Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: B 1.3 Notfallvorsorge-Konzept - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 1.3 Notfallvorsorge-Konzept

Logo Notfallvorsorge-Konzept

Beschreibung

Die Notfallvorsorge umfasst Maßnahmen, die auf die Wiederherstellung der Betriebsfähigkeit nach (technisch bedingtem bzw. durch fahrlässige oder vorsätzliche Handlungen herbeigeführten) Ausfall eines IT-Systems ausgerichtet sind. Abhängig vom Zeitpunkt der Realisierung dieser Maßnahmen lassen sich die weiter unten beschriebenen Phasen der Notfallvorsorge unterscheiden.

Um eine unter Wirtschaftlichkeitsgesichtspunkten angemessene Notfallvorsorge betreiben zu können, müssen die entstehenden Kosten dem potentiellen Schaden (Kosten aufgrund mangelnder Verfügbarkeit im Notfall) gegenübergestellt und bewertet werden. Als Kosten sind zu betrachten:

In diesem Baustein soll ein systematischer Weg aufgezeigt werden, wie ein Notfall-Handbuch erstellt und dessen Anwendung geübt werden kann. Der Aufwand zur Erstellung eines Notfallhandbuchs einschließlich der notwendigen begleitenden Maßnahmen ist beträchtlich. Daher kann dieser Baustein insbesondere für

sinnvoll eingesetzt werden.

Gefährdungslage

In diesem Baustein wird für den IT-Grundschutz die folgende Gefährdung stellvertretend für alle Gefährdungen betrachtet, durch die ein Ausfall herbeigeführt werden kann:

Höhere Gewalt

- G 1.2 Ausfall des IT-Systems

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für die Erstellung eines Notfallvorsorge-Konzepts sind eine Reihe von Maßnahmen umzusetzen, beginnend mit einer strategischen Planung über die Einbeziehung der relevanten Geschäftsprozesse bis hin zu konkreten Maßnahmen für die IT-Systeme, die diesen Prozessen zugeordnet sind. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Für die verschiedenen Geschäftsprozesse bzw. Organisationseinheiten sind individuelle Notfallvorsorge-Konzepte zu erstellen, die die jeweils spezifischen Gegebenheiten abbilden. Für den Bereich der IT werden die geeigneten und wirtschaftlich angemessenen Maßnahmen identifiziert. Auf Basis der in der Schutzbedarfsfeststellung erhobenen Anforderungen an die Verfügbarkeit werden die erforderlichen präventiven Maßnahmen während des Betriebes eines IT-Systems (z. B. Rauchverbot, unterbrechungsfreie Stromversorgung, Wartung, Datensicherung) definiert (siehe M 6.1 Erstellung einer Übersicht über Verfügbarkeitsanforderungen), um Notfälle zu vermeiden bzw. die Schäden aufgrund von Notfällen zu vermindern.

Ist als Ergebnis der Verfügbarkeitsanforderungen eine Ausweichmöglichkeit für den IT-Betrieb erforderlich, so sind im Notfallhandbuch die Bedingungen und Prozeduren eines temporären oder permanenten Ausweichbetriebs zu beschreiben (siehe M 6.6 Untersuchung interner und externer Ausweichmöglichkeiten). Das Notfallhandbuch (siehe M 6.3 Erstellung eines Notfall-Handbuches) muss so ausgestaltet sein, dass kritische Geschäftsprozesse und IT-Objekte innerhalb der geforderten Zeiten wieder zur Verfügung stehen. Insbesondere sind personelle Schlüsselpositionen und deren Aufgaben und Befugnisse zu dokumentieren. Darüber hinaus wird in den Notfallplänen, die Bestandteile eines Notfallhandbuchs sind, festgeschrieben, welche Maßnahmen bei Eintreten eines Notfalls durchgeführt werden müssen. Das Notfallhandbuch muss aufgrund technischer, organisatorischer und personeller Veränderungen immer aktuell gehalten werden. Die Notfallvorsorgemaßnahmen für die verschiedenen IT-Bereiche müssen im Notfallhandbuch so beschrieben werden, dass sie von einem sachverständigen Dritten ausgeführt werden können.

Umsetzung

Das Notfallhandbuch muss an die spezifische IT-Situation des Unternehmens bzw. der Behörde angepasst sein. In Form detaillierter Übersichten sind die verantwortlichen und handelnden Personen (siehe M 6.7 Regelung der Verantwortung im Notfall), die zu treffenden Entscheidungen, die Sofortmaßnahmen bei Feststellung eines Notfalls (siehe M 6.8 Alarmierungsplan) und die Handlungsanweisungen für spezielle Ereignisse festzuschreiben. Es beschreibt die präventiven Maßnahmen (siehe M 6.13 Erstellung eines Datensicherungsplans), sowie die Maßnahmen zur Schadenstabilisierung, zur Wiederherstellung der IT-Systeme (siehe M 6.11 Erstellung eines Wiederanlaufplans) sowie Ersatzbeschaffungsmaßnahmen.

Das Notfallhandbuch muss im Notfall schnell erreichbar und transportabel sein. Bei ausschließlich elektronischer Speicherung des Dokumentes oder wenn es in einer werkzeuggestützten Form vorliegt, ist die Bereitstellung eines oder mehrerer Notfall-Notebooks erforderlich.

Betrieb

Von besonderer Bedeutung ist die Durchführung von Notfallübungen, um die Umsetzung der im Notfallhandbuch aufgeführten Maßnahmen einzuüben und deren Effizienz zu steigern (siehe M 6.12 Durchführung von Notfallübungen). Zusätzlich sollte das für den Notfall erforderliche Schlüsselpersonal durch Sensibilierungs- und Trainingsmaßnahmen kontinuierlich ausgebildet werden. Werden Notfall-Notebooks verwendet, so müssen diese kurzfristig einsetzbar sein.

Planung und Konzeption

- M 6.1 (A) Erstellung einer Übersicht über Verfügbarkeitsanforderungen
- M 6.2 (A) Notfall-Definition, Notfall-Verantwortlicher
- M 6.3 (C) Erstellung eines Notfall-Handbuches
- M 6.75 (Z) Redundante Kommunikationsverbindungen

Beschaffung

- M 6.14 (B) Ersatzbeschaffungsplan
- M 6.15 (Z) Lieferantenvereinbarungen

Umsetzung

- M 6.4 (B) Dokumentation der Kapazitätsanforderungen der IT-Anwendungen
- M 6.5 (B) Definition des eingeschränkten IT-Betriebs
- M 6.6 (B) Untersuchung interner und externer Ausweichmöglichkeiten
- M 6.7 (A) Regelung der Verantwortung im Notfall
- M 6.8 (A) Alarmierungsplan
- M 6.9 (C) Notfall-Pläne für ausgewählte Schadensereignisse
- M 6.10 (C) Notfall-Plan für DFÜ-Ausfall
- M 6.11 (B) Erstellung eines Wiederanlaufplans
- M 6.13 (A) Erstellung eines Datensicherungsplans
- M 6.16 (Z) Abschließen von Versicherungen

Betrieb

- M 6.12 (C) Durchführung von Notfallübungen