IT-Notfall üben macht stark!

IT-NOTFALL ÜBEN MACHT STARK!
PERSICON@night |15. Oktober 2015
Agenda
1. IT-Notfall üben macht stark!
2. Übungen im Kontext des Notfallmanagements
3. Praxisbeispiel einer Notfallübung
4. Erkenntnisse aus zurückliegenden Übungen
2
PERSICON@night: IT-Notfall üben macht stark!
Marc Ragg
3


Bachelor of Science Wirtschaftsinformatik
Masterstudium Wirtschaftsinformatik

Manager für Informationssicherheit, Notfallmanagement und Risikomanagement




ISO/IEC 27001 Auditteamleiter (PERSICON cert AG)
Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV)
Geprüfter ISO 27001 Auditor (SGS TÜV)
Foundation Certificate in IT Service Management (ITIL)

Schwerpunkte:
– Design, Implementierung und Dokumentation von
Informationssicherheitsmanagementsystemen (ISMS) gemäß ISO/IEC 27001 und BSI ITGrundschutz
– IT-Notfallmanagement und Business Continuity Management gemäß BSI-Standard 100-4
und ISO/IEC 22301
– Risikomanagement gemäß ISO/IEC 31000 und BSI-Standard 100-3

Lehrtätigkeit an der Akademie für öffentliche Verwaltung des Freistaates Sachsen (AVS) und an der
Hochschule für Wirtschaft und Recht (HWR)

Kontakt: [email protected]
PERSICON@night: IT-Notfall üben macht stark!
IT-Notfall üben macht stark!
4
PERSICON@night: IT-Notfall üben macht stark!
Haben Sie dieses Jahr bereits ihre IT-Notfallübung durchgeführt?
5
PERSICON@night: IT-Notfall üben macht stark!
Stolpersteine in der Praxis (1)
6
Zu hoher Aufwand
Keine Ressourcen
Kein erkennbarer
Nutzen
Vorherrschendes
Wahrnehmungsdefizit
PERSICON@night: IT-Notfall üben macht stark!
Stolpersteine in der Praxis (2)
7
Geringe Prozessreife
Geringe
Prozessdurchführungsqualität
Keine ausreichende
Kenntnis über
Wirksamkeit getroffener
Maßnahmen
Andere Prioritäten von
der Leitungsebene/
Geschäftsführung
PERSICON@night: IT-Notfall üben macht stark!
Carsten Tschacher





8
Master of Science - Wirtschaftsinformatik
Senior Consultant für Informationssicherheit, Notfallmanagement und Risikomanagement
sowie Prüfungen hinsichtlich der Angemessenheit und Wirksamkeit von internen
Kontrollsystemen (IKS).
Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV)
Geprüfter ISO 27001-Auditor (SGS TÜV)
Foundation Certificate in IT Service Management (ITIL)

Schwerpunkte:
– Design, Implementierung und Dokumentation von
Informationssicherheitsmanagementsystemen (ISMS) gemäß ISO/IEC 27001 und BSI
IT-Grundschutz.
– IT-Notfallmanagement und Business Continuity Management gemäß BSI-Standard
100-4 und ISO/IEC 22301.
– Risikomanagement gemäß ISO/IEC 31000 und BSI-Standard 100-3.

Kontakt: [email protected]
PERSICON@night: IT-Notfall üben macht stark!
Übungen im Kontext des Notfallmanagements
9
PERSICON@night: IT-Notfall üben macht stark!
Normen und Standards für das Notfallmanagement
Verbreitete Standards/Normen
 ISO 22301
internationale Norm zum Business Continuity
Management
 BSI-Standard 100-4
deutscher Standard zum Notfallmanagement
 BCI-GPG 2013
Business Continuity Institute - Good Practice
Guidelines 2013
Zusätzliche Pläne
10
 UP-KRITIS
Umsetzungsplan zum Schutz Kritischer
Infrastrukturen
 UP-BUND
Umsetzungsplan zum Schutz von Bundesbehörden
 BSI-UMRA
Vorlagen für Notfallmanagementdokumente
PERSICON@night: IT-Notfall üben macht stark!
Lebenszyklus des Notfallmanagements
Phase 1:
Das eigene
Unternehmen
verstehen
Phase 4:
Notfallmanagement
prüfen und
verbessern
Phase 2:
NotfallmanagementStrategien
entwickeln
Phase 3:
Notfallmaßnahmen
entwickeln und
implementieren
11
PERSICON@night: IT-Notfall üben macht stark!
Bestandteile des Notfallmanagements
Plan
Notfallmanagement
Notfallvorsorge
Planung der
Notfallvorsorge
Initiierung
Act
Planung der
Notfallbewältigung
Umsetzung
von
Maßnahmen
Durchführung
von Übungen
Notfallbewältigung
Anwenden von Notfallbewältigungsmaßnahmen
Check
12
PERSICON@night: IT-Notfall üben macht stark!
Do
Bestandteile des Notfallmanagements
Plan
Notfallmanagement
Notfallvorsorge
Planung der
Notfallvorsorge
Initiierung
Act
Planung der
Notfallbewältigung
Umsetzung
von
Maßnahmen
Durchführung
von Übungen
Notfallbewältigung
Anwenden von Notfallbewältigungsmaßnahmen
Check
13
PERSICON@night: IT-Notfall üben macht stark!
Do
Ziele und Voraussetzungen von Notfallübungen
Ziele
 Ermittlung der Wirksamkeit von Maßnahmen der Notfallvorsorge und
Notfallbewältigung
 Ermittlung und Überprüfung der Reaktionen auf ein Notfallereignis
 Identifizierung von Verbesserungspotentialen im Notfallmanagement
 Stärkung der Handlungssicherheit der übenden Teilnehmer
Voraussetzungen
 Planvorgaben, Konzepte und Dokumentationen zu Notfallvorsorge- und
Notfallbewältigungsmaßnahmen (Notfallkonzeption)
 Aufbau- und Ablauforganisation des Notfallmanagements
14
PERSICON@night: IT-Notfall üben macht stark!
Ausgewählte Übungsarten und Übungsinhalte
Übungsarten
 Planbesprechung
 Planübung
 Funktionstest
 Stabsübung
 Stabsrahmenübung
 Vollübungen
Übungsinhalte (Auswahl)
 Beurteilung der Lage und Entschlussfassung
 Anwendung von Notfallplänen sowie Notfallprozess
 Erarbeitung von Handlungsoptionen
 Zusammenarbeit mit anderen Stäben
15
PERSICON@night: IT-Notfall üben macht stark!
Übungskreislauf
Planung
16
Vorbereitung
PERSICON@night: IT-Notfall üben macht stark!
Durchführung
Nachbereitung
Übungskreislauf - Planung
Planung
Vorbereitung
Beschreibung
 Zeit-, Personal- und
Ressourcenplanung
 Konzeption der Übung
 Erarbeitung von Übungsunterlagen
(Notfallszenario,Übungsdrehbuch
sowie Übungseinlagen)
 Dokumentation der Planung im
Übungskonzept
17
PERSICON@night: IT-Notfall üben macht stark!
Durchführung
Nachbereitung
Übungskreislauf - Vorbereitung
Planung
Vorbereitung
Durchführung
Beschreibung
 Herstellung der Übungsumgebung
(Ertüchtigung Übungsraum)
 Einweisung der Teilnehmer
 Umsetzen von Maßnahmen für
Absicherung des Wirkbetriebs
 Bereitstellung von technische,
personellen und administrativen
Ressourcen für die Durchführung
18
PERSICON@night: IT-Notfall üben macht stark!
Nachbereitung
Übungskreislauf - Durchführung
Planung
Vorbereitung
Durchführung
Beschreibung
 Durchführung der Übung
 Steuerung des Übungsverlaufs mit
Hilfe von Übungseinlagen
 Protokollierung der
Übungsdurchführung
19
PERSICON@night: IT-Notfall üben macht stark!
Nachbereitung
Übungskreislauf - Nachbereitung
Planung
Vorbereitung
Durchführung
Nachbereitung
Beschreibung
 Analyse des tatsächlichen
Übungsverlaufs/Gegenüberstellung
des geplanten Übungsverlaufs
 Erstellung Auswertungsbericht
 Ermittlung von
Verbesserungspotenzialen und
Übergabe an Notfallvorsorge,
Notfallbewältigung, Übungsplanung
20
PERSICON@night: IT-Notfall üben macht stark!
Pause
21
PERSICON@night: IT-Notfall üben macht stark!
Professor Marcel Kuhlmey


Professur für Risiko- und Krisenmanagement
Masterstudium Politik und deutsche Nachkriegsgeschichte
Ausbildung für den höheren Polizeivollzugsdienst an der Polizei-Führungsakademie
Diplom – Verwaltungswirt (FH)

Übungskoordinator

Fachkraft für Schutz und Sicherheit (IHK)
Ausbilder nach der AEVO (IHK)
Geprüfter Port Facility Security Officer




22

Schwerpunkte:
 Risiko- und Krisenmanagement, insbesondere
 Risikomanagement gemäß ISO/IEC 31000 und BSI-Standard 100-3,
 Vorbereitung, Durchführung und Nachbereitung von Krisenmanagementübungen sowie
 Prozessbetrachtungen zum Krisenmanagement

Kontakt: [email protected]
PERSICON@night: IT-Notfall üben macht stark!
Praxisbeispiel einer Notfallübung
23
PERSICON@night: IT-Notfall üben macht stark!
Übungsorganisation einer Stabsrahmenübung
Übungsleitung/
Übungssteuerung
Übender Notfallstab
Leiter Notfallstab
Übungskoordinator
Übungsbeobachter
Operative Notfallteams
24
PERSICON@night: IT-Notfall üben macht stark!
Aufwand für eine Notfallübung
3. Nachbereitung
1. Vorbereitung
 Mitwirkung an dem Sofort- und
Auswertebericht
 ggf. Workshop zur Nachbesprechung
 Aufwand: ca. ein Tag für die
Übungsbeteiligten
 Workshop mit Zieldefinition,
Festlegung der Übungsbeteiligten,
Erarbeitung des Ausgangsszenarios
sowie der Aufgabenstellung
 Abstimmung der
Übungsunterlagen
 Aufwand: ca. ein bis drei Tage für
die Übungsbeteiligten
Nachbereitung
Vorbereitung
2. Durchführung
Durchführung
25
PERSICON@night: IT-Notfall üben macht stark!
 Durchführung der Planbesprechung
(ca. sechs bis acht Stunden)
 Aufwand: ein Tag für die
Übungsbeteiligten
Kommunikation während einer Notfallübung
#
Zeit
Absender
Empfänger
Thema
Inhalt
Anlagen/Einlagen
Erwartete
Maßnahmen/Anmerkungen
Sequenz - Erstreaktion
Absender:
Ansprechpartner:
Dringende Nachricht
„sofort vorlegen“
Betrifft:
Empfänger:
Datum:
Uhrzeit:
Sofortmeldung - Störungsmeldung
Beschreibung:
Maßnahmen:
26
Übende Notfallorganisation
PERSICON@night: IT-Notfall üben macht stark!
Übungsleitung
Vorbehalte
personelle
Ressourcen
Arbeitsbelastung
Zeitfaktor
Nutzen
Kosten
27
PERSICON@night: IT-Notfall üben macht stark!
Erkenntnisse aus zurückliegenden Übungen
28
PERSICON@night: IT-Notfall üben macht stark!
Erkenntnisse aus zurückliegenden Übungen
 Feststellung der sachlichen, organisatorischen und personelle Ausstattung für




29
das Krisen- und Notfallmanagement
Überprüfen der effektiven und effizienten Zusammenwirken zwischen den
beteiligten Akteuren
Prüfen der vorhandenen Krisen- und Notfallprozesse
Funktionsfähigkeit der Kommunikationsprozesse
Grundlage für ein zu initiierendes Krisen- und Notfallmanagement
PERSICON@night: IT-Notfall üben macht stark!
Vielen Dank für Ihre Aufmerksamkeit
[email protected]
[email protected]
[email protected]
Friedrichstraße 100 | 10117 Berlin
www.persicon.com
30
PERSICON@night: IT-Notfall üben macht stark!

Download Report