Bsi Definition

Bsi-Definition

1.5 Begriffe und Begriffe Bei welchen Vorfällen ist ein spezielles Krisenmanagement erforderlich? Bei allen Betrieben und Verwaltungen gibt es immer wieder kleine Störungen: kurzzeitige Netzausfälle, personelle Engpässe, verspätete Anlieferungen, defekte Ausrüstungen. Darüber hinaus ist der potenzielle Nachteil solcher Veranstaltungen aus ihrer Sicht für das betreffende Institut minimal. Nur wenn Fehlfunktionen oder Betriebsstörungen zu großen Sachschäden führen und nicht mehr mit den gängigen Maßnahmen behoben werden können, ist ein Notfall-Management erforderlich.

Aufgrund von Bränden können wesentliche Operationssäle (z.B. das Computerzentrum oder eine Produktionshalle) nicht mehr mitbenutzt werden. Bedeutende Kommunikationsnetzwerke (Internet, Telefonnetz) scheitern seit Tagen. Bedeutende Sendungen werden komplett storniert, weil ein Zulieferer Insolvenz angemeldet hat und auch nicht auf Ersatz-Lieferanten zurückgreifen kann. Daher ist ein Katastrophenmanagement sowohl für Vorfälle, die auf eine Einrichtung beschränkt sind, als auch für den Fall erforderlich, dass umfangreichere Krisensituationen und Naturkatastrophen eine Einrichtung betreffen.

In der folgenden Übersicht werden die unterschiedlichen Ausprägungen von Vorfällen, Notsituationen, Krisen auf der einen Seite aus der Perspektive des BSI-Standards 100-4 auf der anderen Seite dargestellt und zusammengefasst, wann und wie das Katastrophenmanagement für deren Bewältigung verantwortlich ist.

Die BSI - Die Definition von Rechenzentren

Für Firmen und öffentliche Verwaltungen ist eine eindeutige und aktuelle Definition, welche Infrastruktureinrichtungen als Rechenzentren zu betrachten sind, von gleicher Wichtigkeit. Dazu bedarf es praxisorientierter Merkmale, mit denen die relevanten Infrastruktureinrichtungen identifiziert und verständlich und sicher als Rechenzentren klassifiziert werden können. Mit Blick auf die sich verändernde IT-Landschaft sind die Begriffsbestimmungen für den Rechenzentrums- (RZ) und Serviceraum (SR) aus den Anfängen des EDV-Basisschutzes nicht mehr aktuell und gehen immer mehr aus der praktischen Umsetzbarkeit verloren.

Darüber hinaus gibt die seit 2014 Schritt für Schritt in Kraft befindliche EN 50600 als "Rechenzentrumsstandard" einen neuen Akzent vor, mit dem die bisherige Definition vom IT-Grundschutz nicht mehr konsistent ist. Dadurch entfällt die Unterscheidung zwischen dem Datenzentrum und dem Bedienerraum. Bei beiden Aufträgen war es notwendig, die Begriffsbestimmungen für Datenzentrum und Bedienerraum ab der Jahresmitte der 90er Jahre zu revidieren und umzuschreiben.

Auf den bisherigen Weg, die Abgrenzung zwischen Rechenzentrum und Resource durch geeignete Massnahmen, Unternehmensformen oder Unternehmensgrößen zu bestimmen, wurde verzichtet. Der neue Begriff basiert ausschliesslich auf der Signifikanz der IT-Struktur für die Erfüllung der Aufgaben der Nutzerorganisation und ist daher in methodischer Übereinstimmung mit der DIN EN 50600. Hat eine IT-Nutzerorganisation nur einen einzigen wesentlichen IT-Betriebsbereich, so ist sie immer zusammen mit den notwendigen Unterstützungsbereichen als Rechenzentrum entsprechend dem Schutzbedürfnis zu errichten.

Der Begriff "IT-Betriebsbereich" bezieht sich auf Räumlichkeiten, in denen die Geräte für die Erbringung von Dienstleistungen und zur Datenbereitstellung eingerichtet und bedient werden. Verteilen sich die EDV des Unternehmens innerhalb eines Hauses/einer Immobilie und werden sie in mehreren Gebieten eingesetzt und sind diese über interne LAN-Verbindungen miteinander und mit den IT-Anwendern verbunden, so ist zumindest der funktionell wichtigste dieser Gebiete wie ein Rechenzentrum zu errichten.

Darüber hinaus sind Gebiete, von denen 50% und mehr Benutzer abhängen oder von denen 50% und mehr Dienste und Informationen (in Prozent der Gesamtfläche) erbracht werden, als Rechenzentren zu erachten. Befindet sich die IT nutzende Unternehmen an mehreren, raumlich abgegrenzten Orten und sind diese über andere als interne LAN-Verbindungen untereinander verbunden, so ist jeder der Orte gemäß 1) getrennt zu sehen und zu behandel.

Der Bereich IT-Betrieb, in dem sich die für geschäftskritische Abläufe notwendige Informationstechnologie befindet (Prozesse, deren Unterbrechung oder Misserfolg die Erfüllung der primären Aufgaben eines Unternehmens erheblich beeinträchtigt), wird immer als IT-Zentrum behandelt, ungeachtet der Größenordnung oder der gemeinsamen Regeln aus Punkt 2. Liegt ein berechtigtes Interessen daran, einen Betriebsbereich der Informationstechnologie zusammen mit seinem Support-Bereich als von den oben genannten Vorschriften abweichenden Serverbereich zu betrachten, so ist dies zusammen mit den daraus resultierenden Kürzungen der IT-Sicherheitsmaßnahmen auf der Grundlage einer Gefährdungsanalyse begründet.

Die bereits erwähnte Mindestanforderung verwendet diese neue Definition bereits in vereinfachter Weise.

Mehr zum Thema