BSI 100-4 Notfallmanagement

Was ist die BSI 100-4

Der BSI Standard 100-4 ist ein weiterer Standard aus der BSI 100er Reihe und ergänzt diese um das Notfallmanagement. Wie alle Standards der Reihe handelt es sich auch hierbei um ein allgemein gültiges Rahmenwerk, das unabhängig von der Art, Größe und Branche für jedes Unternehmen angewandt werden kann.

Das Ziel der BSI 100-4 ist es, das Überleben eines Unternehmens selbst im Notfall durch einen akzeptablen Mindestbetriebs bzw. die Aufrechterhaltung der wichtigsten Geschäftsprozesse zu sichern. Damit dies möglich ist, sind zahlreiche Präventivmaßnahmen als auch ein effektives Notfallmanagement von Nöten.

Ein Unternehmen kann nur dann auf Dauer bestehen, wenn es seine eigenen Geschäftsprozesse kennt, die Robustheit und Ausfallsicherheit dieser kontinuierlich steigert und zudem die Risiken und Gefahren stets im Auge behält.

Notfallmanagement sollte in jedem effektiven Unternehmen ein Thema sein. Die Ausprägung der Sicherheitsvorkehrungen hängt von der Größe und Art des Unternehmens ab. Der erste Schritt in Richtung Notfallmanagement ist die Transparenz der Geschäftsprozesse im Unternehmen. Die Geschäftsprozesse eines Unternehmens können anhand Strategien wie der Business Impact Analysis und der Risikoanalyse ermittelt werden.

Jeder einzelne Geschäftsprozess wird nach seiner Bedeutung in kritisch und unkritisch eingestuft und bekommt eine Priorität, die die Wiederherstellung belegt, zugewiesen. Kritische Geschäftsprozesse sind jene Prozesse, die für den Fortbestand des Unternehmens erforderlich sind, schwerwiegende Auswirkungen mit sich bringen oder einen Ausfall des Geschäftes bewirken. Diese Geschäftsprozesse bilden die Grundlage auf die der Notfallprozess aufbaut. Unkritische Geschäftsprozesse werden im Notfallmanagement nicht weiter berücksichtigt, dürfen aber dennoch nicht vernachlässigt werden.

Anhand der kritischen Geschäftsprozesse wird der Aufwand für die benötigte Zeit, die involvierten Personen, die erforderlichen Ressourcen als auch das Budget für das Notfallmanagement geplant. Im Anschluss wird eine Leitlinie erstellt. Die Leitlinie legt den Rahmen für die Konzeption, Erstellung und Aufrechterhaltung des Notfallmanagements als auch sämtliche Rollen, Verantwortungsbereiche und Zuständigkeitsbereiche fest. Die Unternehmensleitung muss die Leitlinie genehmigen und kommunizieren. Ein eigens dafür ernannter Mitarbeiter ist für die regelmäßige Aktualisierung des Dokuments verantwortlich.

Nach Fertigstellung der Dokumentation sind eine Reihe an Übungen, Tests als auch Sensibilisierungs- und Schulungsmaßnahmen erforderlich. Jeder Mitarbeiter muss über das Verhalten im Notfall in Kenntnis sein und diese Maßnahmen jederzeit anwenden können.

Die Konzeption eines Notfallmanagements sollte nicht als Projekt betrachtet werden. Das Notfallmanagement ist ein wachsender Prozess, der stets an die aktuellen Gegebenheiten und Umstände angepasst und erweitert werden muss.

Das oberste Ziel des Notfallmanagements ist die Aufrechterhaltung der kritischen Geschäftsprozesse sowie die Eindämmung und Minimierung des Schadens und der Auswirkungen.

Wie ist der Zusammenhang zwischen BSI 100-1/-2/-3/-4

Wie bereits am Namen ersichtlich ist, handelt es sich bei diesem Standard um eine Normreihe die sich aus einzelnen Teilbereichen zusammensetzt. Jeder Teilbereich behandelt dabei stets einen eigenen Themenblock, der zum Gesamtwerk der BSI 100 beiträgt aber auch als eigenständiger Standard angewandt werden kann.

Der Zusammenhang zwischen den einzelnen Standards ergibt sich wie folgt. Der Standard BSI 100-1 bildet die Grundlage aller weiteren Standards. In 100-1 sind die allgemeinen Anforderungen an ein Managementsystem für Informationssicherheit, kurz ISMS, aufgeführt. Der Standard BSI 100-2 beschreibt wiederum die Vorgehensweise nach IT-Grundschutz um ein ISMS effektiv und effizient aufzubauen. Auf die beiden ersten Standards setzt der dritte Teil der Reihe, BSI 100-3, auf und erweitert diese um eine Methode zur Durchführung der Risikoanalyse. Sehr eng mit diesem dritten Teil verwandt ist der vierte Standard, die BSI 100-4.

Der Standard BSI 100-4 befasst sich mit dem Notfallmanagement. Dabei spielen sowohl die Risikoanalyse aus BSI 100-3 zur Ermittlung der kritischen Prozesse als auch das Vorgehen nach IT-Grundschutz aus BSI 100-2 eine wesentliche Rolle. Auch mit dem Basiswerk 100-1 ist der neue Standard eng verbunden. Der Grund ist die Überschneidung von Informationssicherheitsmanagement und Notfallmanagement. Während BSI 100-1 sich lediglich dem Schutz der Informationen einer Institution widmet, fokusiert der vierte Standard der 100er-Reihe die Gesamtheit der kritischen Geschäftsprozesse. Die zu schützenden Informationen sind dabei nur ein Teil des Ganzen.

Inwiefern sind BSI 100-4 und BS 25999 verwandt

Der Standard BSI 100-4 als auch der Standard BS 25999 befassen sich beide mit dem Fortbestand eines Unternehmens. Während es sich bei BS 25999 - Business Continuity Management um einen international anerkannten Standard handelt, ist die BSI 100-4 hauptsächlich im deutschsprachigen Raum zu finden. Beide Standards widmen sich auf unterschiedliche Weise dem Notfallmanagement.

Im Mittelpunkt des Standards BS 25999 steht ein umfassendes Verständnis über die eigene Organisation. Darauf aufbauend werden entsprechende Strategien und Reaktionsmaßnahmen zum Business Continuity Management entwickelt. Natürlich ist es mit einer einmaligen Entwicklung eines BCM Plans nicht getan. Die Maßnahmen, Strategien als auch Pläne erfordern regelmäßige Aktualisierungen und Verbesserungen. Des Weiteren sind Übungen, Überprüfungen und Testläufe erforderlich, damit sichergestellt wird, dass die Maßnahmen auch im Notfall richtig angewandt werden.

Der Standard BS 25999 setzt sich aus den Werken BS 25999-1 Business Continuity Management – Part 1: Code of Practice und BS 25999-2 Business Continuity Management – Part 2: Specification zusammen. Teil 1 widmet sich dem Aufbau eines Managementsystems für das Notfallmanagement. Der Standard führt die notwendigen Schritte für IT-Notfallmanagement jedoch nur auf, eine Beschreibung dieser Schritte ist nicht enthalten. Der auf den Code of Practice aufbauende Standard 25999-2 legt sämtliche Punkte fest, die für eine Zertifizierung mindestens abgedeckt werden müssen.

Definition Krise/ Notfall/ Störung

Störung

Man spricht von einer Störung, sobald ein Prozess oder auch eine Ressource nicht so funktioniert, wie sie eigentlich sollte. Der Schaden der sich durch die Störung ergibt ist relativ gering und kann damit vernachlässigt werden. Eine Störung wird innerhalb des Tagesgeschäfts behoben. Ist eine sofortige Behebung nicht möglich, kann sich die Störung zu einem Notfall ausdehnen.

Notfall

Von einem Notfall ist die Rede, wenn ein Prozess oder eine Ressource nicht planmäßig funktioniert und innerhalb des vorgesehenen Zeitrahmens nicht wieder hergestellt werden kann. Der Geschäftsbetrieb ist in der Wiederherstellungszeit stark beeinträchtigt, die Service Level Agreements können nicht eingehalten werden. Es entsteht ein umfangreicher Schaden, der außerhalb des akzeptablen Bereiches liegt. Ein gesondertes Notfallbewältigungsteam kümmert sich um die Behebung und Wiederherstellung des Normalbetriebs.

Krise

Eine Krise ist ein zumeist einmaliges Ereignis, dass trotz vorbeugender Maßnahmen eintritt und durch die normalen Aufbau- und Ablauforganisation nicht zu bewältigen ist. In diesem Fall wird das Krisenmanagement tätig. Die Bewältigung erfolgt anhand Rahmenbedingungen und Anweisungen, ein Ablaufplan existiert aufgrund der Einzigartigkeit nicht.