BCM Flashcards
Definition BCM
Notfallmanagement (Business Continuity Management) ist ein Managementprozess mit dem Ziel, gravierende Risiken für eine Institution, die das Überleben gefährden, frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren
Definition Incident Management
Vorfallsmanagement beschäftigt sich mit den Prozessen, die in Kraft treten, nachdem es zu einem Vorfall gekommen ist
Definition Notfall
Schadensereignis, bei dem Prozesse oder Ressourcen einer Institution nicht wie vorgesehen funktionieren
Ziele BCM
- Verbesserung der Belastbarkeit
- Reduzierung von Kosten
- Behandlung von Risiken
- Schutz von Leben/Eigentum/Umwelt
Standards/Richtlinien BCM
- ISO 22301, BSI: BCMS Anforderungen
- ISO 27002, BSI: Bezug auf IS
- NIST SP 800-34: Methodik zur Organisation einer Notfallvorsorge mit eher technischer Perspektive
Business Continuity Management System (BCMS) nach ISO 22301 (PDCA)
- Act: Ständige Verbesserung auf Grundlage qualitativer und quantitativer Messungen
- Plan: Erstellung von Leitlinien, Zielsetzungen und Prozessen
- Do: Umsetzung der geplanten Prozesse
- Check: Überwachung und Überprüfung der Leistung und der Effektivität des BCMS
Leistungsbewertung und Verbesserung des BCMS
- Kennzahlensystem: Messung des BCMS-Zustandes mithilfe von Kennzahlen
- Interne Audits: Überprüfung des BCMS auf Konformität durch eine unabhängige Partei
- Management-Review: Überprüfung der Wirksamkeit des BCMS durch die oberste Leistung
BCM Anforderungen nach ISO 27002
- Planen der Kontinuität der Informationssicherheit
-> Formulieren von Anforderungen an die Kontinuität von Informationssicherheit - BCM-Ziele/Anforderungen an Systemen planen, umsetzen und testen
-> Etablierung von Prozessen und Maßnahmen, zur Sicherstellung der Informationssicherheit während Krisenzeiten
-> Erstellung von Plänen und Prozessen, um auf Notfälle zu reagieren
-> Regelmäßige Überprüfung der Maßnahmen
-> Managementprozesse und Personal etablieren - Redundanz
-> wichtige Systeme der Verfügbarkeit sollten redundant ausgelegt werden
-> Beachtung von negativen Effekten auf Vertraulichckeit und Integrität
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls : Organisation
- Allgemeine Aufbauorganisation (AAO)
-> Ständige Organisationsform der Institution für die Aufgaben des täglichen Service- bzw. Geschäftsbetriebes
-> Bewältigt üblicherweise Schadensereignisse im Geschäftsbetrieb/Normalbetrieb
-> Schadensereignis kann so gravierend sein, dass es nicht durch AAO bewältigt werden kann - Besondere Aufbauorganisation (BAO)
-> zeitlich begrenzte Organisationsform, um auf außergewöhnliche Situationen angemessen und schnell zu reagieren
-> es gelten zeitlich begrenzte Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls: Prozess
1) Eintritt eines Schadensereignisses
2) Sofortmaßnahmen
3) Alarmierung und Eskalation zu einem Notfall
4) Ausrufen des Notfalls
-> ab da Wiederherstellung ausgefallener Ressourcen
5) Wiederanlauf in den Notbetrieb
6) Notbetrieb
7) Nacharbeiten
8) Analyse der Notfallbewältigung
Stufenmodell Definition
Das Stufenmodell soll es ermöglichen, den unterschiedlich Bedürfnissen von kleinen und größeren Unternehmen stärker gerecht zu werden
Stufenmodell - Reaktiv BCMS
- Schnelle Notfallbewältigung für ausgewählte, sehr geschäftskritische Prozesse
- Nur besonders kritische Geschäftsprozesse und Ressourcen werden priorisiert abgesichert
- Stark vereinfachte Einstiegsstufe
Stufenmodell - Aufbau BCMS
- Erweitert die Betrachtung um zusätzliche Geschäftsprozesse
- Ergänzt das Reaktiv BCMS um weitere Prozessschritte im PDCA-Zyklus
- Methodik wird formal und vollständig eingeführt
Stufenmodell - Standard BCMS
- Alle Geschäftsprozesse, die sich im Geltungsbereich des BCMS befinden, werden anslysiert
- Das Unternehmen kann für die notwendige Reife für eine Zertifizierung nach ISO-Standard 22301 erreichen
Vorteile/Nachteile Reaktiv BCMS
+ Schnelle Fähigkeit zur Notfallbewältigung
- Es gibt Lücken in der Absicherung und Bereichen, die nicht betrachtet werden
Vorteile/Nachteile Aufbau BCMS
+ Schrittweiser und damit ressourcenschonender Aufbau des BCMS
- Es gibt Bereiche, die in der Absicherung der Institution nicht betrachtet werden
Vorteile/Nachteile Standard BCMS
+ Vollständige Absicherung und damit Resilienz der Institution
- Erhöhter Ressourcenbedarf gegenüber Einsteigsstufen
BCM im Rahmen von Outsourcing und Lieferketten
Relevante Ressourcen und Prozesse des Dienstleisters müssen in die eigene Notfallbewältigung eingebunden und aufeinander abgestimmt werden
1. Identifikation der zeitkritischen Leistungsbezüge
2. Festlegung der BCM-Grundanforderungen
3. Überprüfung der Eignung des Dienstleisters
4. Entwicklung einer Exitstrategie
5. Definition der Vertragsanforderungen
6. Eingliederung der Leistungserbringung in die gesamte Lieferkette
7. Steuerung des Dienstleisters während der Leistungserbringung
Information System Contingency Planning Process
- Entwicklung der Notfallplanungspolitik
- Durchführung der Business Impact Analyse
- Identifizierung von Präventivkontrollen
- Entwicklung von Strategien für unvorhergesehene Ereignisse
- Planung von Tests, Schulungen und Übungen
- Plan-Pflege
ISCP - Entwicklung der Notfallplanungspolitik
- Benennung eines Prozessverantwortlichen
- Erstellung eines Rahmenwerkes
-> Festlegen von Rollen und Verantwortlichkeiten
-> Scope
-> Benötigte Ressourcen
-> Pläne für Übungen, Tests, Instandhaltung
-> Häufigkeiten von Backups und Aufbewahrung von Backup-Speichermedien - Zusammenstellung von Teams
-> z.B. Server Recovery Team, Legal Affairs Team, …
ISCP - Durchführung der Business Impact Analyse
- Verfügbarkeit steht bei der BIA im Fokus
- Redundante Systeme eine der wichtigen Maßnahmen der Contingency
- Ergebnisse der BIA werden vom ISCP-Koordinator als Basis genommen, um Anforderungen an den ISCP zu formulieren
ISCP - Identifizierung von Präventivkontrollen
- Prüfung, ob nicht Präventivmaßnahmen die Auswirkung abmildern können
- Präventivmaßnahmen sind Recovery-Maßnahmen vorzuziehen
ISCP - Entwicklung von Strategien für unvorhergesehene Ereignisse
- wirksame Maßnahmen zur Datensicherung und -wiederherstellung ermöglichen ein schnelles Wiederherstellen von Servicefunktionen
- Methode und Art der Backups sollten in Anlehnung an die maximale Downtime ausgewählt werden
- Erstellung regelmäßiger Backups von Systemdaten sowie Festlegung von Häufigkeiten und Umfang
- Bei Auslagerung an Dienstleister sind Standort, Erreichbarkeit, Security, Umwelt und Kosten zu berücksichtigen
ISCP - Planung von Tests, Schulungen und Übungen
- regelmäßige Tests der Maßnahmen sind zum Training und zur Überprüfung der Maßnahmen wichtig
- Arten von Tests:
-> Table Top Exercise: Rollen und Aufgaben werden anhand eines Beispielszenarios besprochen
-> Functional Exercise: simulierter Vorfall, wo Personen Fähigkeiten testweise ausüben können
ISCP - Plan-Pflege
- Plan muss immer aktuell und anwendbar sein
- ISCP-Koordinator steht in regelmäßigem Austausch mit den Fachbereichen
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls: Prozess: Eintritt eines Schadensereignis
- Zeitpunkt, zu dem ein Schadensereignis tatsächlich passiert
- ist nicht immer zweifelsfrei zeitlich bestimmbar, wenn das Ereignis zuerst unbemerkt bleibt
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls: Prozess: Sofortmaßnahmen
Dienen dazu, weitere Schäden in Folge des Schadensereignisses zu verhindern oder zumindest einzudämmen
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls: Ausrufen des Notfalls
- Start der Bewältigung durch die BAO
- Definition und Umsetzung erster Maßnahmen
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls: Prozess: Wiederanlauf in den Notbetrieb
- Beschreibt die Maßnahmen, um strukturiert in einen vorab geregelten Notbetrieb wechseln zu können
- BCM gibt Fristen vor, innerhalb derer der Wiederanlauf erfolgt sein muss
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls: Prozess: Notbetrieb
- Beschreibt, wie die Geschäftsprozesse mithilfe alternativer Ressourcen durchgeführt werden können
- Nutzung von Ersatzsystemen oder Zurückstellung von Geschäftsprozessen
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls: Prozess: Wiederherstellung ausgefallener Ressourcen
- Dient dazu, einen Zustand zu erreichen, in dem der Normalbetrieb wieder möglich ist
- Wiederherstellung umfasst alle Tätigkeiten bis hin zur Deeskalation des Ereignisses
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls: Prozess: Nacharbeiten
Alles, was aufgrund des Notbetriebes nicht erledigt werden konnte, aber zur Aufgabenerfüllung nachgeholt werden muss
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls: Prozess: Analyse der Notfallbewältigung
Trägt wesentlich dazu bei, das BCMS weiterzuentwickeln und die Bewältigung zukünftiger Schadensereignisse zu verbessern
Kontext der Organisation und Rolle der Führung
- Wie wirken sich interne und externe Ziele auf die Erreichung der Ziele des BCM aus? Typische Ziele:
-> interessierte Parteien und ihre für das BCMS relevanten Anforderungen
-> rechtliche und behördliche Anforderungen - Anwendungsbereich des BCMS festlegen:
-> Standorte mit Größe, Art und Komplexität
-> Produkte und Dienstleistungen
Business Impact Analyse (BIA)
- Ziele, Prioritäten und Anforderungen für die Aufrechterhaltung der Betriebsfähigkeit ermitteln
- Strategien auswählen nach Risiko und Kosten/Nutzen-Analyse:
-> Tätigkeit hoher Priorität innerhalb eines identifizierten Zeitrahmens und der vereinbarten Kapazität fortführen und wiederherstellen
-> Wahrscheinlichkeit einer Störung verringern
-> Dauer einer Störung verkürzen
-> Verfügbarkeit angemessener Ressourcen sicherstellen
BCM Pläne sollten folgendes enthalten:
- Einzelheiten zu den Maßnahmen, die die Teams ergreifen werden
- Verweis auf den/die zuvor festgelegten Schwellenwert(e) und den Prozess zur Aktivierung der Reaktion
- Verfahren zur Ermöglichung der Belieferung mit Produkten und Dienstleistungen zu vereinbarten Kapazitäten
- Maßnahmen zur Umsetzung der Lösungen
- Anforderungen an die Berichterstattung
- einen Beendigungsprozess
BCM nach BSI Standard 200-4: Ablauf der Bewältigung eines Vorfalls: Prozess: Alarmierung uns Eskalation
- Vorher definierte Meldestellen
- Alarmierung von BAO
- Bestätigung des Notfalls oder Deeskalation
NIST SP 800-34: Contingency Planning Guide for Federal Information Systems
- Verfolgt eher einen technischen Ansatz
- Bezieht sich ausdrücklich auf Informationssicherheit im Notfall
- Unterscheidung zwischen Notfall- und Kontinuitätsplanung
BCM Gesamtprozess nach BSI-Standard 200-4: Plan
- Konzeption und Planung des BCMS:
-> Abgrenzung zu verwandten Prozessen
-> BC-Aufbauorganisation
-> Anforderungen an Dokumentation
-> Rahmenbedingungen
-> Leitlinie
BCM Gesamtprozess nach BSI-Standard 200-4: Do
- Umsetzung des BCMS:
-> Aufbau der BAO
-> Voranalyse und BIA
-> Soll-Ist Vergleich der Ressourcen
-> BCM-Risikoanalyse
-> BC Strategien und Lösungen
-> Geschäftsfortführungsplan
-> Wiederanlauf- & Wiederherstellungsplan
BCM Gesamtprozess nach BSI-Standard 200-4: Check
- Überprüfung des BCMS:
-> Üben und Testen
-> Leistungsüberprüfung und Berichterstattung
BCM Gesamtprozess nach BSI-Standard 200-4: Act
- Korrektur und Verbesserung des BCMS:
-> Aufrechterhaltung und Verbesserung
-> Weiterentwicklung des Reaktiv-BCMS