Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung.

Größe: px

Ab Seite anzeigen:

Download "Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung."

Ingeborg Schuster
vor 8 Jahren
Abrufe

1 Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industriestaaten ist das gesamte Leben von einer sicheren Energieversorgung abhängig. Bereits kurzzeitige Störungen und Unterbrechungen in der Versorgung würden zu ernsthaften Problemen führen und beinahe alle Bereiche des öffenlichen Lebens lahmlegen. Besonders wichtig ist daher eine hohe Zuverlässigkeit in der Stromversorgung. Grundlegend dafür ist wiederum der verlässliche und sichere Betrieb der IKT-Systeme in Energieunternehmen, insbesondere im Bereich der Netzsteuerung. Daher ist es unerlässlich, rechtzeitig und nachhaltig die Ausfallrisiken in der Informationstechnologie zu minimieren und die IKT-Systeme vor Bedrohungen zu schützen. Der IT-Sicherheitskatalog des Energiewirtschaftsgesetzes (EnWG) bietet dazu die optimale Grundlage. Ziel dieses Sicherheitskataloges ist die Einführung und Zertifizierung eines Informationssicherheit-Management-Systems (ISMS), gemäß der nationalen und internationalen Normen ISO/IEC 27001, DIN SPEC und ISO/IEC TR Die Umsetzung dieser Vorgaben gewährleistet einen sicheren und ordnungsgemäßen Betrieb aller Telekommunikations- und Datenverarbeitungssysteme innerhalb der gesamten Organisation.

Bereits kurzzeitige Störungen und Unterbrechungen in der Versorgung würden zu ernsthaften Problemen führen und beinahe alle Bereiche des öffenlichen Lebens lahmlegen.

2 Für alle Unternehmen der Energiewirtschaft bietet die Ceyoniq Consulting ein modular aufgebautes Leistungsportfolio, welches sich diesem Themenfeld eingehend widmet. Die Teilnehmer erfahren alles Wissenswerte rund um Risiko-Analysen, Informationssicherheits-Systeme, Netzstrukturpläne, Mitarbeiter-Schulungen und Compliance-Anforderungen. Bis ins Detail. Und bis zur finalen Zertifizierung nach ISO/IEC 27001/DIN SPEC Umsetzungsfristen Eigenplanung aufgrund Risikobehandlungsplan kurzfristig Derzeitige Planung: 12 Monate nach Veröffentlichung des IT-Sicherheitskataloges durch die BNetzA mittelfristig Das IT-Sicherheitsgesetz ist für Sommer 2015 geplant langfristig

Compliance-Anforderungen. Bis ins Detail. Und bis zur finalen Zertifizierung nach ISO/IEC 27001/DIN SPEC 27009.

3 Was wir empfehlen sicher und zuverlässig Kurzfristige Maßnahmen Unsere Leistungen sind in drei Phasen der Umsetzung gegliedert. Modul 1 (Ist-Aufnahme) Modul 2 (Risiko-Analyse) Initialisierungsworkshop Inhalte des Workshops: Vertraulicher Workshop Festlegung des Geltungsbereiches für den die Umsetzung oder Zertifizierung benötigt wird Allgemeine Einschätzung der DIN-Anforderungen Vorstellung der Vorgabe und Definition des Schutzbedarfs der DIN SPEC Ermittlung der Systemkomponenten und Erstellung von Schutzbedarfskategorien nach dem BSI IT-Grundschutz (Quelle: BSI2, S. 49): normal Die Schadensauswirkungen sind begrenzt und überschaubar Skizzieren von Handlungsempfehlungen für Ihre Unternehmensstruktur hoch Die Schadensauswirkungen können beträchtlich sein Ziele/Ergebnisse des Workshops: Bedeutung der Normen ISO 27001/ ISO SPEC 27009/ISO IEC TR Detaillierte Vorstellung bei Ihnen vor Ort Stärke der Auswirkungen sehr hoch Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen Festlegung einer geeigneten Risikomethodik Risiko-Bewertung und -Behandlungsplan Risikopotenzial: Bisher nicht erkannte Risiken in Webdiensten, Webapplikationen und Websites des Unternehmens Angriffe von außen über öffentlich erreichbare Websites und Dienste, wie Fernwartungszugänge, GPRS, Fernauslesesysteme, Fernwirksysteme Zusätzliche finanzielle und personelle Aufwände zur Umsetzung der Gesetzgebungen

benötigt wird Allgemeine Einschätzung der DIN-Anforderungen Vorstellung der Vorgabe und Definition des Schutzbedarfs der DIN SPEC 27009 Ermittlung der Systemkomponenten und Erstellung von

4 Mittelfristige Maßnahmen Modul 3 IT-Sicherheitsbeauftragter und Netzplan Benennung eines IT-Sicherheitsbeauftragten als zentralen Ansprechpartner (Meldung an die Bundesnetzagentur (BNetzA)) Netzstrukturplan: Betroffene Systeme Netzkomponenten-Analyse: Ermittlung der relevanten Komponenten im Netz für die DIN SPEC Aufzeigen von Nicht-DIN-Komponenten, z. B. jene, die durch die IT-Grundschutz- Kataloge der BSI Berücksichtigung finden Erstellung des Netzplanes Auflistung der Outsourcing-Partner Auskunftsfähigkeit gegenüber BNetzA: Umsetzungsstand der Anforderungen aus dem vorliegenden IT-Sicherheitskatalog Aufgetretene Sicherheitsvorfälle (Art und Umfang), evtl. hervorgerufene Auswirkungen Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung Aufbau und Durchführung interner Audits Stellung eines externen Sicherheitsbeauftragten (optional) Kennzeichnung der Outsourcing- Komponenten Betreiber der Netzkomponenten

troffene Systeme Netzkomponenten-Analyse: Ermittlung der relevanten Komponenten im Netz für die DIN SPEC 27009 Aufzeigen von Nicht-DIN-Komponenten, z. B.

5 Langfristige Maßnahmen Modul 4 Informationssicherheits- Managementsystem (ISMS) Abgleich einer individuellen ISMS-Definition mit IT-Strategie Analyse: Prozessidentifikation PDCA (plan -do-check-act): kontinuierliche Verbesserung Erstellung einer Sicherheitsleitlinie Organisation der Informationssicherheit Management von organisationseigenen Werten Etablierung von Personalsicherheits- Konzepten Physische und umgebungsbezogene Sicherheit Betriebs- und Kommunikationsmanagement Zugangskontrolle Beschaffung, Entwicklung und Wartung von Informationssystemen Umgang mit Vorfällen in der Informationssicherheit

Informationssicherheit Management von organisationseigenen Werten Etablierung von Personalsicherheits- Konzepten Physische und umgebungsbezogene

6 Langfristige Maßnahmen Modul 5 Zertifizierung Modul 6 Ordnungsgemäßer Betrieb der IKT-Systeme Festlegung der Zertifizierungsnormen erfüllt (ISO/IEC 27001, ergänzt um DIN SPEC 27009) Um Vertrauen und Marktakzeptanz nach außen zu gewährleisten, wird die Zertifizierung durch eine kompetente, unabhängige Third Party (Zertifizierungsstelle) durchgeführt Zertifizierung erfolgt auf Basis der Ergebnisse durchgeführter jährlicher Audits durch kompetente und branchenkundige Auditoren Analyse: Ist Ihr Versorgungsnetz mit allen Systemkomponenten auch für die Unterstützung der Abwehr von IKT-basierten Angriffen gerüstet? Ergebnis: Der Betrieb muss entsprechend der Vorgaben des IT-Sicherheitskataloges bei den relevanten Telekommunikations- und Datenverarbeitungssysteme gerüstet sein. Nutzwertidentifikationen von Zertifizierungen: Nachweis der Sorgfaltspflicht bei Haftungsfragen Imageförderung Einsatz/Platzierung/Prüfung von Prüfzeichen

durchgeführter jährlicher Audits durch kompetente und branchenkundige Auditoren Analyse: Ist Ihr Versorgungsnetz mit allen Systemkomponenten auch für die Unterstützung der Abwehr von IKT-basierten

7 Anforderungen an die Compliance sind stets zu beachten. Das folgende Modul ergänzt stets die anderen Module, um Regelkonformität zu gewährleisten. Modul 7 Compliance Einhaltung der Compliance-Vorgaben Auswirkungen der Gesetzgebung: IT-Sicherheitskatalog BNetzA gem. 11 Abs. 1a EnWG EU-Datenschutzverordnung in Vorbereitung EU-Richtlinie IT-Sicherheit in Vorbereitung Auswirkungen des Koalitionsvertrages: IT-Sicherheitsgesetz vorrangig für kritische Infrastrukturen (geplante Verabschiedung Sommer 2015) Meldepflicht für Sicherheitsvorfälle Kurzinfo zur internationalen Norm ISO/IEC TR Arbeitsgebiet: IT-Sicherheitsverfahren in der Informationstechnik Leitlinien zum Informationssicherheitsmanagement auf Basis ISO/IEC für die Telekommunikation für die Energiewirtschaft ISO/IEC TR basiert auf dem Standard ISO/IEC Code of practice for information security management und stellt Leitlinien für ein Informationssicherheitsmanagementsystem (ISMS) für Prozessleitsysteme und Automatisierungstechnik in der Energieversorgungsindustrie vor. Im Fokus des Standards stehen Systeme und Netzwerke zur Steuerung und Überwachung der Erzeugung, Übertragung und Verteilung von elektrischer Energie, Gas und Wärme. Dazu gehören Steuerungs- und Automatisierungssysteme, Schutz- und Sicherheits- sowie Messsysteme inklusive der Kommunikationstechnik. Es stehen kritische Infrastrukturen im Vordergrund, die für einen sicheren und zuverlässigen Betrieb notwendig sind und damit auch in den Managementprozessen entsprechend berücksichtigt werden müssen (Verfügbarkeit und Integrität der Daten).

1a EnWG EU-Datenschutzverordnung in Vorbereitung EU-Richtlinie IT-Sicherheit in Vorbereitung Auswirkungen des Koalitionsvertrages: IT-Sicherheitsgesetz vorrangig für kritische Infrastrukturen

8 Renommierte Energieversorger vertrauen auf das Know-how der Ceyoniq Consulting Ihr Ansprechpartner: Christian Book Senior Consultant Telefon: Telefax: Mobil: Ceyoniq Consulting GmbH Boulevard Bielefeld

9318-6000 Telefax: +49 521 9318-6111 Mobil: +49 175 9323036 E-Mail: c.

Ähnliche Dokumente

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie