ISO 27001:2005 – Betriebliches Fortbestands-Management

Risikoanalyse und Notfallplan sorgen für Business Continuity

18.09.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten

ISO 27001:2005 dient zur Errichtung eines Managementsystems für Informationssicherheit. Um Unterbrechungen in Geschäftsprozessen erfolgreich entgegen zu wirken, bedarf es eines Notfallvorsorgeplans. Der getestete Notfallplan resultiert aus einer Risikoanalyse, die den Schutzbedarf der Organisation widerspiegelt. Dieser Artikel stellt das betriebliche Fortbestandsmanagement laut ISO vor und gibt Hinweise und Praxistipps für die „Risikoanalyse auf der Basis von IT-Grundschutz“ des BSI.

Das betriebliche Fortbestandsmanagement ist der zehnte von elf Überwachungsbereichen aus dem Annex A (§14) des Standards ISO/IEC 27001:2005. Der Überwachungsbereich besteht aus nur einer Kategorie und insgesamt fünf Kontrollzielen, den eigentlichen Aufgaben oder Maßnahmen. Wie bei den anderen Überwachungsbereichen übernimmt die Norm die Vorgaben aus ISO 17799:2005 (Best Practices).

Auf viereinhalb Seiten werden recht allgemein die Themen „IT-Sicherheit in Prozessen zur Geschäftsfortführung“, „Risikomanagement“ und „Entwicklung von Notfallplänen“ beschrieben. Zusätzliche praktische Hinweise zur Risikoanalyse gibt der Standard 100-3 des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Wenn der größte anzunehmende Unfall (GAU) auftritt und alle Systeme ausfallen, sind in den IT-Organisationsstrukturen die Mitarbeiter mit kühlen Köpfen gefragt (siehe Organisation der Informationssicherheit, Annex A, §6 und Abbildung 1). Zur optimalen Schadensbegrenzung haben IT-Sicherheitsbeauftragte oder zuständige Datenschutzbeauftragte einen fertig dokumentierten, von der Geschäftsleitung abgesengten und „getesteten“ Notfallplan in der Schublade.

Wie kann ein Notfallplan aussehen, wenn man die Zukunft nicht voraussehen kann? Schließlich hat das IT-Sicherheits-Team gute Arbeit geleistet und „alle“ Sicherheitslücken geschlossen. Hier hilft nur eine Risikoanalyse, die ein Plan mit mehreren Notfalloptionen zum Ergebnis hat. Eine dieser Notfalloptionen sollte die Situation abdecken, wie man konzeptionell an unbekannte Vorfälle herangeht. Ein wenig Fantasie ist durchaus gefragt.

Konzepte nach ISO für den Fortbestand der geschäftlichen Tätigkeiten

ISO 17799:2005 beschreibt einen Fortbestandsplan (Continuity Plan), bei dem es sich eigentlich genauer gesagt um einen Notfallplan handelt. Dieser sieht vor, basierend auf der Risikoanalyse, alle Geschäftsabläufe in einer akzeptablen Zeit wiederherzustellen.

Bevor beispielsweise ein Backup auf neue Computergeräte aufgespielt wird, sollte geprüft werden, ob dies aufgrund neuer Sicherheitserkenntnisse sinnvoll ist. Daher sollte ein Plan ebenfalls vorsehen, welche Instanz zeitnah über mögliche Änderungen entscheiden soll.

In der ISO-Norm hat jeder Notfallplan einen Besitzer, der für diesen als Projektleiter verantwortlich ist. Auch hier kann wieder auf die Organisation von IT-Sicherheit verwiesen werden (Annex A, §6).

Risikoanalyse in der Praxis nach BSI

Die Risikoanalyse basiert auf dem Schutzbedarf der Organisation und der Zweckmäßigkeit der Maßnahmen. Eine mögliche Vorgehensweise wird auch vom BSI genutzt: Eine Fragetechnik, um die individuellen Schutzbedürfnisse aufzuzeigen.

Das BSI formuliert in seinem Standard drei Grundwerte: die Vertraulichkeit, die Integrität und die Verfügbarkeit. Für die Analyse stellt das BSI folgende Kontrollfragen:

  • „Welchen Gefährdungen für die Informationsverarbeitung ist durch die Umsetzung der relevanten IT-Grundschutz-Bausteine noch nicht ausreichend oder sogar noch gar nicht in Rechnung getragen?“
  • „Müssen eventuell zusätzliche IT-Sicherheitsmaßnahmen, die über das IT-Grundschutz-Modell hinausgehen, eingeplant und umgesetzt werden?“

Die Fragestellung führt zu einem Analysemodell, das folgende Komponenten enthält:

1. Gefährdungsübersicht

2. Zusätzliche Gefährdungen (für die außerordentlichen Sonderfälle)

3. Gefährdungsbewertung

4. Behandlung von Risiken (z. B. durch zusätzliche Sicherheitsmaßnahmen)

5. Konsolidierung des IT-Sicherheitskonzepts (z. B. aus Kostengründen)

Gefährdungsübersicht

Bei der Gefährdungsbewertung ist ein wenig Kreativität gefragt: Zunächst sollte ein Wirtschaftsgut mit den Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit charakterisiert werden. Diese Grundwerte erhalten anschließend die Attribute „niedrig“ bis „sehr hoch“ als Bewertung. Des Weiteren sollte beziffert werden, was mit dem Wirtschaftsgut alles passieren könnte (Ausfall, Hackerangriff, Diebstahl, usw.)

Basierend auf einer Inventur (siehe auch ISO-Überwachungsbereich „Vermögensverwaltung“) kann bei der Modellierung der Gefährdungsübersicht eine Bewertung der festen und beweglichen Güter erfolgen. Bei der Bewertung der einzelnen Posten ist es sinnvoll sich die Frage zu stellen, was ein Ausfall das Unternehmen kostet.

Wo keine besonderen Gefährdungen vorliegen, kann man den betreffenden Posten aus der Liste streichen, wie beispielsweise der Büroraum von Sachbearbeiter XY. Nach der Selektion verbleiben zum Beispiel Güter wie Serverraum, Servergeräte, Router, Firewall usw.

Gefährdungsbewertung

Die Bewertung der Gefährdung erfolgt laut BSI nach drei Prüfkriterien:

  • Vollständigkeit – Wurde auch an alles gedacht?
  • Mechanismenstärke – minimale Schlüssellänge, usw.
  • Zuverlässigkeit

Weitere Informationen zum Analysemodell sind im BSI-Standard 100-3 zu finden.

Manöverübung zur Krisenabwehr

Jeder Plan sieht auf dem Papier erst einmal gut aus – bis er getestet wird. Die IT-Sicherheit kann da von Feuerwehr und Militär lernen. Die Verantwortlichen sollten sich nicht scheuen – auch wenn eine Übung unter Umständen mit hohen Kosten verbunden ist – eine Notfallsituation zu trainieren. Dieser Prozess der Überprüfung (Check) findet sich ebenfalls in der Philosophie des ISMS, bzw. im PDCA-Lebenszyklusmodell wieder.

Demnach könnte das Krisenabwehr-Modell wie folgt umgesetzt werden:

1. Plan (z.B. Planen des Notfallplans)

2. Do (z. B. Starten einer Simulation oder Notfallübung)

3. Check (Auswertungen: Wurden die Prozessschritte im Notfallplan durchgeführt? Wie hat das Personal reagiert? Wie lange dauert die Beschaffung von Ersatzteilen? War das Backup erfolgreich? …)

4. Act (Verbesserungen fließen in den Notfallplan ein)

Fazit

Betriebliches Fortbestandsmanagement beinhaltet die konsequente Umsetzung bestehender Notfallpläne. Diese resultieren aus den Informationen des Risiko-Managements unter Ausnutzung der bestehenden IT-Sicherheitsorganisation. Die Risikoanalyse ergründet und bewertet potentielle Gefährdungen und eine mögliche Abwehr.

Allerdings sind die Ausführungen in ISO 17799:2005 sehr allgemein gehalten, so dass eine Interpretation der Aussagen notwendig ist. Hilfestellung hierzu bietet das BSI.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007703 / Services)