Leitfaden zum sicheren Betrieb von Smart Meter Gateways



Ähnliche Dokumente
Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen


Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

Die Umsetzung von IT-Sicherheit in KMU

Informationssicherheitsmanagement

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Zertifizierung IT-Sicherheitsbeauftragter

GPP Projekte gemeinsam zum Erfolg führen

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

3 Juristische Grundlagen

BPMN 2.0, SCOR und ISO oder anders gesagt. BPMN is sexy?

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

IT-Grundschutz-Novellierung Security Forum Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Lösungen die standhalten.

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Das IT-Verfahren TOOTSI

Informationssicherheit als Outsourcing Kandidat

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Cloud Computing mit IT-Grundschutz

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Maintenance & Re-Zertifizierung

BSV Ludwigsburg Erstellung einer neuen Internetseite

IT-Revision als Chance für das IT- Management

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Datenschutz und IT-Grundschutz für Museen

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

Kirchlicher Datenschutz

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Zentrum für Informationssicherheit

Zertifizierung IT-Sicherheitsbeauftragter

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

9.6 Korrekturmaßnahmen, Qualitätsverbesserung

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

TÜV NORD Akademie Personenzertifizierung. Informationen zur Zertifizierung von Qualitätsfachpersonal

Was meinen die Leute eigentlich mit: Grexit?

BSI Technische Richtlinie

BSI Technische Richtlinie

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Security. Voice +41 (0) Fax +41 (0) Mobile +41 (0) Web

Personal- und Kundendaten Datenschutz bei Energieversorgern

Avira Server Security Produktupdates. Best Practice

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.

Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten

Informationssicherheit in handlichen Päckchen ISIS12

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Alchimedus Software Geprüfte Beratungsqualität! Info und Demo

SEPA-Anleitung zum Release 3.09

Scannen Sie schon oder blättern Sie noch?

IT-Grundschutz umsetzen mit GSTOOL

Informationssicherheit ein Best-Practice Überblick (Einblick)

Privatinsolvenz anmelden oder vielleicht sogar vermeiden. Tipps und Hinweise für die Anmeldung der Privatinsolvenz

Lieber SPAMRobin -Kunde!

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

Was beinhaltet ein Qualitätsmanagementsystem (QM- System)?

Generelle Einstellungen

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen

Leistungsportfolio Security

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

SMART Newsletter Education Solutions April 2015

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Handbuch Amos Ersteller: EWERK MUS GmbH Erstellungsdatum:

Qualitätsbeauftragter / interner Auditor und Qualitätsmanager. DGQ Prüfung zum Qualitätsmanager. Wege zum umfassenden Qualitätsmanagement

Xesar. Die vielfältige Sicherheitslösung

Qualitätsmanagement in kleinen und mittleren Unternehmen

Information zur Revision der ISO Sehr geehrte Damen und Herren,

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

Datenschutz und Informationssicherheit

Personal- und Kundendaten Datenschutz in Werbeagenturen

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Transkript:

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway- Administrator durch die Vorlage eines BSI-Zertifikats nach ISO 27001 auf Basis von IT-Grundschutz. Die Standard-Reihe BSI-Standard 100-x des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist eine Sammlung von Standards für Managementsysteme zur IT-Sicherheit (Information Security Management Systems, ISMS). Die Standards stellen eine praktische Methode zur Bewertung und Dokumentation aller Aspekte der IT-Sicherheit einer IT-Landschaft vor und geben detaillierte Handlungsanweisungen zur Aufrechterhaltung und Verbesserung der IT-Sicherheit. Die Vorgehensweise auf Basis von IT-Grundschutz eignet sich für typische IT- Landschaften mit einem normalen Schutzbedarf. Maßnahmen für höheren Schutzbedarf können, je nach Bedarf, ergänzt werden. Nach einem erfolgreichen Audit mit anschließender Zertifizierung wird ein BSI- Zertifikat ISO 27001 auf der Basis von IT-Grundschutz vergeben. Mit diesem BSI-Zertifikat können z. B. Smart Meter Gateway Administratoren die Eignung ihrer IT-Infrastruktur für einen sicheren Betrieb nachweisen, dessen Anforderungen in der Technischen Richtlinie BSI-TR-03109 (Anforderungen an die Interoperabilität der Kommunikationseinheit eines intelligenten Messsystems) formuliert sind, die das BSI spezifiziert hat. Die Reihe BSI-Standard 100-x besteht aus den folgenden Teilen: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement IT-Grundschutzkataloge: Baustein-Kataloge (B1 bis B5), Gefährdungskataloge (G0 bis G5), Maßnahmenkataloge (M1 bis M6) GSTOOL: IT-Grundschutz-Tool, Programm zur Unterstützung der Umsetzung von Maßnahmen Für eine BSI-Zertifizierung sind zunächst die Anforderungen aus BSI-Standard 100-2 umzusetzen und nachzuweisen. BSI-Standard 100-2 verlangt die Realisierung eines ISMS (siehe folgende Abbildung): 2013 mtg - Leitfaden zum sicheren Betrieb von Smart Meter Gateways, Stand 18.09.2013 Seite 1

Quelle: Darstellung nach Informationen aus BSI-Standard 100-2 Das geforderte ISMS wird in den folgenden Schritten 1) bis 5) realisiert: 1. Initial muss das verantwortliche Management eine IT-Sicherheitsleitlinie erstellen, in der festgelegt wird, WAS zur IT-Sicherheit zu tun ist (Ziele). Es muss ein Sicherheitsgremium eingerichtet werden und mit Ressourcen (Personal, Zeit, Budget) ausgestattet werden. 2. Dann muss ein IT-Sicherheitskonzept erstellt werden, in dem festgelegt wird, WIE die Ziele der IT-Sicherheit zu erreichen sind (Wege). Das IT- Sicherheitskonzept hat als Ergebnis einen Umsetzungsplan. 3. Umsetzung der Maßnahmen zur IT-Sicherheit nach Umsetzungsplan. 4. Änderungen im laufenden Betrieb müssen erkannt und dadurch notwendige Änderungen der IT-Sicherheit berücksichtigt werden. Das IT- Sicherheitskonzept muss eventuell aktualisiert werden. 5. Damit schließt sich der Sicherheitsregelkreis der permanenten Verbesserung des ISMS. 2013 mtg - Leitfaden zum sicheren Betrieb von Smart Meter Gateways, Stand 18.09.2013 Seite 2

Das IT-Sicherheitskonzept als Kernkomponente erstellt man wie folgt: 1. Initial muss durch die IT-Strukturanalyse die vorhandene IT-Landschaft erfasst, geeignet aufbereitet und dokumentiert werden (IST-Analyse). Beginnend mit den Geschäftsprozessen, werden die IT-Anwendungen, IT- Netze, IT-Systeme und IT-Infrastruktur dokumentiert (Vorhandene Unterlagen, Reviews der Mitarbeiter) und als IT-Verbund dargestellt. In diesem IT-Verbund werden Daten verarbeitet, die Werte darstellen und geschützt werden sollen. 2. Für die zu schützenden Daten muss der angemessene Schutzbedarf in den Kategorien (normal=überschaubare Schäden, hoch=erhebliche Schäden, sehr hoch=bedrohliche Schäden) festgelegt werden. Aus dem Schutzbedarf der Daten ergeben sich Anforderungen an den IT-Verbund (Vererbungsprinzip). Werden Daten unterschiedlichen Schutzbedarfs an einer Stelle des IT- Verbunds verarbeitet, bestimmen die Daten mit dem höchsten Schutzbedarf die notwendigen Schutzmaßnahmen (Maximumsprinzip). Die Technische Richtlinie BSI-TR-03109 geht von einem hohen Schutzbedarf aus. 3. Der erfasste und dokumentierte IT-Verbund, der die zu schützenden Daten verarbeitet, wird nun nach IT-Grundschutz modelliert. Dazu werden die IT- Grundschutzkataloge benutzt. Für die verschiedenen Bausteine Bi (i=übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze, Anwendungen) aus den Bausteinkatalogen werden zu den möglichen Gefährdungen Gi (i=elementare Gefährdungen, höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen, vorsätzliche Handlungen) aus den Gefährdungskatalogen die erforderlichen Maßnahmen Mi (i=infrastruktur, Organisation, Personal, Hardware und Software, Kommunikation, Notfallvorsorge) aus den Maßnahmenkatalogen zugeordnet. Die Maßnahmen sind zum Einen gekennzeichnet, wo sie im Lebenszyklus des Geschäftsprozesses vorkommen: Planung und Konzeption (PK), Beschaffung (B), Umsetzung (U), Betrieb (B), Aussonderung (A), Notfallvorsorge (N). Die Maßnahmen sind zum Anderen gekennzeichnet, wie ihre Qualifizierungsstufe (Wichtigkeit) ist: Einstieg (A), Aufbau (B), Zertifikat (C), Zusätzlich (Z) und Wissen (W). 2013 mtg - Leitfaden zum sicheren Betrieb von Smart Meter Gateways, Stand 18.09.2013 Seite 3

4. Maßnahmen der Stufe A sind essentiell und vorrangig umzusetzen zum Erhalt des Auditor-Testats IT-Grundschutz Einstiegsstufe. Maßnahmen der Stufe B sind ergänzend für das Auditor-Testat IT- Grundschutz Aufbaustufe umzusetzen. Maßnahmen der Stufe C (mit den Stufen A und B) sind für das ISO 27001- Zertifikat auf Basis von IT-Grundschutz umzusetzen. Zur Unterstützung der Erstellung der Zuordnungsmatrix (Gefährdungen vs. Maßnahmen) kann das GSTOOL eingesetzt werden. Als Ergebnis erhält man einen (in der Regel umfangreichen) spezifischen Maßnahmenkatalog. Durch einen Basis-Sicherheitscheck wird dieser spezifische Maßnahmenkatalog einem SOLL-IST-Vergleich unterzogen. Dabei wird für jede vorgesehene Maßnahme ermittelt, ob die Maßnahme bereits umgesetzt, teilweise umgesetzt, noch nicht umgesetzt oder begründet entbehrlich ist. 5. Ist der Schutzbedarf der Daten höher als normal (also hoch bis sehr hoch), muss zusätzlich eine ergänzende, spezifische Sicherheitsanalyse vorgenommen werden, da die Gefährdungen und Maßnahmen der IT- Grundschutzkataloge nur für typische IT-Verbünde mit normalem Schutzbedarf ausgelegt sind. 6. Der resultierende spezifische Maßnahmenkatalog wird für die Realisierungsplanung benutzt. Darin wird festgelegt, wie und wann die noch umzusetzenden Maßnahmen (oder Teile davon) realisiert werden können. Zu Planung, Realisierung und Nachweis aller Anforderungen ist zum Teil umfangreiche Dokumentation anzufertigen und zu Audits und Zertifizierung vorzulegen. Danach können Audits (mit Auditor-Testaten) durch anerkannte Auditoren und die Zertifizierung (mit BSI-Zertifikat) stattfinden. 2013 mtg - Leitfaden zum sicheren Betrieb von Smart Meter Gateways, Stand 18.09.2013 Seite 4

Unser Beratungsangebot für Sie: mtg kann Sie bei der Planung und Durchführung aller oben geschilderten Schritte, insbesondere der Erstellung des IT-Sicherheitskonzepts, zum Erreichen eines BSI- Zertifikats ISO 27001 auf der Basis von IT-Grundschutz beratend unterstützen. Wir freuen uns auf Ihren Kontakt! Telefon: 06151/8193-0 E-Mail: contact@mtg.de Mehr Informationen zu unserer Prüfstelle für IT Sicherheit finden auf unserer Webseite: http://www.mtg.de/it-security/pruefstelle-it-sicherheit: media transfer AG Firmensitz: Dolivostr. 11, 64293 Darmstadt Registergericht: Amtsgericht Darmstadt, HRB 8901 Vorstand: Jürgen Ruf (Vors.), Tamer Kemeröz Aufsichtsratsvorsitzender: Dr. Thomas Milde www.mtg.de 2013 mtg - Leitfaden zum sicheren Betrieb von Smart Meter Gateways, Stand 18.09.2013 Seite 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback