BusCrit vs. SBF
Sind Business Criticality und Schutzbedarf einer Anwendung das gleiche? Leitet sich das eine aus dem anderen ab? Dazu hatten wir gerade eine sehr hitzige Diskussion im Projektteam.
Definition einer Business-kritischen Anwendung
A business critical application is any application that is essential for business continuity. If a business-critical application fails or is interrupted, normal operations of the organization cannot proceed as usual.
Quelle: cloud.netapp.com
Organizations often categorize their applications, assigning a level that suggests the scope of expected damages in case of a disaster. Different industries assign different priorities according to their needs, but the majority define three main types of priorities: mission critical, business critical, and non-critical or low priority applications.
Diese Einstufung hat EinfluĂ auf das IT-Notfallkonzept, Service Level Agreements / Wartungsfenster, Aufbau der Anwendung zB. als HochverfĂŒgbar mit entsprechenden Fail-Over-Mechanismen, usw. (siehe BSI)
Definition Schutzbedarf
Bei der Schutzbedarfsfeststellung ist danach zu fragen, welcher Schaden entstehen kann, wenn fĂŒr ein Zielobjekt die Grundwerte Vertraulichkeit, IntegritĂ€t oder VerfĂŒgbarkeit verletzt werden. Der Schutzbedarf eines Objekts orientiert sich an dem AusmaĂ des bei Verletzungen jeweils drohenden Schadens.
Kategorien lt. BSI:
Quelle: BSI
– normal: Die Schadensauswirkungen sind begrenzt und ĂŒberschaubar.
– hoch: Die Schadensauswirkungen können betrĂ€chtlich sein.
– sehr hoch: Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales AusmaĂ erreichen.
Es geht um den Schutzbedarf der verarbeiteten Daten. Sie mĂŒssen vor unberechtigtem Zugriff geschĂŒtzt werden, die Korrektheit der Daten muss sichergestellt und die Informationen mĂŒssen fĂŒr Berechtigte verfĂŒgbar sein.
Die Einstufung hat Auswirkungen auf die HĂ€rtung der Anwendung und der Server, auf die Vergabe der Berechtigungen, darauf, wie sie im Netzwerk abgesichert wird usw., sowie auf den Umfang und die Detailtiefe der zu erstellenden Dokumentationen.
Stein des AnstoĂes
Bei uns im Laden gibt es keine einheitliche Liste der Business-kritischen Anwendungen, und maschinell abfragbar ist schon gar keine der vorhandenen (sich teilweise widersprechenden) Listen (sic!). FĂŒr Schutzbedarf hingegen liegen diese Einstufungen vor, sogar detailliert klassifiziert als Schutzbedarf 1 (niedrig) bis 9 (sehr hoch).
Meine Kollegen sind nun hingegangen, und haben in der CMDB (allerdings nur im Testsystem) anhand einer definierten Matrix aus dem detaillierten Wert eine Ableitung zu der dreistufigen Kategorisierung (wie vom BSI vorgegeben, s.o.) getĂ€tigt. Soweit alles fein fĂŒr mich.
Aber: sie haben diesen errechneten Wert in das Feld „Business KritikalitĂ€t“ reingeschrieben! WTF?!?
Nicht ein Topf!
Das sind zwei völlig unterschiedliche paar Schuhe! Sicherlich korreliert das öfter, aber eine Ableitung vom einen Wert zum anderen ist nicht einfach so möglich. Nur weil eine Anwendung schĂŒtzenswerte Daten enthĂ€lt und vielleicht durch Zugriff aus dem Internet heraus exponiert ist, bedeutet dies nicht automatisch, dass sie auch geschĂ€ftskritisch ist!
FĂŒr das IT Change Management ist die Einstufung der Business KritikalitĂ€t wichtig, um Changes beurteilen zu können hinsichtlich der Auswirkungen und des Risikos. Der Schutzbedarf ist dafĂŒr hingegen eher unwichtig. Wenn nun jedoch ein Wert fĂŒr Business Criticality quasi vorgegaukelt wird, fĂŒhrt das zur Annahme einer Entscheidungsgrundlage, die de facto gar nicht exitiert.
Wir haben hin und her diskutiert, und was mich am allermeisten daran Ă€rgert: das ich mal wieder das GefĂŒhl hatte, bei Kollege XY kommen die Argumente Null an. Er sagte am Anfang und am Ende genau das gleiche, als ob er meine Argumente (und von 2 Kollegen:innen) ĂŒberhaupt nicht wahrgenommen hat.
Man, man, man….
Geeinigt haben wir uns ĂŒbrigens erstmal nicht….