Notfallmanagement zur Absicherung von Geschäftsprozessen

BSI-Standard 100-4 Notfallmanagement – mehr als ein IT-Rahmenwerk

12.07.2011 | Autor / Redakteur: Manuela Reiss / Stephan Augsten

Der BSI-Standard 100-4 Notfallmanagement dreht nicht nur um Vorfälle der IT-Sicherheit.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht bei vielen, die im Bereich der IT tätig sind, als Synonym für IT-Sicherheit und IT-Grundschutz. Auch deshalb gilt der bereits 2008 veröffentlichte Standard 100-4 fürs Notfallmanagement immer noch als ein Standard zur Absicherung der IT-Systeme. Doch diese Aufgabe steht keineswegs im Fokus.

Ende 2008 hat das BSI den Standard 100-4 Notfallmanagement veröffentlicht und damit bei vielen IT-Verantwortlichen einige Verwirrungen ausgelöst, die bis heute anhält. Denn obwohl der BSI-Standard 100-4 laut seinem Vorwort auf der IT-Grundschutz-Vorgehensweise nach BSI-Standard 100-2 aufbaut, spielt die IT beim neuen Notfallmanagement-Standard nur eine untergeordnete Rolle.

Im Fokus stehen nicht die IT-Systeme, sondern vielmehr die Geschäftsprozesse. Um dies zu verstehen, ist eine kurze Betrachtung der Entwicklung der Standards des BSI erforderlich.

Das in den 90er Jahren entwickelte IT-Grundschutz-Handbuch sollte Anwendern aus Behörden und Unternehmen praxisnahe und handlungsorientierte Hinweise zur Absicherung Ihrer IT-Komponenten zu geben. Betrachtet wurden

  • typische IT-Komponenten
  • typische Gefährdungen, Schwachstellen und Risiken sowie
  • das Standard-Sicherheitsmanagement.

Während der Weiterentwicklung bis 2004 wuchs das „Handbuch“, das sich zwischenzeitlich auf mehrere Ordner erstreckte, auf 58 Grundschutzbausteine mit über 700 Maßnahmen an.

Die immer stärkere Einbindung der IT in die Geschäftsprozesse und Entwicklungen bei internationalen Standards veranlassten 2005 das BSI im Rahmen einer Synchronisierung mit der ISO-Norm 27001 das Konzept des Grundschutzhandbuches aufzugeben. In diesem Schritt wurde die Dokumentation zweigeteilt, mit den Standards auf der einen Seite und den IT-Grundschutzkatalogen auf der anderen.

Ziel war es, eine Standardreihe zu entwickeln, die entsprechend den internationalen Standards den Aufbau eines ISMS (Information Security Management System) als kontinuierlichen Prozess beschreibt. Die zusätzlich notwendigen technischen Maßnahmen zur Absicherung der Systeme sind seitdem in den IT-Grundschutz-Katalogen zu finden. Bild 1 zeigt den Aufbau der IT-Grunddokumentation wie sie sich bei 2008 darstellte.

Auch Notfallmanagement muss als Prozess betrachtet werden

Bis zur Veröffentlichung des Standards 100-4 behandelte das BSI das Thema Notfall lediglich in zwei Bausteinen (B1.3 Notfallvorsorge-Konzept und B 1.8 Behandlung von Sicherheitsvorfällen). Internationale Standards, wie beispielsweise der Britische Standard BS 25999 machten jedoch deutlich, dass auch der Umgang mit Notfällen nicht nur als kontinuierlicher Prozess, sondern vor allem unternehmensweit betrachtet werden muss. Schließlich beschränken sich die typischen Notfälle, wie Brand oder Wassereinbruch in der Regel nicht auf den IT-Bereich.

Mit der Einführung des Standards 100-4 wurde daher ein Trendwechsel von der IT-Notfallplanung hin zu einem unternehmensweiten Notfallmanagement vollzogen eingeleitet. Der Standard 100-4 beschreibt ein eigenständiges Managementsystem (Business Continuity Management) für die Geschäftsfortführung und die Notfallbewältigung, das es ermöglicht auf Notfälle und Krisen der verschiedensten Art adäquat und effizient reagieren und die wichtigen Geschäftsprozesse schnell wieder aufnehmen zu können.

Ein Ziel dabei war es, die Grundschutzvorgehensweise mit Methoden aus verschiedenen Standards rund um das Thema Business Continuity Management zu verbinden. Eingeflossen sind dabei vor allem die Inhalte des britischen Standards BS 25999.

Seite 2: Standard 100-4 ist kein IT-Grundschutzstandard

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Der Standard ist zwar als Basis schonmal sehr nützlich - für die konkrete Anwendung allerdings...  lesen
posted am 12.07.2011 um 12:59 von Unregistriert


Mitdiskutieren

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052299 / Standards)