M 6.33 Entwicklung eines Datensicherungskonzepts

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Leiter-IT, Verantwortliche der einzelnen IT-Anwendungen

Die Verfahrensweise der Datensicherung wird von einer großen Zahl von Einflußfaktoren bestimmt. Das IT-System, das Datenvolumen, die Änderungsfrequenz der Daten und die Verfügbarkeitsanforderungen sind einige dieser Faktoren. Im Datensicherungskonzept gilt es, eine Lösung zu finden, die diese Faktoren berücksichtigt und gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.

Die technischen Möglichkeiten, Datensicherungen durchzuführen, sind vielfältig. Jedoch wird die Auswahl immer von den genannten Faktoren bestimmt. Daher gilt es zunächst, die Einflußgrößen der IT-Systeme und der damit realisierten IT-Anwendungen zu bestimmen und nachvollziehbar zu dokumentieren. Anschließend muß die geeignete Verfahrensweise entwickelt und dokumentiert werden. Zum Abschluß muß durch die Behörden-/Unternehmensleitung die Durchführung angeordnet werden.

Das Datensicherungskonzept muß für die Gewährleistung einer funktionierenden Datensicherung die Datenrestaurierbarkeit mittels praktischer Übungen als Verpflichtung vorsehen (siehe M 6.41 Übungen zur Datenrekonstruktion)

Die Ergebnisse sollten aktualisierbar und erweiterbar in einem Datensicherungskonzept niedergelegt werden. Ein möglicher Aufbau eines Datensicherungskonzepts ist im nachfolgenden Inhaltsverzeichnis beispielhaft aufgezeigt:

Inhaltsverzeichnis Datensicherungskonzept

1. Definitionen

• Anwendungsdaten, Systemdaten, Software, Protokolldaten
• Vollsicherung, inkrementelle Datensicherung

• Abhängigkeit der Institution vom Datenbestand
• Typische Gefährdungen wie ungeschulte Benutzer, gemeinsam genutzte Datenbestände, Computer-Viren, Hacker, Stromausfall, Festplattenfehler
• Institutionsrelevante Schadensursachen
• Schadensfälle im eigenen Haus

• Spezifikation der zu sichernden Daten
• Verfügbarkeitsanforderungen der IT-Anwendungen an die Daten
• Rekonstruktionsaufwand der Daten ohne Datensicherung
• Datenvolumen
• Änderungsvolumen
• Änderungszeitpunkte der Daten
• Fristen
• Vertraulichkeitsbedarf der Daten
• Integritätsbedarf der Daten
• Kenntnisse und datenverarbeitungsspezifische Fähigkeiten der IT-Benutzer

4.1 Festlegungen je Datenart

• Art der Datensicherung
• Häufigkeit und Zeitpunkt der Datensicherung
• Anzahl der Generationen
• Datensicherungsmedium
• Verantwortlichkeit für die Datensicherung
• Aufbewahrungsort der Backup-Datenträger
• Anforderungen an das Datensicherungsarchiv
• Transportmodalitäten
• Rekonstruktionszeiten bei vorhandener Datensicherung

4.3 Randbedingungen für das Datensicherungsarchiv

• Vertragsgestaltung (bei externen Archiven)
• Refresh-Zyklen der Datensicherung
• Bestandsverzeichnis
• Löschen von Datensicherungen
• Vernichtung von unbrauchbaren Datenträgern

5. Minimaldatensicherungskonzept

6. Verpflichtung der Mitarbeiter zur Datensicherung

7. Sporadische Restaurierungsübungen

Einzelne Punkte dieses Datensicherungskonzepts werden in den Maßnahmen M 6.34 Erhebung der Einflußfaktoren der Datensicherung , M 6.35 Festlegung der Verfahrensweise für die Datensicherung , M 6.37 Dokumentation der Datensicherung , M 6.41 Übungen zur Datenrekonstruktion und M 2.41 Verpflichtung der Mitarbeiter zur Datensicherung näher ausgeführt, so daß nach Bearbeitung dieser Maßnahmen für jedes relevante IT-System die wesentlichen Teile eines anwenderspezifischen Datensicherungskonzepts erstellt sind.

Ergänzende Kontrollfragen:

• Ist für die Institution ein aktuelles Datensicherungskonzept dokumentiert?
• Sind sämtliche betroffenen IT-Systeme in diesem Konzept aufgeführt?
• Wie werden Mitarbeiter über den sie betreffenden Teil des Konzepts unterrichtet?
• Wird die Einhaltung dieses Konzepts kontrolliert?
• Wie werden Änderungen der Einflußfaktoren berücksichtigt?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .