Zentrale Meldestelle fĂŒr Cyber-Angriffe auf Unternehmen gestartet

Abgelegt in: 1 Antwort

Unternehmen können ab sofort Angriffe auf ihre Computersysteme bei einer zentralen Meldestelle angeben, auf Wunsch auch anonym. Auf diese Weise soll ein «umfassenderes Bild der aktuellen Gefährdungslage» ermöglicht werden. Die Meldestelle ist zentraler Baustein der Initiative Allianz für Cyber-Sicherheit, die am Donnerstag gestartet wurde. Träger sind das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der IT-Fachverband Bitkom.

BSI

BSi bietet Systemwechselkurse fĂŒr den ISO 22301 an

Abgelegt in: Antworten

Der neue BCM Standard bringt neben dem geänderten Aufbau auch einige wesentliche Änderungen gegenüber BS 25999 mit. BSi bietet hierzu Systemwechselkurse an, in denen ein erfahrener Referent die Unterschiede vom alten zum neuen Standard sowie die Auswirkungen erläutert:

“Ein erfahrener Referent stellt Ihnen die wichtigsten Unterschiede zwischen BS 25999 und der ISO 22301 “Anforderungen an Business Continuity Management Systeme“ gegenüber und erklärt die enthaltenen Auswirkungen der beinhalteten Ergänzungen und Änderungen für den neuen internationalen Standard. Der Kurs nimmt auch Bezug auf den Zertifizierungs-Übergang, soweit dies auf Ihre Organisation anwendbar ist.”

Der erste eintägige Kurs findet am 5. November 2012 in Frankfurt statt, der zweitägige Kurs für Lead Auditoren am 5. und 6. November 2012 ebenfalls in Frankfurt.

Eine Übersicht über Termine und Inhalte der Kurse finden Sie auf der Webseite des BSi.

British Standards veröffentlicht Leitfaden zum Supply Chain Business Continuity Management

Abgelegt in: Antworten

Die Katastrophen in Japan und Thailand haben erneut die Verwundbarkeit der Supply Chain aufgezeigt. British Standards BSI hat jetzt einen neuen Leitfaden für das BCM für das Supply Chain Management veröffentlicht. “PD 25222:2011 Business continuity management. Guidance on supply chain continuity”, so der offizielle Titel des Dokuments.

“PD 25222 Guidance on supply chain continuity will arm you with the practical methods you need to help you deliver your products and services in the event of incident affecting your supply chain (upstream, downstream and between you and organizations of the same tier.)
This includes, for example, how to obtain and maintain assurance that suppliers’ continuity arrangements protect you adequately. What’s more, using this guidance you can make sure your Supply Chain Continuity Management measures match the level of risk you face – so you’re not wasting time or money on controls that aren’t necessary, for example.”

BSi

Das Dokument ist beim BSi online für 100 GBP käuflich zu erwerben. Über Feedback zu dem Dokument als Kommentar oder eigenen Beitrag hier in den BCM-News würde ich mich sehr freuen.

Cyber-Sicherheitsrat beschließt die ÜberprĂŒfung der KRITIS-Betreiber

Abgelegt in: 1 Antwort

Im Rahmen der Cyber-Sicherheitsstrategie wurde die Einrichtung eines nationalen Cyber-Sicherheitsrats zur Koordination der Maßnahmen zur Abwehr eines IT-Angriffs auf Kritische Infrastrukturen (KRITIS) beschlossen.  In seiner zweiten Sitzung hat der Cyber-Sicherheitsrat nun beschlossen, die einzelnen KRITIS-Branchen auf den jeweiligen Umsetzungsstand der IT-Sicherheitsstandards zu überprüfen und Maßnahmen zu entwickeln. Das BSI liefert die Bewertungskriterien zur Einschätzung des Reifegrads und unterstützt bei der Überprüfung der KRITIS-Branchen. Mit dieser Maßnahme wird dem Umsetzungsplan KRITIS (UP KRITIS) wieder Leben eingehaucht. Insbesondere die branchenübergreifende Koordination der Unternehmen und Organisationen erscheint noch stark steigerungsbedürftig. Beitragen soll hier zu auch die LÜKEX-Übung, die im November/Dezember diesen Jahres ein IT-Szenario mit Behörden und privatwirtschaftlichen Unternehmen durchspielen wird.

Neuer Standard zum Krisenmanagement PAS 200 des BSI erschienen

Abgelegt in: Antworten

Das BSI hat heute gemeinsam mit dem britischen Cabinet Office die Veröffentlichung des neuen Standard zum Krisenmanagement PAS 200 angekündigt. Der Standard mit dem offiziellen Namen “Crisis management. Guidance and good practice” PAS 200:2011 ist im Online-Shop des BSI für 100 GBP zu erwerben.

Hier das Inhaltsverzeichnis:

What does PAS 200 include?

Foreword

Introduction

1 Scope

2 Terms and definitions

3 Understanding crises

3.1 What is a crisis?

3.2 The relationship between incidents and crises: structure and complexity

3.3 The general characteristics of crises

3.4 Understanding the potential origins of crises

3.5 “Sudden” and “smouldering” crises

3.6 How organizations can become vulnerable to crises

3.7 How crises incubate within organizations

3.8 Achieving higher levels of resilience

3.9 Possible barriers to success

4 Developing a crisis management capability

4.1 A framework

4.2 Capability

4.3 Setting the organization’s policy and direction

4.4 Identifying roles and responsibilities

4.5 Creating the structures and processes

4.6 Information management

4.7 Situational awareness

4.8 The common recognized information picture

4.9 Supporting the decision-makers

4.10 Dealing with dilemmas

4.11 Conclusions

5 Planning and preparing for crisis response and recovery

5.1 General

5.2 The crisis management plan

5.3 Key elements of the plan

5.4 Logistical factors

5.5 The activities of the crisis management team

5.6 Leadership

5.7 Decisions in crises – key features

5.8 Dealing with people

5.9 Transition to recovery

6 Communication in a crisis

6.1 General

6.2 Communications strategy

6.3 Formal and informal communications structures

6.4 Planning to communicate

6.5 Methods of communication

6.6 Barriers to effective communication

7 Evaluating crisis management capability

7.1 General

7.2 Training

7.3 Exercise design considerations

7.4 The “crisis-aware” organization

Annexes

Annex A (normative)

Bibliography

BSI stellt webbasiertes Grundschutztool GSTOOL 5.0 vor

Abgelegt in: 1 Antwort

Das Bundesamt für Sicherheit in der Informationstechnik BSI hat das GSTOOL für die neue Version 5.0 völlig neu programmieren lassen. Das GSTOOL ist jetzt webbasiert, plattformunabhängig und basiert auf einer Oracle-Datenbank. Das BSI stellt die neue Lösung auf dem  IT-Grundschutztag am 12.10.2011 im Rahmen der IT-Security Messe (it-sa) in Nürnberg vor. Neben der Vorstellung des Tools gibt es Berichte der Beta-Tester sowie interessante Fachvorträge. Anmeldungen zum IT-Grundschutztag sind auf der Internetseite des BSI möglich.

Literatur: A Practical Approach to Business Impact Analysis

Abgelegt in: Antworten

Die Business Impact Analyse BIA ist eines der Herzstücke im Business Continuity Management. Wenngleich die Ziele und Ergebnistypen einer BIA in den BCM Standards wie BS 25999-1 und -2 klar definiert sind, der Weg zum Ziel ist nicht so eindeutig und “viele Wege führen nach Rom”. Für die BIA gibt es keinen “best practice” oder  “one fits all”-Ansatz. Abhängig von der Größe und Komplexität einer Organisation, der zur Verfügung stehenden Mittel für Mitarbeiter, Technologie und Zeit für die Durchführung einer BIA, können die methodischen Ansätze, die zum Ziel führen ganz unterschiedlich aussehen. Insofern lernt man bei der Business Impact Analyse nie aus. Zahlreiche, zum Teil heftig geführte Diskussionen in Online-Foren, zum Beispiel um die exakte Deutung der Begrifflichkeiten RTO und MTPoD zeigen, dass auch noch weitere methodische Entwicklungsarbeit bei der BIA notwendig ist. Wer sich also mit Lesestoff zu dem aus meiner Sicht spannendsten und interessantesten Part des BCM versorgen möchte, kann jetzt beim BSI das neue Buch von Ian Charters “A Practical Approach to Business Impact Analysis” erwerben.

Über Leserkommentare zum Buch würde ich mich sehr freuen.

Nachtrag:

Das Buch gibt es als Download- und Paperback-Version. Ein erster Blick in das Buch weckt die Neugierde: da scheint wirklich ein rundes Werk zur BIA vorzuliegen. Also Lektüre für das nahe Wochenende.

Studie des SecuMedia-Verlags zum IT-Sicherheits- und Notfallmanagement

Abgelegt in: Antworten

Der Secu-Media-Verlag führt gemeinsam mit ibi research und dem BSI (Bundesamt für Sicherheit in der Informationstechnik) eine Studie zu IT-Sicherheitsstandards und Notfallmanagement durch.

Der Schwerpunkt liegt 2011 auf dem Thema “Notfallmanagement”. Ein themenspezifischer Teil behandelt 15 Fragestellungen, darunter wie die Institution auf die Bewältigung eines Notfalls vorbereitet ist und ob und welche Software für das Notfallmanagement zum Einsatz kommt.

Die Umfrageresultate werden offiziell auf dem BSI-Grundschutztag im Rahmen der Sicherheitsmesse it-sa 2011 in Nürnberg vorgestellt.

Die Umfrage läuft bis zum 15. Juli 2011. Teilnehmer werden mit Büchern und Zeitschriftenabos belohnt.

Webkurs Notfallmanagement auf Basis des BSI 100-4

Abgelegt in: Antworten

Das Bundesamt für Sicherheit in der Informationstechnik BSI bietet einen Webkurs zum Notfallmanagement nach BSI 100-4 an. Anhand eines Beispielunternehmens, der RECPLAST GmbH, werden die einzelnen Schritte zur Umsetzung des Notfallmanagements plastisch verdeutlicht. Der Webkurs kann Schritt für Schritt durchgearbeitet werden oder es können einzelne Module zur Bearbeitung ausgewählt werden. Ergänzend steht der gesamte Kurs sowie die Beschreibung des Beispielunternehmens als pdf zur Verfügung.

Für Einsteiger in das Thema BCM ist dieser Online-Kurs eine einfache und kostengünstige Möglichkeit sich mit den Basics des Business Continuity Managements vertraut zu machen und den doch zuweilen trockenen Stoff anschaulich und praxisorientiert präsentiert zu bekommen.