Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH
Das Notfallmanagement soll mittels der Definition von Zielen, einer anlassbezogenen sowie jährlichen Aktualisierung des Notfallkonzepts und einer quartalsweisen Berichterstattung über den Zustand des Notfallmanagements an die Geschäftsleitung mehr Bedeutung bekommen.
Notfallkonzept, Notfallszenarien und Notfallpläne
Die Verantwortlichen haben Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Prozessen zu dokumentieren. Die Definition von Kriterien für die Einstufung von Notfällen sowie das Auslösen der Pläne sind für die meisten Institute nicht neu.
Dass dies für alle zeitkritischen IT-Systeme erforderlich ist, die zeitkritische Aktivitäten und Prozesse unterstützen, dürfte hingegen für viele neu sein.
Neu ist, dass im Rahmen des Notfallmanagements Mindestanforderungen an die Auswahl der Notfallszenarien genannt werden und der inhaltliche Umfang der IT-Notfallpläne konkretisiert wurde. Institute, die ihr Notfallmanagement nicht auf das Informationssicherheitsmanagement aufgesetzt haben, werden mit den neuen Inhalten einen erheblichen Mehraufwand spüren.
Analysen im Notfallmanagement
Zur Identifikation von zeitkritischen Aktivitäten und Prozessen kommen häufig Business Impact Analysen (Auswirkungsanalysen) zum Einsatz. Diese analysieren die Auswirkungen und Beeinträchtigungen auf Geschäftsprozesse für definierte Zeiträume und Kriterien. Für die identifizierten zeitkritischen Aktivitäten und Prozesse werden nun potenzielle Gefährdungen mittels einer Risikoanalyse (Risk Impact) identifiziert, die eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können. Unter Berücksichtigung mehrerer potenzieller Gefährdungen je Geschäftsprozess oder IT-System gilt es, hohe Risikopotenziale zu identifizieren. Hierbei kann es sinnvoll sein, auf eine etablierte Logik zur Bewertung von operationellen Risiken zurückzugreifen.
Überraschenderweise könnte der Mehrjahresübungsplan entfallen. Für alle relevanten Szenarien ist mindestens jährlich und anlassbezogen eine Übung nachzuweisen. Dies wird in der Praxis zu einem deutlichen Anstieg der durchzuführenden Übungen führen. Häufigkeit und der Umfang der Überprüfungen sollen sich dennoch grundsätzlich an der Gefährdungslage orientieren und auch eine angemessene Einbindung der Dienstleister wird gefordert. Hierbei wird ein Nachweis erforderlich, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse durch ein ausreichend entferntes Rechenzentrum für eine angemessene Zeit sowie für die anschließende Wiederherstellung des IT-Normalbetriebs erbracht werden können.
Es gilt, sowohl methodisch als auch fachlich einen ganzheitlichen Ansatz zu finden, der die zeitkritischen Geschäftsprozesse gem. MaRisk AT 7.3, die IT-Notfallplanung gem. BAIT Kap. 10, das allgemeine Notfallmanagement mit kriminellen, technischen und personellen Ereignissen sowie Notfallszenarien im Bereich der höheren Gewalt in einem gesamtheitlichen Notfallmanagement-Prozess abbildet. Hierbei ist auch auf Informationen aus dem Bereich des Informationssicherheitsmanagements zurückzugreifen.
PRAXISTIPPS
- Die Ziele und Rahmenbedingungen des IT-Notfallmanagements sind auf Basis der Ziele des Notfallmanagements festzulegen.
- Die Rahmenbedingungen enthalten u. a. organisatorische Aspekte, wie z. B. Schnittstellen zu anderen Bereichen (u. a. Risikomanagement oder Informationssicherheitsmanagement).
- Die zeitkritischen sonstigen Systeme (über Anwendungen hinaus) müssen über die Schutzbedarfsanalyse (ggf. BIA) identifiziert werden.
Beitragsnummer: 18288