Informationssicherheit in der Energieversorgung



Ähnliche Dokumente
zurückgezogen DVGW-Information GAS Nr. 22 März 2016 INFORMATION Informationssicherheit in der Energieversorgung in Kooperation mit GAS

DVGW-Information. GAS Nr. 22 März Informationssicherheit in der Energieversorgung. in Kooperation mit GAS

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

DVGW-Information. GAS Nr. 22 März Informationssicherheit in der Energieversorgung. in Kooperation mit

Seminareinladung - Netzbetrieb & IT -

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter

Vorgelegt durch. den Gleichbehandlungsbeauftragten. für die. Stadtwerkeverbund Hellweg-Lippe Netz GmbH & Co. KG. Stadtwerke Hamm GmbH

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015

GPP Projekte gemeinsam zum Erfolg führen

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Informationssicherheitsmanagement

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

FNN-Hinweis. IT-Sicherheit in Stromnetzen

Bericht über die Maßnahmen des Gleichbehandlungsprogramms nach 7a Abs. 5 Satz 3 EnWG

IT-Sicherheit in der Energiewirtschaft

Osnabrück,

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Normen als Zertifizierungsgrundlagen im Bereich IT-Sicherheit

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

VDMA Maximal zulässige Oberflächentemperaturen bei Pumpen in Blockbauweise (Blockpumpen)

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme IPS GmbH

Smart Metering Gas Die nächsten Schritte. Rahmenbedingungen. Ernst Kaiser, RWE Westfalen-Weser-Ems Netzservice GmbH, Dortmund

Herzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe Klaus Dolch

Pensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft

Echtzeiterkennung von Cyber Angriffen auf SAP-Systeme mit SAP Enterprise Threat Detection und mehr

Lastenheft. Optischer Kommunikationskopf (OKK) für BKE-Montage. Elektrische, optische und mechanische Parameter. Version 1.0

Prozessorientiertes Asset Management und Mobile Workforce (unter Android)

VDMA Manufacturing Execution Systems Daten für Fertigungskennzahlen. Manufacturing Execution Systems Data for Production Indicators

BSI Technische Richtlinie

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Dieter Brunner ISO in der betrieblichen Praxis

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Qualitätsmanagement nach DIN EN ISO 9000ff

Energieversorgungseinrichtungen

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013

Zwischenbericht der UAG NEGS- Fortschreibung

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Rechtssicheres dokumentenersetzendes Scannen Entwicklung einer Technischen Richtlinie

der Informationssicherheit

Regulatorische Anforderungen an die Entwicklung von Medizinprodukten

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Akkreditierung gemäß D -Gesetz

Begriffe und Definitionen

Zulassung nach MID (Measurement Instruments Directive)

Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Cyber Security in der Stromversorgung

Das IT-Sicherheitsgesetz

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Rheinische Fachhochschule Köln

Normierte Informationssicherheit durch die Consultative Informationsverarbeitung

Elektronisches Preisblatt Strom und Gas

BSI Technische Richtlinie

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Technischer Hinweis Merkblatt DVGW GW 117 (M) September 2014

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Datenschutz und Informationssicherheit

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Technische Richtlinien

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BREMISCHE BÜRGERSCHAFT Drucksache 18/1264 Landtag 18. Wahlperiode

VdS Schadenverhütung GmbH. Bereich Security

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Der Mensch im Fokus: Möglichkeiten der Selbstkontrolle von Datenschutz und Datensicherheit durch den Anwender

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Worum es geht. zertifiziert und grundlegend

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Kommunikationsparameter Netzbetreiber in der Rolle Grundmessstellenbetreiber und -messdienstleister

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Dipl.-Ing. Herbert Schmolke, VdS Schadenverhütung

Outpacing change Ernst & Young s 12th annual global information security survey

Entwurf für die Anlage Einspeisung zum Netznutzungsvertrag Strom

Dokumentation prozessorientierter Managementsysteme

FAQ 04/2015. Auswirkung der ISO auf 3SE53/3SF13 Positionsschalter.

SWOT Analyse zur Unterstützung des Projektmonitorings

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB /Geschäftsführer Thomas Michel FBCS

BERICHT DES GLEICHBEHANDLUNGSBEAUFTRAGTEN AN DIE BUNDESNETZAGENTUR GLEICHBEHANDLUNGSBERICHT Vorgelegt durch. Für. Frau Michaela Nerger

BÜV-ZERT NORD-OST GMBH Zertifizierungsstelle für Managementsysteme der Baustoffindustrie

WSO de. <work-system-organisation im Internet> Allgemeine Information

LGA InterCert GmbH Nürnberg. Exzellente Patientenschulung. (c) Fachreferent Gesundheitswesen Martin Ossenbrink

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Zentrum für Informationssicherheit

Transkript:

FNN-/DVGW-Hinweis Informationssicherheit in der Energieversorgung Rechtliche Einordnung und Hilfestellungen für die Umsetzung Dezember 2015 in Kooperation mit

Impressum Forum Netztechnik / Netzbetrieb im VDE (FNN) Bismarckstraße 33, 10625 Berlin Telefon: + 49 (0) 30 3838687 0 Fax: + 49 (0) 30 3838687 7 E-Mail: fnn@vde.com Internet: http://www.vde.com/fnn Dezember 2015

Informationssicherheit in der Energieversorgung Rechtliche Einordnung und Hilfestellungen für die Umsetzung

Inhaltsverzeichnis 1 Einleitung... 10 1.1 Bedeutung der Informationssicherheit in der Strom- und Gasversorgung... 10 1.2 Begriffe und wesentliche informatorische Schutzziele... 11 2 Bestehende Initiativen... 14 2.1 Initiativen des Gesetzgebers / Regulators... 14 2.1.1 IT-Sicherheitsgesetz... 14 2.1.2 IT-Sicherheitskatalog... 16 2.1.3 Bundesamt für Sicherheit in der Informationstechnik (BSI) Grundschutz... 18 2.2 Normen und Richtlinien... 19 2.2.1 DIN ISO/IEC 27000er Reihe... 19 2.2.2 IEC 62351... 23 2.3 Weitere Dokumente... 25 2.3.1 BDEW-Whitepaper... 25 3 Bewertung und Einordnung... 27 3.1 Wirksamkeit der bestehenden Regeln... 27 3.2 Schlussfolgerung und Handlungsempfehlung... 27 4 Weiteres Vorgehen für eine ganzheitliche Implementierung im Netzbetrieb... 28 4.1 Managementunterstützung... 30 4.2 Definition des Anwendungsbereiches... 30 4.3 Inventarisierung der Informationswerte... 32 4.4 Risikomanagement (Einschätzung und Behandlung)... 34 4.5 Erklärung der Anwendbarkeit (SOA)... 35 4.6 Planen der operativen ISMS-Einführung... 35 4.7 ISMS Einführungsprogramm (Dokumente)... 36 4.8 Operatives ISMS starten... 36 4.9 Operatives ISMS leben... 36 4.10 Bewertung der Wirksamkeit des ISMS... 37 4.11 Korrekturmaßnahmen... 37 4.12 Probelauf für die Zertifizierung... 37 4.13 Zertifizierungsaudit... 38 5 Anhang... 40 5.1 Checkliste für die Vorbereitung eines ISMS im Unternehmen... 40 5.2 Dokumentation eines ISMS... 43 5.3 Ermittlung Ist-Situation und Anpassungsbedarf Managementrahmen ISO 27001:2013. 47

Abbildungsverzeichnis Abbildung 1 Regelungshierarchie bestehender Initiativen... 14 Abbildung 2 Übersicht Gesetzgebung... 15 Abbildung 3 Zusammenspiel der Normenreihe IEC 62351... 23 Abbildung 4 Prozessablauf eines ISMS-Implementierungs- und Zertifizierungsprozesses... 29 Abbildung 5 ISMS Scope Definition als Top-Down Ansatz... 31 Abbildung 6 Scope des IT-Sicherheitskatalogs nach EnWG 11, Abs. 1a... 32 Tabellenverzeichnis Tabelle 1 Bedrohungskatalog... 35

Abkürzungsverzeichnis Abkürzung ATM Bedeutung/Erläuterung Asynchronous Transfer Mode BNetzA Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen BSIG DAkkS DVGW EMS ENISA EnWG ERP FDDI FNN FTTX GIS ICS IKT ISMS KRITIS MS ND/MD OT PDCA SCADA Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) Deutsche Akkreditierungsstelle GmbH Deutscher Verein des Gas- und Wasserfaches e. V. Entstörmanagementsystem European Network and Information Security Agency Energiewirtschaftsgesetz Enterprise Ressource Planning Fiber Distributed Data Interface Forum Netztechnik/Netzbetrieb im VDE Fiber to the x Geographisches Informationssystem Industrial Control System Informations- und Kommunikationstechnik Informationssicherheits-Managementsystem Kritische Infrastruktur Mittelspannung Niederdruck/Mitteldruck (0 bis 100 mbar bzw. 100 mbar bis 1 bar) Operational Technology Plan Do Check Act Supervisory Control and Data Acquisition

Abkürzung ÜT WAN WFM Bedeutung/Erläuterung Übertragungstechnik Wide Area Network Workforce Management

Vorwort Die Unterstützung durch Informations- und Kommunikationstechnik (IKT) mit der wachsenden Abhängigkeit von Selbigen geht mit Chancen und Risiken einher. Um die Vorteile moderner IKT sicher nutzen zu können, wird ein angemessener Schutz gegen Bedrohungen auch im Bereich des Netzbetriebs der Strom- und Gasversorgung auf unterschiedlichen Ebenen bzw. Druckstufen angestrebt. Neben dem verabschiedeten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) gibt es eine Vielzahl an weiteren Regelungen, Normen und Empfehlungen, deren Ziel es ist, die Informationssicherheit in Energieversorgungsunternehmen zu gewährleisten. 1 Mit dem IT-Sicherheitsgesetz soll Gefährdungen der Informationssicherheit besonders schützenswerter und sogenannter Kritischer Infrastrukturen (KRITIS) wie z. B. Energie- oder Telekommunikationsnetzen wirksam begegnet werden. Im August 2015 wurde zudem der in 11 Abs. 1a EnWG referenzierte IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) veröffentlicht. Der vorliegende IT-Sicherheitskatalog enthält Anforderungen an alle Betreiber von Energienetzen zur Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Parallel dazu werden Normungsaktivitäten und weitere Empfehlungen erarbeitet bzw. aktualisiert, die zunehmend auch dem Thema Netzbetrieb und Netztechnik zuzuordnen sind wie z. B. die DIN ISO/IEC 27000 Normungsreihe und die IEC 62351 Normungsreihe. Das vorliegende Dokument soll eine grundlegende Einordnung der bestehenden Normen und Regelwerke vornehmen, die für den (informationstechnisch) sicheren Netzbetrieb notwendig sind. Darauf aufbauend wurde eine Analyse und ein Ausblick auf den weiteren Handlungsbedarf für die Ausgestaltung einer sicheren Informationstechnik (IT) im Netzbetrieb erarbeitet. Durch die mittlerweile gesetzlich verankerte Kernforderung, der verbindlichen Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß 11 Abs. 1a EnWG, gibt der FNN- /DVGW-Hinweis weitere Hilfestellungen zur Einführung eines ISMS. Der Hinweis richtet sich an Netzbetreiber und Netzserviceunternehmen der Sparten Strom und Gas. Die bestehende Fassung des FNN-Hinweises IT-Sicherheit in Stromnetzen (März 2015) wurde in Zusammenarbeit mit dem DVGW Deutscher Verein des Gas- und Wasserfaches e.v. um die Belange der Gasversorgung erweitert. Die hier dokumentierten Grundlagen können prinzipiell auch für andere Sparten angewandt werden. Fokus dieses Dokuments sind die bestehenden oder absehbar in Kraft tretenden nationalen Normen (inkl. Vornormen), Gesetze und Richtlinien (Stand Dezember 2015). Darüber hinaus existieren weitere Regelwerke, u. a. auf europäischer Ebene (z. B. ENISA), welche nicht Teil der Betrachtungen dieses Dokuments sind. 1 In diesem Zusammenhang sei erwähnt, dass mit der Veröffentlichung des Gesetzesentwurfes zum Digitalisierungsgesetz im Jahr 2015 die Grundlagen für die flächendeckende Einführung von intelligenten Zählern und Messsystemen gelegt wurde. In dem Gesetzespaket werden gleichfalls hohe technische Standards zur Gewährleistung von Datenschutz und Datensicherheit, bereichsspezifischer Datenschutzregeln für die Marktkommunikation sowie Regelungen im Zusammenhang mit dem Einbau von intelligenten Zählern zur Ermöglichung von intelligentem Last- und Erzeugungsmanagement vorgegeben. 8/48 Informationssicherheit in Energienetzen Dezember 2015 VDE FNN

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback