IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme IPS GmbH

Transkript

1 IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme

2 Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung für ein ISMS durch IPS-ENERGY ISMS IPS-ENERGY ISMS bei der Arbeit

3 Warum ein ISMS für die Energieunternehmen relevant ist 1/6 Legislative BNetzA BSI Schutz kritischer Infrastrukturen Konkretisierung für die EVUs konkretisiert Sicherheitskatalog gem. 11 Abs. 1a EnWG BSI-Standards 100-x verwendet konkretisiert zuständige Regulierungsbehörde IT- Grundschutz EnWG 11 ISO/IEC ISO/IEC- Standards 2700x definiert ISMS

4 Warum ein ISMS für die Energieunternehmen relevant ist 2/6 Die Gesetzgebung verlangt den Schutz kritischer Infrastrukturen, also Einrichtungen und Anlagen in den Sektoren Energie Informationstechnik und Telekommunikation Transport und Verkehr Gesundheit Wasser Ernährungswesen Finanz- und Versicherungswesen, die für das Funktionieren des Gemeinwesens gebraucht werden und deren Ausfall oder Beeinträchtigung die Versorgung oder die öffentlichen Sicherheit erheblich beeinträchtigen würde.

5 Warum ein ISMS für die Energieunternehmen relevant ist 3/6 Für die Energieversorgung regelt dies 11 Betrieb von Energieversorgungsnetzen des EnWG, insbesondere Absatz (1a) (1a) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes wird vermutet, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden. Die Regulierungsbehörde kann durch Festlegung im Verfahren nach 29 Absatz 1 nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 3 treffen.

6 Warum ein ISMS für die Energieunternehmen relevant ist 4/6 Zentrale Aussagen von 11 Abs. 1a EnWG Kernanforderung: Schutz von Telekommunikationssystemen und Datenverarbeitungssystemen zur Netzsteuerung vor Bedrohungen Zuständige Behörden Bundesnetzagentur (BNetzA) Bundesamt für Sicherheit in der Informationstechnik (BSI) Richtlinie (BNetzA): Sicherheitskatalog gem. 11 Abs. 1a EnWG; Energieversorger im Geltungsbereich von 11 Abs. 1a müssen den darin formulierten Anforderungen genügen dies entsprechend dokumentieren sich überprüfen lassen ( Zertifizierung)

7 Warum ein ISMS für die Energieunternehmen relevant ist 5/6 Konkretisierung durch das BSI BSI-Standard : Managementsysteme für Informationssicherheit 100-2: IT-Grundschutz-Vorgehensweise 100-3: Risikoanalyse auf Basis von IT-Grundschutz 100-4: Notfallmanagement IT-Grundschutzkataloge Kern der BSI-Standards 100-x ist die Implementierung eines Information Security Management System (ISMS) Dem liegen die ISO/IEC Standards der 2700x-Reihe zugrunde Das BSI geht aber hinsichtlich der konkreten Umsetzung weit über ISO/IEC hinaus Die Einführung eines ISMS wird die Basis für eine erfolgreiche Zertifizierung sein

8 Warum ein ISMS für die Energieunternehmen relevant ist 6/6 Status BSI-Standard : vorhanden IT-Grundschutzkataloge: vorhanden Das BSI zertifiziert nach BSI-Standard 100-x; das beinhaltet immer auch eine Zertifizierung nach ISO/IEC Sicherheitskatalog gem. 11 Abs. 1a EnWG; Entwurf vorliegend 11 Abs. 1a EnWG: Entwurf vorliegend Auf europäischer Ebene wird eine entsprechende Gesetzgebung für 2015 erwartet Voraussichtlich wird diese sehr ähnlich den deutschen Entwürfen sein Man kann davon ausgehen, dass im Wesentlichen für die praktische Umsetzung die Standards und Richtlinien des BSI Anwendung finden werden

9 Was ist ein ISMS? 1/5 BSI-Standard Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung zur Zielerreichung der Institution sorgen. Der Teil des Managementsystems, der sich mit Informationssicherheit beschäftigt, wird als Informationssicherheitsmanagementsystem (ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert). Quelle: BSI-Standard 100-1

10 Was ist ein ISMS? 2/5 BSI-Standard Zu einem ISMS gehören folgende grundlegende Komponenten Management-Prinzipien Ressourcen Mitarbeiter Sicherheitsprozess Leitlinie zur Informationssicherheit, in der die Sicherheitsziele und die Strategie zu ihrer Umsetzung dokumentiert sind Sicherheitskonzept Informationssicherheitsorganisation Quelle: BSI-Standard 100-1

11 Was ist ein ISMS? 3/5 Quelle: BSI-Standard 100-1

12 Was ist ein ISMS? 4/5 Quelle: BSI-Standard 100-1

13 Was ist ein ISMS? 5/5 Modus operandi: Plan-Do-Check-Act (PDCA) Quelle: BSI-Standard 100-1

14 ISMS Unterstützung durch IPS-ENERGY ISMS 1/6 Stellt IPS-ENERGY ISMS ein ISMS zu Verfügung? Nein, ein ISMS wird auf einer höheren Ebene implementiert, ABER: IPS-ENERGY ISMS deckt die wichtigen ISMS-relevanten Aspekte bzgl. kritischer digitaler Betriebsmittel in Stromversorgungsnetzen ab, u.a.: Schutzeinrichtungen Kommunikationsgeräte (abgesetzt oder lokal) SCADA Energiezähler Umschalter Weitere digitale Geräte wie Steuerungs-PCs etc. erweiterbar nach Bedarf IPS-ENERGY ISMS ist die einzige verfügbare Software, die diesen Bereich für Stromnetze in der nötigen Breite und Tiefe abdecken kann.

15 ISMS Unterstützung durch IPS-ENERGY ISMS 2/6 Was genau leistet IPS-ENERGY ISMS hinsichtlich ISMS? Basis: Identifizierung der ISMS-relevanten Betriebsmittel: Kennzeichnung der IEDs (Intelligent Electronic Devices) Digitales Gerät mit optionalen Digitalen Einheiten (Subkomponenten) und Konfigurationselementen (z.b. für Firm- oder Softwareupdates) Zuordnung IED-spezifischer Attribute auf jeder Ebene wie IP- und MAC-Adressen DHCP-Server SW / Firmwareversionen Zugeordneter Anwender und Supervisor mit dedizierten Passwörtern Erzeugen spezifischer Reports

16 ISMS Unterstützung durch IPS-ENERGY ISMS 3/6 Was genau leistet IPS-ENERGY ISMS hinsichtlich ISMS? Erweiterte Funktionalität: Setzen spezifischer Filter für IEDs (Asset Management) Schneller Zugriff auf alle IEDs (Asset Management) Setzen spezifischer Zugriffsrechte und Sichtbarkeitsbeschränkungen (Administration) Detaillierte Speicherung aller Konfigurationsmassnahmen an IEDs Nachverfolgbarkeit der Datenbasisänderungen (Audit Trail) Konfigurationsmanagement für IEDs (SWM) Verschlüsselung der IED-relevanten Daten: Unterstützung und Anpassung an das Verschlüsselungskonzept des Kunden

17 ISMS Unterstützung durch IPS-ENERGY ISMS 4/6 IPS-ENERGY ISMS erlaubt dem Stromnetzbetreiber IEDs zu erfassen zu kennzeichnen mit digitalen Attributen auf Komponenten und Subkomponentenebene auszustatten per Filterfunktionen in seinen Betriebsmitteln schnell zu identifizieren und anzusprechen Konfigurationszustände seiner IEDs zu dokumentieren (Historie!) zu überwachen zu steuern nachzuverfolgen Software-, Firmware- und Hardwarezustände der IEDs aktuell kompatibel synchron zu halten

18 ISMS Unterstützung durch IPS-ENERGY ISMS 5/6 IPS-ENERGY ISMS erlaubt dem Stromnetzbetreiber den Sicherheitsstatus seiner IEDs zu maximieren (minimalste Kompromittierbarkeit) die Sichtbarkeit von IED-spezifischen Informationen auf bestimmte Anwendergruppen differenziert zu beschränken eine saubere Verwaltung der IED-spezifischen Passwörter Dokumentation, Rück- und Nachverfolgbarkeit aller Massnahmen Implementierung herstellerunabhängiger Verschlüsselungsmechanismen für IEDrelevante Daten und Informationen

19 ISMS Unterstützung durch IPS-ENERGY 6/6 IPS-ENERGY ISMS unterstützt den Stromnetzbetreiber hinsichtlich der Anforderungen zur Informationssicherheit für digitale Betriebsmittel, die für die Netzsteuerung von Bedeutung sind nach EnWG 11 Absatz (1a) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. ( ) der Realisierung eines ISMS nach BSI-Standard Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert).