfortführung Wiederherstellung Rückführung in den Normalbetrieb Aufarbeitung, Nachbereitung, Analyse Krisenmanagement Öffentlichkeitsarbeit Etablierung und Pflege einer Notfallmanagement-Kultur Planung und Durchführung von Übungen und Tests Permanente Aufrechterhaltung 20

21 DIE STRUKTUR DES NEUEN BSI Planung & Konzeption zur Notfallvorsorge Erstellung Notfallhandbuch zur Notfallbewältigung Etablierung und Pflege einer Notfallmanagement-Kultur Sensibilisierung Schulung Planung und Durchführung von Übungen und Tests Permanente Aufrechterhaltung 21

22 DIE STRUKTUR DES NEUEN BSI Planung & Konzeption zur Notfallvorsorge Erstellung Notfallhandbuch zur Notfallbewältigung Etablierung und Pflege einer Notfallmanagement-Kultur Planung und Durchführung von Übungen und Tests Übungsplan Übungskonzept Testarten / Übungsarten Durchführung / Nachbereitung Permanente Aufrechterhaltung 22

23 DIE STRUKTUR DES NEUEN BSI Planung & Konzeption zur Notfallvorsorge Erstellung Notfallhandbuch zur Notfallbewältigung Etablierung und Pflege einer Notfallmanagement-Kultur Planung und Durchführung von Übungen und Tests Permanente Aufrechterhaltung Wartung (Aktualisierung) Überprüfung (Review) Kontinuierlicher Verbesserungsprozess Software-Unterstützung 23

25 ANSPRUCH UND ZIEL Es war das erklärte Ziel, bei soviel Punkten wie möglich die Philosophie des Grundschutzes, eine schnelle Umsetzungshilfe durch konkrete Beispiele zu geben, auch im Notfallmanagement fortzuführen. So existieren z.b. für die zu erstellenden Dokumente Vorschläge für Inhaltsverzeichnisse oder Musterstrukturen. Es ist aber nicht zwingend, sich an diese zu halten! 25

26 DOKUMENTENSTRUKTUR FÜR BCM Leitlinie zum Notfallmanagement Notfallvorsorgekonzept (BIA Konzept, Testkonzept, ) Policy Pro-aktive Maßnahmen der Notfallplanung Notfallhandbuch, Krisenmanagement, Öffentlichkeitsarbeit, Notfallbewältigung - unternehmensübergreifend - Organisationseinheitsbezogene Notfallpläne, spezifische Pläne zum Wiederanlauf und Wiederherstellung von (IT-)Komponenten, Notfallbewältigung - individuell - 26

27 VORSCHLAG: ROLLEN UND VERANTWORTUNGS- BEREICHE EINER NOTFALLVORSORGE- UND BEWÄLTIGUNGSORGANISATION Unternehmens- bzw. Behördenleitung Notfallbeauftragter Krisenstab Krisenstab Notfallkoordinatoren Lokale Steuerung in den Fachbereichen Umsetzungsvorgaben Gesamtverantwortung Fachbereichsleiter MA der Bereiche Umsetzung Notfallteams 27

28 NOTFALLVORSORGEKONZEPT Vorgehensmodell Festlegung des Dokumentverantwortlichen, der Verteilung, der Klassifizierung und Genehmigung sowie der Dokumentenstruktur Beschreibung des Vorgehensmodells und der Umsetzung Beschreibung der Anleitung, Steuerung und Kontrolle Organisatorische Maßnahmen des Notfallmanagements Notfalldefinition und Festlegung der (zu betrachtenden) Szenarien Beschreibung der Notfallvorsorge- und Notfallbewältigungsorganisation Überwachung der Meldetechnik Datensicherung Vereinbarungen mit externen Dienstleistern Festlegung von generellen Ausweichstandorten und deren Anforderungen Beschreibung risikoreduzierender Maßnahmen Nachhaltiges Einbinden des Notfallmanagements in die Unternehmenskultur Sensibilisierung und Schulung der Mitarbeiter Kontinuierliche Verbesserung des Notfallmanagements Übungen und Tests Überprüfung und Aktualisierung 28

29 BEISPIEL NOTFALLHANDBUCH (AUSZUG) 1. Notfallbewältigung 1.1 Sofortmaßnahmen Alarmierung im Notfall Eskalation und Deeskalation Alarmierungsplan und Meldewege Erreichbarkeit der Notfallteams Mitarbeiter / Notrufnummern Vorbereitung des Notfalltreffpunkts Handlungsanweisungen für spezielle Ereignisse 1.2 Wiederanlauf Verfügbarkeitsanforderungen der Organisationseinheiten Ausfall Standort Ausfall Infrastruktur Ausfall IT Ausfall Personal Ausfall Dienstleister 1.3 Wiederherstellung Wiederaufbau der Bürofläche Wiederaufbau der Infrastruktur Wiederaufbau der IT 1.4 Rückkehr in den Normalbetrieb Aufhebung des Notfalls / Deeskalation Erfolgreiche Rückführung 1.5 Aufarbeitung / Nachbereitung Durchführung Vorlage und Bewertung 2. Krisenmanagement 3. Öffentlichkeitsarbeit 4. Geschäftsfortführungspläne 2.1 Organisationseinheiten Kritikalität A 2.2 Organisationseinheiten Kritikalität B 2.3 Organisationseinheiten Kritikalität C 7. Anhang 7.1 Weitere/unterstützende Pläne und Listen 7.2 Referenzdokumente 29

30 BEISPIEL GESCHÄFTSFORTFÜHRUNGSPLAN (AUSZUG) 1 Allgemeines 1.1 Geltungsbereich 1.2 Zweck und Ziele des Plans 1.3 Annahmen / Abgrenzungen 1.4 Mitgeltende Dokumente 1.5 Kritische Prozesse des Fachbereichs 1.6 Besondere Befugnisse & Berichtspflichten 2 AUSFALL HAUPTGEBÄUDE 2.1 Notbesetzung des Fachbereichs 2.2 Kontaktinformationen 2.3 Alarmierung und Eskalation 2.4 Ausweichstandort für Notbetrieb Beschreibung Ausweichstandort Zutrittsregelungen Notfallarbeitsplätze Telekommunikation Benötigte IT-Systeme und Daten Benötigte Dokumente Weitere benötigte Ressourcen 2.5 Reaktive Maßnahmen 2.6 Maßnahmen zu kritischen Terminen 2.7 Arbeitsabläufe im Notbetrieb 2.8 Wiederherstellung und Rückführung in den Normalbetrieb 5 AUSFALL DIENSTLEISTER ABC 5.1 Notbesetzung des Fachbereichs 5.2 Kontaktinformationen (auch DL) 5.3 Alarmierung und Eskalation 5.4 Reaktive Maßnahmen 5.5 Besondere Maßnahmen zu kritischen Terminen 5.6 Änderungen an Prozessen im Notbetrieb 5.7 Maßnahmen zur Wiederherstellung und Rückführung in den Normalbetrieb 6 Anhang 6.1 Formulare und Vorlagen 6.2 Referenzdokumente 30

31 BUSINESS IMPACT ANALYSE VS. SCHUTZBEDARFSFESTSTELLUNG I Das Grundschutzvorgehen beinhaltet als eine der zentralen (und zwingend erforderlichen) Elemente die Schutzbedarfsfeststellung (SBF), die ja auch das Sicherheitsziel Verfügbarkeit betrachtet. Diese deckt aber nicht alle Aspekte einer Business Impact Analyse (BIA) ab. Die BIA ist z.b. prozessorientiert, was für die SBF nur eingeschränkt gilt Darum wird die BIA hier als zusätzliche möglichst kombiniert mit der SBF durchzuführende Aktivität eingeführt. 31

32 BUSINESS IMPACT ANALYSE VS. SCHUTZBEDARFSFESTSTELLUNG II Bei der BIA handelt sich gegenüber der Schutzbedarfsfeststellung also einerseits um eine Einschränkung (bzgl. der betrachteten Sicherheitsziele) andererseits aber auch um eine Erweiterung (bzgl. der Untersuchungsgegenstände). Eine weitere Ergänzung gegenüber der Schutzbedarfsfeststellung besteht darin, dass sich die Bewertung nicht nur auf eine allgemeingültige Auswirkungs-Dimension (z.b. normal, hoch, sehr hoch ) beschränkt, sondern auch eine zeitliche Dimension ( Wann wird eine Auswirkung sehr hoch? ) beinhaltet. 32

33 BUSINESS IMPACT ANALYSE III Die BIA ist zwar für ein komplettes Notfallmanagement unverzichtbar, um aber nicht z.b. alle KMUs und Behörden, die ggf. kein komplettes Notfallmanagement anstreben, aus dem Zertifizierungsprozess nach ISO27001 auszuschließen, wird die BIA auf Wunsch des BSI keine obligatorische Aktivität wie die Schutzbedarfsfeststellung Bei komplexen Verbünden und/oder hohen Verfügbarkeits-anforderungen des Unternehmens (also nicht bezogen auf die einzelne Komponente, sondern auf den Gesamtverbund) soll eine BIA aber in jedem Falle durchgeführt werden. 33

34 BUSINESS IMPACT ANALYSE IV A. Definition der Kritikalitätsklassen, z.b. Hoch kritisch Kritisch Weniger kritisch Unkritisch B. Definition der zu betrachtenden Zeitachse, z.b. 4 Stunden 1 Tag 3 Tage 10 Tage 30 Tage C. Auswahl der Bewertungsblickwinkel, z.b. Direkter wirtschaftlicher Schaden Verstoß gegen Gesetze und Verträge Imageschaden Gefahr für Leib und Leben (falls relevant) D. Auswahl der einzubeziehenden Organisationseinheiten und Ansprechpartner E. Auswahl der Prozesse / Produkte F. Bewertung der Prozesse / Produkte G. Identifikation der benötigten Ressourcen für Notbetrieb H. Identifikation besonderer Termine 34

36 ENTWURF BAUSTEIN 1.3 NOTFALLMANAGEMENT Planung und Konzeption (Z) (Z) (B) (B) (B) Skizze - Baustein "Notfallmanagement" Durchführung Business Impact Analyse Durchführung Risikoanalyse Entwicklung der Kontinuitätsstrategien Erstellung einer Leitlinie zum Notfallmanagement Schaffung organisatorischer Voraussetzungen Umsetzung (B) Erstellung Notfallvorsorgekonzept (B) Erstellung Notfallhandbuch (B) Erstellung von Fachbereichsbezogenen Geschäftsforführungsplänen Betrieb (B) Übungen und Tests (B) Permanente Aufrechterhaltung (C) Notfallmanagement Kultur 36

37 VERÖFFENTLICHUNG Standard und Baustein Notfallmanagement werden gemeinsam mit weiteren neuen Bausteinen im Herbst in die öffentliche Review-Phase gehen. Für eine automatische Information können sich Interessierte unter registrieren. Das Zertifizierungsschema BS25999:2 wird derzeit in den Baustein integriert, so dass bei Erfüllung aller Maßnahmen des Bausteins auch die Konformität zu einer BS25999-Zertifizierung nachgewiesen werden kann. Es wird aber nicht erforderlich sein, alle BS25999:2-Maßnahmen umzusetzen, um eine ISO27001-Zertifizierung zu erreichen! 37

38 HISOLUTIONS BEDANKT SICH FÜR IHRE AUFMERKSAMKEIT HiSolutions AG Bouchéstraße Berlin Timo Kob Vorstand kob@hisolutions.com 38