Bundesamt für Sicherheit in der Informationstechnik

M 6.1 Erstellung einer Übersicht über Verfügbarkeitsanforderungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Verantwortliche der einzelnen Anwendungen

Für die in einem IT-System betriebenen IT-Anwendungen und deren Daten sind die Verfügbarkeitsanforderungen festzustellen. Da eine IT-Anwendung nicht zwingend jeden Bestandteil des IT-Systems benötigt, sind die Verfügbarkeitsanforderungen der IT-Anwendungen auf die wesentlichen Komponenten des IT-Systems abzubilden. Das Ergebnis dieser Arbeit kann in Form einer Übersicht mit folgenden Inhalten dargestellt werden:

IT-System
IT-Komponente
IT-Anwendung
tolerierbare Ausfallzeit
Zentralsystem Host Reisekosten 5 Arbeitstage
    Buchhaltung 3 Stunden
  DFÜ E-Mail 3 Arbeitstage
    Buchhaltung 1 Arbeitstag
  Drucker Reisekosten 10 Arbeitstage
    Buchhaltung 2 Arbeitstage
    Einsatzplanung 1 Arbeitstag
LAN Server Datenerfassung 1 Arbeitstag
    Leitstelle 4 Stunden
  PC Datenerfassung 10 Arbeitstage
  PC Leitstelle 4 Stunden

(Lesart: Die IT-Komponente Host im IT-System "Zentralsystem" hat aufgrund der IT-Anwendung Buchhaltung eine maximal tolerierbare Ausfallzeit von 3 Stunden.)

Eine praktikable Vorgehensweise ist es, zu den einzelnen IT-Anwendungen den Verfahrensverantwortlichen nach den tolerierbaren Ausfallzeiten der benutzten IT-Komponenten zu befragen, um danach die Ergebnisse nach IT-System und Komponenten geordnet in der Tabelle aufzuführen.

Die Übersicht erleichtert es, die besonders zeitkritischen Komponenten des IT-Systems zu extrahieren, für die die Notfallvorsorge unumgänglich ist. Bei Ausfall einer Komponente gibt diese Übersicht darüber hinaus Auskunft über die betroffenen IT-Anwendungen und deren Verfügbarkeitsanforderungen.

Die Anforderungen an die Verfügbarkeit sind von den Anwendern bzw. Fachabteilungen zu begründen, sofern dies nicht schon an anderer Stelle geschehen ist. Die Verfügbarkeitsanforderungen sind von der Behörden- bzw. Unternehmensleitung zu bestätigen.

Bei Ausfall einer Komponente des IT-Systems ermöglicht diese Übersicht eine schnelle Aussage, ab wann ein Notfall vorliegt. Dass ein Notfall auch bei Ausfall einer besonders zeitkritischen Komponente nicht zwingend eintreten muss, lässt sich anhand eines Ersatzbeschaffungsplans und einer Untersuchung über interne und externe Ausweichmöglichkeiten ermitteln.

Prüffragen:

  • Sind für die in den IT Systemen betriebenen Anwendungen und deren Daten die Verfügbarkeitsanforderungen definiert?

  • Existiert eine Dokumentation über die tolerierbaren Ausfallzeiten?

Stand: 13. EL Stand 2013