Ein wirksames Kapazitätsmanagement ist erforderlich, um sicherzustellen, dass Informationsverarbeitungssysteme jederzeit über ausreichende Ressourcen verfügen. Unzureichende Kapazitäten können zu Leistungsengpässen, Systemausfällen oder Sicherheitsvorfällen führen und die Verfügbarkeit von Informationen beeinträchtigen. Dieses Control stellt sicher, dass Kapazitäten geplant, überwacht und bedarfsgerecht angepasst werden.
Zweck des Controls
A 8.6 soll gewährleisten, dass die Kapazitäten von Informationsverarbeitungssystemen den aktuellen und zukünftigen Anforderungen entsprechen. Ziel ist es, Leistungsprobleme zu vermeiden, die Verfügbarkeit von Systemen sicherzustellen und Risiken für die Informationssicherheit durch Überlastung oder Ressourcenknappheit zu minimieren.
Anforderungen und Maßnahmen
1. Identifikation kapazitätsrelevanter Ressourcen
Organisationen müssen Ressourcen identifizieren, die für die Informationsverarbeitung relevant sind, insbesondere:
Rechenleistung
Speicher- und Datenbankkapazitäten
Netzwerkbandbreite
System- und Anwendungsressourcen
Die Identifikation muss vollständig und aktuell sein.
2. Festlegung von Kapazitätsanforderungen
Kapazitätsanforderungen müssen definiert werden:
aktuelle und erwartete Nutzung
Anforderungen aus Geschäftsprozessen
Sicherheits- und Verfügbarkeitsanforderungen
Abhängigkeiten zwischen Systemen
Dies bildet die Grundlage für Planung.
3. Überwachung der Kapazitätsauslastung
Die Nutzung von Kapazitäten muss überwacht werden:
kontinuierliche oder regelmäßige Messung
Überwachung kritischer Schwellenwerte
frühzeitige Erkennung von Engpässen
Protokollierung relevanter Kennzahlen
So können Probleme frühzeitig erkannt werden.
4. Planung und Prognose
Kapazitäten müssen vorausschauend geplant werden:
Analyse von Nutzungstrends
Berücksichtigung geplanter Änderungen oder Wachstum
Planung von Erweiterungen oder Optimierungen
Abstimmung mit Geschäfts- und IT-Planung
Dies unterstützt eine nachhaltige Versorgung.
5. Maßnahmen bei Kapazitätsengpässen
Es müssen Maßnahmen für den Umgang mit Engpässen definiert sein:
Priorisierung kritischer Systeme
kurzfristige Entlastungsmaßnahmen
Skalierung oder Erweiterung von Ressourcen
Eskalations- und Entscheidungsprozesse
So werden Auswirkungen minimiert.
6. Berücksichtigung von Sicherheitsaspekten
Kapazitätsmanagement muss Sicherheitsaspekte einbeziehen:
Vermeidung von Überlastung als Angriffsvektor
Schutz vor Denial-of-Service-Effekten
Sicherstellung ausreichender Ressourcen für Sicherheitsfunktionen
Integration in Risikobewertungen
Dies stärkt die Resilienz.
7. Dokumentation und Verantwortlichkeiten
Kapazitätsmanagement muss dokumentiert sein:
Verantwortlichkeiten für Planung und Überwachung
definierte Schwellenwerte und Maßnahmen
Berichte und Auswertungen
Integration in Betriebsprozesse
Die Dokumentation unterstützt Nachvollziehbarkeit.
A 8.6 fordert, dass Organisationen die Kapazitäten ihrer Informationsverarbeitungssysteme systematisch planen, überwachen und anpassen. Durch Identifikation relevanter Ressourcen, kontinuierliche Überwachung, vorausschauende Planung, definierte Maßnahmen bei Engpässen sowie Berücksichtigung von Sicherheitsaspekten wird sichergestellt, dass Systeme leistungsfähig und verfügbar bleiben. Das Control ist ein wichtiger Bestandteil der technischen Sicherheitsmaßnahmen und der betrieblichen Resilienz im Informationssicherheitsmanagementsystem.
