BSI-Standard 100-4
Dieses Dokument ist Teil der Anfrage „Sicherheit des Bürgerportals“
BSI-Standard 100-4 Notfallmanagement www.bsi.bund.de/gshb Version 1.0
© 2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn
Inhaltverzeichnis BSI-Standard 100-4: Notfallmanagement Version 1.0 Inhaltsverzeichnis 1 Einleitung 1 1.1 Versionshistorie 1 1.2 Zielsetzung 1 1.3 Adressatenkreis 2 1.4 Anwendungsweise 2 1.5 Literaturverzeichnis 2 2 Notfallmanagement und IT-Grundschutz 4 2.1 Einordnung in die BSI-Standards 4 2.2 Begriffe 4 2.3 Weitere Standards für Notfallmanagement 5 3 Der Notfallmanagement-Prozess 10 3.1 Überblick 10 3.2 Dokumentation 11 3.2.1 Mindestanforderung an die Kennzeichnung der Dokumente zum Notfallmanagement 11 3.2.2 Detailtiefe 12 3.2.3 Änderungsmanagement 12 3.2.4 Dokumentationsmedium 13 3.3 Sicherheit und Datenschutz 13 4 Initiierung des Notfallmanagement-Prozesses 15 4.1 Übernahme von Verantwortung durch die Leitungsebene 15 4.2 Konzeption und Planung des Notfallmanagement-Prozesses 15 4.2.1 Definition des Notfallmanagements 15 4.2.2 Festlegung des Geltungsbereichs 16 4.2.3 Rechtliche Anforderungen und sonstige Vorgaben 16 4.2.4 Zielsetzung und Anforderung an das Notfallmanagement 16 4.2.5 Planungsprinzip 17 4.3 Schaffung organisatorischer Voraussetzungen 17 4.3.1 Rollen in der Notfallvorsorgeorganisation 18 4.3.2 Rollen in der Notfallbewältigungsorganisation 19 4.3.3 Zusammenspiel mit dem Informationssicherheitsmanagement 23 4.4 Erstellung einer Leitlinie zum Notfallmanagement 23 4.5 Bereitstellung von Ressourcen 25 4.5.1 Kosteneffiziente Notfallstrategie 25 4.5.2 Ressourcen für die Notfallmanagement-Organisation 25 I
BSI-Standard 100-4: Notfallmanagement Version 1.0 Inhaltverzeichnis 4.5.3 Ressourcen für Vorsorgemaßnahmen und deren Betrieb 26 4.5.4 Zusammenarbeit mit anderen Management-Systemen 26 4.6 Einbindung aller Mitarbeiter 26 4.6.1 Sensibilisierung und Schulung 26 4.6.2 Einbindung, Risikokommunikation und Früherkennung 27 5 Konzeption 28 5.1 Die Business Impact Analyse 28 5.1.1 Überblick 29 5.1.2 Durchführung einer Business Impact Analyse 30 5.1.2.1 Stammdaten und Geschäftsprozesse 31 5.1.2.2 Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse 33 5.1.2.3 Schadensanalyse 33 5.1.2.4 Festlegung der Wiederanlaufparameter 40 5.1.2.5 Berücksichtigung von Abhängigkeiten 42 5.1.2.6 Priorisierung und Kritikalität der Geschäftsprozesse 44 5.1.2.7 Erhebung der Ressourcen für Normal- und Notbetrieb 45 5.1.2.8 Kritikalität und Wiederanlaufzeiten der Ressourcen 47 5.1.3 BIA-Bericht 47 5.2 Risikoanalyse 48 5.2.1 Risikoidentifizierung 48 5.2.2 Risikobewertung 49 5.2.3 Gruppierung und Szenarienbildung 51 5.2.4 Risikostrategie-Optionen identifizieren 51 5.2.5 Risikoanalyse-Bericht 52 5.3 Aufnahme des Ist-Zustandes 53 5.4 Kontinuitätsstrategien 53 5.4.1 Entwicklung von Kontinuitätsstrategien 53 5.4.2 Kosten-Nutzen-Analyse 54 5.4.3 Konsolidierung und Auswahl der Kontinuitätsstrategien 57 5.5 Notfallvorsorgekonzept 57 5.5.1 Feinkonzeption, Sicherheit und Kontrollen 58 5.5.2 Inhalt 58 5.5.3 Bekanntgabe und Verteilung des Notfallvorsorgekonzepts 60 5.5.4 Aktualisierung des Notfallvorsorgekonzepts 60 6 Umsetzung des Notfallvorsorgekonzepts 62 6.1 Kosten- und Aufwandsschätzung 62 II
Inhaltverzeichnis BSI-Standard 100-4: Notfallmanagement Version 1.0 6.2 Festlegung der Umsetzungsreihenfolge der Maßnahmen 62 6.3 Festlegung der Aufgaben und der Verantwortung 63 6.4 Realisierungsbegleitende Maßnahmen 63 7 Notfallbewältigung und Krisenmanagement 64 7.1 Ablauforganisation 64 7.1.1 Meldung, Alarmierung und Eskalation 65 7.1.2 Sofortmaßnahmen 68 7.1.3 Krisenstabsraum 69 7.1.4 Aufgaben und Kompetenzen des Krisenstabs 70 7.1.5 Geschäftsfortführung, Wiederanlauf und Wiederherstellung 73 7.1.6 Rückführung und Nacharbeiten 73 7.1.7 Analyse der Notfallbewältigung 74 7.1.8 Dokumentation in der Notfallbewältigung 74 7.2 Psychologische Aspekte bei der Krisenstabsarbeit 75 7.3 Krisenkommunikation 76 7.3.1 Interne Krisenkommunikation 76 7.3.2 Externe Krisenkommunikation 77 7.4 Notfallhandbuch 79 7.4.1 Sofortmaßnahmenplan 80 7.4.2 Krisenstabsleitfaden 80 7.4.3 Krisenkommunikationsplan 81 7.4.4 Geschäftsfortführungspläne 81 7.4.5 Wiederanlaufpläne 82 8 Tests und Übungen 83 8.1 Test- und Übungsarten 83 8.2 Dokumente 85 8.2.1 Übungshandbuch 85 8.2.2 Übungsplan 86 8.2.3 Test- und Übungskonzept 86 8.2.4 Test- und Übungsprotokoll 88 8.3 Durchführung von Tests und Übungen 88 8.3.1 Grundsätze 88 8.3.2 Rollen 88 8.3.3 Ablauf 90 9 Aufrechterhaltung und kontinuierliche Verbesserung 92 9.1 Aufrechterhaltung 92 III
BSI-Standard 100-4: Notfallmanagement Version 1.0 Inhaltverzeichnis 9.2 Überprüfungen 93 9.3 Informationsfluss und Managementbewertung 93 10 Outsourcing und Notfallmanagement 95 10.1 Planung und Vertragsgestaltung 95 10.2 Berücksichtigung bei der Konzeption 96 11 Tool-Unterstützung 98 12 Glossar 100 Anhang A Strategieoptionen 102 A.1 Arbeitsplätze 102 A.2 Personal 104 A.3 Informationstechnik 105 A.4 Komponentenausfälle 106 A.5 Informationen 107 A.6 Externe Dienstleister und Lieferanten 108 Anhang B Präventive Maßnahmen 109 B.1 Meldetechnik 109 B.2 Datensicherung 110 B.3 Vereinbarungen mit externen Dienstleistern 110 B.4 Festlegung von Ausweichstandorten und deren Anforderungen 112 Anhang C Gliederung Notfallhandbuch 113 Anhang D Gliederung Geschäftsfortführungsplan 115 Dankesworte 117 IV
Kapitel 1 BSI-Standard 100-4: Notfallmanagement Version 1.0 1 Einleitung 1.1 Versionshistorie Stand Version Verfasser November 2008 1.0 BSI 1.2 Zielsetzung Behörden und Unternehmen sind steigenden Risiken ausgesetzt, die die Produktivität oder die kontinuierliche und zeitnahe Erbringung ihrer Dienstleistungen für die Kunden gefährden. Dazu tragen verschiedene Entwicklungen und Trends in der Gesellschaft und der Wirtschaft bei, wie die wachsende Globalisierung, zunehmende Vernetzung, Zentralisierung, Automatisierung, Outsourcing oder Offshoring (Auslandsverlagerung). Durch die steigende Komplexität der Geschäftsprozesse und deren zunehmenden Abhängigkeit von Informationstechnik und externen Dienstleistern können Ereignisse wie Feuer, Hochwasser oder der Ausfall von Informationstechnik, Dienstleistern, Lieferanten oder Personal große Auswirkungen nach sich ziehen. Zusätzlich nehmen Bedrohungen wie Pandemie, extreme Wetterereignisse oder Terrorismus stetig zu. Das Notfallmanagement ist ein Managementprozess mit dem Ziel, gravierende Risiken für eine Institution, die das Überleben gefährden, frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren. Um die Funktionsfähigkeit und damit das Überleben eines Unternehmens oder einer Behörde zu sichern, sind geeignete Präventivmaßnahmen zu treffen, die zum einen die Robustheit und Ausfallsicherheit der Geschäftsprozesse erhöhen und zum anderen ein schnelles und zielgerichtetes Reagieren in einem Notfall oder einer Krise ermöglichen. Das Notfallmanagement umfasst das geplante und organisierte Vorgehen, um die Widerstandsfähigkeit der (zeit-)kritischen Geschäftsprozesse einer Institution nachhaltig zu steigern, auf Schadensereignisse angemessen reagieren und die Geschäftstätigkeiten so schnell wie möglich wieder aufnehmen zu können. Das Notfallmanagement wird auch als „Business Continuity Management“ (BCM) oder „betriebliches Kontinuitätsmanagement“ bezeichnet. Ziel des Notfallmanagements ist es, sicherzustellen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz der Institution auch bei einem größeren Schadensereignis gesichert bleibt. Eine ganzheitliche Betrachtung ist daher ausschlaggebend. Es sind alle Aspekte zu betrachten, die zur Fortführung der kritischen Geschäftsprozesse bei Eintritt eines Schadensereignisses erforderlich sind, nicht nur die Ressource Informationstechnik. IT-Notfallmanagement ist ein Teil des Notfallmanagements. Im vorliegenden BSI-Standard 100-4 wird eine Methodik zur Etablierung und Aufrechterhaltung eines behörden- bzw. unternehmensweiten internen Notfallmanagements vorgestellt. Die hier beschriebene Methodik baut dabei auf der im BSI-Standard 100-2 [BSI2] beschriebenen IT-Grundschutz- Vorgehensweise auf. Bei vollständiger Umsetzung dieses Standards und des korrespondierenden Bausteins in den IT-Grundschutz-Katalogen wird ein Notfallmanagement etabliert, das auch weniger technisch-orientierte Standards wie den British Standard BS 25999 Part 1 und 2 komplett erfüllt. Der Herausforderung eines Behörden- bzw. Unternehmens-übergreifenden Notfall- oder Krisenmanagements hat sich das Projekt „Schutz Kritischer Infrastrukturen in Deutschland“ [KRI] gestellt und unter anderem in den beiden Plänen „Umsetzungsplan KRITIS“ und „Umsetzungsplan Bund“ konkretisiert. Externes Notfall- und Krisenmanagement im Sinne von Katastrophenschutz ist originäre Aufgabe des „Bundesamt für Bevölkerungsschutz und Katastrophenhilfe“ (BBK) und hat das Ziel, den Bevölkerungs- und Zivilschutz zu garantieren. Beide Gebiete sind nicht Gegenstand dieses BSI-Standards, sondern sind ergänzende Bereiche. Seite 1
BSI-Standard 100-4: Notfallmanagement Version 1.0 Kapitel 1 1.3 Adressatenkreis Dieses Dokument richtet sich an Notfall- bzw. Business Continuity Manager, Krisenstabsmitglieder, Sicherheitsverantwortliche, -beauftragte, -experten und -berater, die mit dem Management von Notfällen und Krisen technischen und nicht-technischen Ursprungs betraut sind. Anwender der in diesem Dokument beschriebenen Methodik sollten mit der IT-Grundschutz-Vorgehensweise, die im BSI-Standard 100-2 beschrieben ist, vertraut sein. Ein angemessenes Notfallmanagement ist sowohl bei kleinen als auch großen Institutionen erforder- lich. Ein effektives und zweckmäßiges Notfallmanagement muss nicht teuer sein. Da kleine und mittlere Institutionen in der Regel weniger komplex, über weniger Standorte verteilt, weniger Geschäftsprozesse haben und weniger Abhängigkeiten unterliegen, sind die Kosten für das Notfallmanagement entsprechend geringer. Doch sind gerade solche Institutionen schon bei geringen Störungen ihrer Geschäftsprozesse oftmals existenziell gefährdet. Der BSI-Standard 100-4 ist so gefasst, dass die Vorgehensweise von Institutionen beliebiger Art, Größe und Branche genutzt werden kann. Er beschreibt eine vollständige für größere Institutionen ausgerichtete ideale Art und Weise der Umsetzung. Es sollte beachtet werden, dass alle Empfehlungen unter dem Kontext der jeweiligen Institution betrachtet und angemessen umgesetzt werden. Kleine und mittlere Institutionen sollten die essentiellen Teilschritte und –aufgaben angepasst übernehmen. 1.4 Anwendungsweise Dieses Dokument beschreibt eine Methodik zur Etablierung eines Notfallmanagements, das auf das in BSI-Standard 100-2 [BSI2] beschriebene Vorgehen zur Umsetzung eines Managementsystems für Informationssicherheit aufsetzt und ergänzt. Durch die Verwendung von Informationen, welche bei der Umsetzung von IT-Grundschutz erhoben werden, können Synergieeffekte genutzt und Kostener- sparnisse erzielt werden. Es wird empfohlen, die in den Kapiteln 4 bis 9 dieses Standards beschriebene Methodik Schritt für Schritt anzuwenden. Besonders wird darauf verwiesen, dass Notfallmanagement nicht als Projekt zu betrachten ist, sondern nur bei wiederholter Durchführung der Prozessschritte als wirksam etabliert angesehen werden kann. Der Begriff „Institution“ wird in diesem Dokument als neutraler Oberbegriff für Unternehmen, Behör- den und sonstige öffentliche oder private Organisationen verwendet. Alle Personalbegriffe in diesem Dokument beziehen sich in gleicher Weise auf Frauen und Männer. Wird im Text die männliche Form verwendet, geschieht dies ausschließlich aus Gründen der leichteren Lesbarkeit. 1.5 Literaturverzeichnis [BMIKI] Bundesministerium des Innern (BMI), Schutz Kritischer Infrastrukturen - Risiko- und Krisenmanagement, Leitfaden für Unternehmen und Behörden, www.bmi.bund.de/Internet/Content/Common/Anlagen/Broschueren/2008/Leitfade n__Schutz__kritischer__Infrastrukturen,templateId=raw,property=publicationFile. pdf/Leitfaden_Schutz_kritischer_Infrastrukturen.pdf, Dez. 2007 [BMIKK] BMI, Bundesministerium des Inneren: Krisenkommunikation – Leitfaden für Behörden und Unternehmen, www.bmi.bund.de, 2008 [BSI1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Managementsysteme für Informationssicherheit (ISMS), BSI-Standard 100-1, Version 1.5, Juni 2008, www.bsi.bund.de/ [BSI2] BSI, IT-Grundschutz-Vorgehensweise, BSI-Standard 100-2, Version 2.0, Juni 2008, www.bsi.bund.de/ Seite 2
Kapitel 1 BSI-Standard 100-4: Notfallmanagement Version 1.0 [BSI3] BSI, Risikoanalyse auf der Basis von IT-Grundschutz, BSI-Standard 100-3, Version 2.5, Juni 2008, www.bsi.bund.de [BSIHVK] BSI: Hochverfügbarkeitskompendium, Version 1.0, Veröffentlichung 1. Quartal 2009 [BSIKRI] BSI: Schutz Kritischer Infrastrukturen in Deutschland. www.bsi.de/fachthem/kritis/index.htm [BS259991] British Standards Institute, BS 25999-1:2006 Business Continuity Management, Part 1: Code of practice, www.thebci.org/standards.htm [BS259992] British Standards Institute, BS 25999-2:2007, Business Continuity Management, Part 2: Specification, www.thebci.org/standards.htm [GPG08] Business Continuity Institute, Good Practice Guidelines 2008, www.thebci.org/gpgmoreinfo.htm [GSK] BSI, IT-Grundschutz-Kataloge – Standard-Sicherheitsmaßnahmen, jährlich neu, www.bsi.bund.de/gshb [HB221] Standards Australia, Business Continuity Management, ISBN 0-7337-6250-6, 2004 [INS24001] Standards Institution of Israel, INS 24001:2007, Security and continuity management systems – Requirements and guidance for use, 2007 [ITIL] Office of Government Commerce, IT Infrastructure Library, Service Management - ITIL (IT Infrastructure Library) www.ogc.gov.uk/guidance_itil.asp, Jan. 2008 [ISO20000] International Organization of Standardization (ISO), ISO/IEC 20000, IT Service-Management; bestehend aus ISO/IEC 20000-1:2005, IT Service-Management - Teil 1: Spezifikation für Service Management ISO/IEC 20000-2:2005, IT Service Management - Teil 2: Allgemeine Verfahrensregeln für Service Management [ISO22399] ISO, ISO/PAS 22399:2007, Societal security - Guideline for incident preparedness and operational continuity management [ISO27001] ISO, ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems requirements specification, ISO/IEC JTC1/SC27 [ISO27002] ISO, ISO/IEC 27002:2005 Information technology - Code of practice for information security management, ISO/IEC JTC1/SC27 [NIST34] National Institute of Standards and Technology (NIST), NIST SP 800-34, Contingency Planning Guide for Information Technology Systems, Juni 2002, csrc.nist.gov/publications/nistpubs/ [NFPA1600] National Fire Protection Association, Standard on Disaster/Emergency Management and Business Continuity Programs, 2007, www.nfpa.org [PAS77] British Standards Institute, PAS 77:2006, IT Service Continuity Management – Code of Practice, www.standardsdirect.org/pas77.htm [SS540] Singapore Standard, SS 540:2008, Business Continuity Management (BCM), SPRING Singapore, www.spring.gov.sg Seite 3
BSI-Standard 100-4: Notfallmanagement Version 1.0 Kapitel 2 2 Notfallmanagement und IT-Grundschutz 2.1 Einordnung in die BSI-Standards Im BSI-Standard 100-1 [BSI1] werden allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) festgelegt, zu denen auch generische Anforderungen an ein Notfall- management gehören. Im BSI-Standard 100-2 [BSI2] wird die IT-Grundschutz-Vorgehensweise vorgestellt, eine Methode, ein ISMS in der Praxis aufzubauen und zu betreiben. Der Aufbau einer Sicherheitsorganisation und deren Einbettung in die Institution sind dabei wichtige Themen. Dazu gehört auch das Zusammenspiel mit der Aufbauorganisation des Notfallmanagements. Der BSI- Standard 100-3 [BSI3] stellt eine Methode für die Durchführung einer Risikoanalyse vor, die für die Vorgehensweise nach IT-Grundschutz optimiert ist. Der vorliegende BSI-Standard 100-4 baut auf den vorherigen Standards auf, doch beschreibt er ein eigenständiges Managementsystem für die Geschäftsfortführung und die Notfallbewältigung. Ziel ist es, einen systematischen Weg aufzuzeigen, um bei Notfällen und Krisen der verschiedensten Art und Ursprungs, die zu einer Geschäftsunterbrechung führen können, schnell reagieren zu können. Er beschreibt mehr als IT-Notfallmanagement (IT-Service Continuity Management) und ist daher nicht als Unterbereich des ISMS zu sehen. Der BSI-Standard 100-4 beschreibt, wie die Ergebnisse der klassischen IT-Grundschutz-Vorgehensweise gemäß BSI-Standard 100-2 und der Risikoanalyse gemäß BSI-Standard 100-3 als Basis für angemessene Vorsorge zur Vermeidung von Notfällen wie auch zur Minimierung der Schäden in einem Notfall verwendet werden können. Er verweist auf die Notwendigkeit einer engen Zusammenarbeit mit dem Sicherheitsmanagement, um ein effizientes Notfallmanagement in einer Institution zu etablieren. Je höher die Durchdringung der Geschäftsprozesse mit Informationstechnologie ist, umso stärker können durch die Kooperation mit dem ISMS Synergieeffekte genutzt werden. Eine enge Zusammenarbeit dieser beiden Disziplinen ist aufgrund vieler Überschneidungen zu empfehlen. Mit der im vorliegenden Standard beschriebenen Business Impact Analyse (BIA) wird ein die Schutzbedarfsfeststellung der IT-Grundschutz-Vorgehensweise ergänzendes Werkzeug eingeführt. Mit Hilfe der BIA werden die kritischen Geschäftsprozesse identifiziert und die Verfügbarkeitsanforderungen an die Prozesse und deren Ressourcen ermittelt. Der Fokus des Informationssicherheitsmanagements liegt auf dem Schutz der Informationen einer Institution, das Notfallmanagement dagegen fokussiert sich auf die kritischen Geschäftsprozesse. Die Informationen zählen zu den schützenswerten Werten (auch Assets genannt) einer Institution, die kritischen Geschäftsprozesse bilden das Rückgrat. Beiden Managementsystemen ist die ganzheitliche Betrachtungsweise zueigen. Die Treiber des Notfallmanagements sind ebenso wie beim Infor- mationssicherheitsmanagement die Geschäftsbereiche. 2.2 Begriffe Unterbrechungen von Geschäftsprozessen können unterschiedliche Ursachen und Auswirkungen haben. Um zu verdeutlichen, welche Schadensereignisse im Rahmen eines Notfallmanagements betrachtet werden, folgt hier eine kurze Erläuterung der Begriffe „Störung“, „Notfall“, „Krise“ und „Katastrophe“, wie sie im Rahmen dieses Standards verstanden werden. Störung Eine Störung ist eine Situation, in der Prozesse oder Ressourcen einer Institution nicht wie vorgesehen funktionieren. Die dadurch entstehenden Schäden sind als gering einzustufen. Ein „geringer“ Schaden ist ein Schaden, welcher im Verhältnis zum Gesamtjahresergebnis eines Unternehmens bzw. zum Haushaltsvolumen einer Behörde zu vernachlässigen ist oder die Aufgabenerfüllung nur unwesentlich beeinträchtigt. Störungen werden durch die im allgemeinen Tagesgeschäft integrierte Störungsbehebung beseitigt. Störungen können sich jedoch zu einem Notfall ausweiten und sind Seite 4
