Worum es geht. zertifiziert und grundlegend

Ähnliche Dokumente
Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung.

IT-Sicherheit in der Energiewirtschaft

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

GPP Projekte gemeinsam zum Erfolg führen

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

IT-Revision als Chance für das IT- Management

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme IPS GmbH

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Informations-Sicherheit mit ISIS12

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Wir organisieren Ihre Sicherheit

Effizientes Risikomanagement für den Mittelstand

ITIL & IT-Sicherheit. Michael Storz CN8

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Herzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe Klaus Dolch

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Informationssicherheit in der Energieversorgung

BYOD und ISO Sascha Todt. Bremen,

Informationssicherheitsmanagement

Osnabrück,

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Seminareinladung - Netzbetrieb & IT -

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)


Energieaudit und Energiemanagement für Nicht-KMU

Personal- und Kundendaten Datenschutz bei Energieversorgern

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Software EMEA Performance Tour Juni, Berlin

Einführung eines ISMS nach ISO 27001:2013

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

Leistungsportfolio Security

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Dieter Brunner ISO in der betrieblichen Praxis

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Industrial Defender Defense in Depth Strategie

Einführung eines ISMS nach ISO Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

IT-Grundschutz nach BSI 100-1/-4

Pielen & Partner Managementberatung. Kurzvorstellung

LÖSUNGEN FÜR IHREN STAHLBEDARF. Qualitätspolitik

WHITEPAPER. ISO Assessment. Security-Schwachstellen und -Defizite erkennen

EDV und Netzwerk Planung

Prozessoptimierung. und. Prozessmanagement

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit ein Best-Practice Überblick (Einblick)

Personal- und Kundendaten Datenschutz in Werbeagenturen

Zuverlässiger IT-Service und Support Wir haben Ihr EDV-System im Griff.

Plus Strom. Das modulare System für Gewerbe, Handel und Industrie.

IT-Governance und COBIT. DI Eberhard Binder

Security & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Sicherheitsnachweise für elektronische Patientenakten

DS DATA SYSTEMS GmbH

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

COMPLIANCE CODE OF CONDUCT. Richtlinien zur Formulierung und Anwendung

Konkrete Lösungsansätze am Beispiel der Lebensmittelindustrie

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013

Einführung in das Energiemanagement nach DIN ISO und das Energieaudit nach EN 16247

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

TRAINING & LEARNING. So werden Sie von SELECTEAM unterstützt

WIE WIRKLICH IST DIE WIRKLICHKEIT WIE SCHNELL WERDEN SMART GRIDS WIRKLICH BENÖTIGT? DI Dr.techn. Thomas Karl Schuster Wien Energie Stromnetz GmbH

IT Sicherheitsgesetz und die Praxis

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

FRAUNHOFER-INSTITUT FÜR

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Echtzeiterkennung von Cyber Angriffen auf SAP-Systeme mit SAP Enterprise Threat Detection und mehr

Informations- / IT-Sicherheit - Warum eigentlich?

IT-Sicherheit für die Energie- und Wasserwirtschaft

Transkript:

Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie versorgung abhängig. Bereits kurzzeitige Störungen und Unter brechungen in der Versorgung würden zu ernsthaften Problemen führen und beinahe alle Bereiche des öffentlichen Lebens lahmlegen. Besonders wichtig ist daher eine hohe Zuverlässigkeit in der Strom versorgung. Grundlegend dafür ist wiederum der verlässliche und sichere Betrieb der IKT-Systeme in Energie unternehmen, insbesondere im Bereich der Netzsteuerung. Daher ist es unerlässlich, rechtzeitig und nachhaltig die Ausfallrisiken in der Informationstechnologie zu minimieren und die IKT-Systeme vor Bedrohungen zu schützen. Der IT Sicherheitskatalog des Energiewirtschaftsgesetzes (EnWG) bietet dazu die optimale Grundlage. Ziel dieses Sicherheitskataloges ist die Einführung und Zertifizierung eines Informationssicherheit- Management-Systems (ISMS) gemäß der nationalen und internationalen Normen ISO/IEC 27001, DIN SPEC 27009 und ISO/IEC TR 27019. Die Umsetzung dieser Vorgaben gewährleistet einen sicheren und ordnungsgemäßen Betrieb aller Telekommunikations- und Datenverarbeitungssysteme innerhalb der gesamten Organisation.

Für alle Unternehmen der Energiewirtschaft bietet die Ceyoniq Consulting ein modular aufgebautes Leistungsportfolio zum Thema ISMS und sicherer Systembetrieb. Die Teilnehmer erfahren alles Wissenswerte rund um Risiko-Analysen, Informationssicherheits-Systeme, Netzstrukturpläne, Mitarbeiter- Schulungen und Compliance-Anforderungen. Bis ins Detail. Und bis zur finalen Zertifizierung nach ISO/IEC 27001/DIN SPEC 27009. Umsetzungsfristen Kurzfristige Umsetzungsphase (bis Ende 2014) Eigenplanung aufgrund Risikobehandlungsplan Mittelfristige Umsetzungsphase (innerhalb von 12 Monaten) Derzeitige Planung: 12 Monate nach Veröffentlichung des IT-Sicherheitskataloges durch die BNetzA Langfristige Umsetzungsphase Das IT-Sicherheitsgesetz ist für Sommer 2015 geplant

Kurzfristige Umsetzungsphase Was wir empfehlen sicher und zuverlässig Unsere Leistungen sind in drei Phasen der Umsetzung gegliedert. Modul 1 Ist-Aufnahme Initial-Workshop Inhalte des Workshops: Vertraulicher Workshop Festlegung des Geltungsbereiches für den die Umsetzung oder Zertifizierung benötigt wird Allgemeine Einschätzung der DIN Anforderungen Maßnahmenempfehlungen für Ihr Unternehmen Ziele/Ergebnisse des Workshops: Detaillierte Vorstellung der Normen und ihrer Bedeutung: ISO/IEC 27001, DIN SPEC 27009, ISO/IEC TR 27019 Stärke der Auswirkungen Modul 2 Risiko-Analyse Vorstellung der Vorgabe und Definition des Schutzbedarfs der DIN SPEC 27009 Ermittlung der Systemkomponenten und Erstellung von Schutzbedarfskategorien nach dem BSI IT-Grundschutz (Quelle: BSI2, S. 49): normal hoch Die Schadensauswirkungen sind begrenzt und überschaubar Die Schadensauswirkungen können beträchtlich sein sehr hoch Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen Festlegung einer geeigneten Risikomethodik Risiko-Bewertung und -Behandlungsplan Risikopotenzial: Bisher nicht erkannte Risiken in Webdiensten, Webapplikationen und Websites des Unternehmens Angriffe von außen über öffentlich erreichbare Websites und Dienste, wie Fernwartungszugänge, GPRS, Fernauslesesysteme, Fernwirksysteme Zusätzliche finanzielle und personelle Aufwände zur Umsetzung der Gesetzgebungen

Mittelfristige Umsetzungsphase Modul 3 IT-Sicherheitsbeauftragter und Netzplan Benennung eines IT-Sicherheits beauftragten als zentralen Ansprechpartner (Meldung an die Bundesnetzagentur [BNetzA]) Netzstrukturplan: Betroffene Systeme Netzkomponenten-Analyse: Ermittlung der relevanten Komponenten im Netz für die DIN SPEC 27009 Aufzeigen von Nicht-DIN-Komponenten, zum Beispiel jenen, die durch die IT Grundschutz Kataloge der BSI Berücksichtigung finden Erstellung des Netzplanes Kennzeichnung der Outsourcing-Komponenten Betreiber der Netzkomponenten Auflistung der Outsourcing-Partner Auskunftsfähigkeit gegenüber BNetzA: Umsetzungsstand der Anforderungen aus dem vorliegenden IT-Sicherheitskatalog Aufgetretende Sicherheitsvorfälle (Art und Umfang), eventuell hervorgerufene Auswirkungen Ursache aufgetretender Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung Aufbau und Durchführung interner Audits Stellung eines externen Sicherheitsbeauftragten (optional)

Langfristige Umsetzungsphase Modul 4 Informationssicherheitsmanagement-System (ISMS) Abgleich einer individuellen ISMS-Definition mit der IT-Strategie Analyse: Prozessidentifikation PDCA (Plan Do Check Act): kontinuierliche Verbesserung Erstellung einer Sicherheitsleitlinie Organisation der Informationssicherheit Management von organisationseigenen Werten Etablierung von Personalsicherheits-Konzepten Physische und umgebungsbezogene Sicherheit Betriebs- und Kommunikationsmanagement Zugangskontrolle Beschaffung, Entwicklung und Wartung von Informationssystemen Umgang mit Vorfällen in der Informationssicherheit

Langfristige Umsetzungsphase Modul 5 Zertifizierung Modul 6 Ordnungsgemäßer Betrieb der IKT-Systeme Festlegung der Zertifizierungsnormen (ISO/IEC 27001, ergänzt um DIN SPEC 27009) Um Vertrauen und Marktakzeptanz nach außen zu gewährleisten, wird die Zertifizierung durch eine kompetente, unabhängige Third Party (Zertifizierungsstelle) durchgeführt Zertifizierung erfolgt auf Basis der Ergebnisse durchgeführter jährlicher Audits durch kompetente und branchenkundige Auditoren Analyse: Ist Ihr Versorgungsnetz mit allen Systemkomponenten auch für die Unterstützung der Abwehr von IKT-basierten Angriffen gerüstet? Ergebnis: Der Betrieb muss entsprechend der Vorgaben des IT-Sicherheitskataloges bei den relevanten Telekommunikations- und Datenverarbeitungssystemen gerüstet sein. Nutzwert der Zertifizierungen: Nachweis der Sorgfaltspflicht bei Haftungsfragen Imageförderung Nutzen und Verwendung der Prüfzeichen

Anforderungen an die Compliance sind stets zu beachten. Modul 7 versteht sich daher als notwendige Ergänzung zu allen anderen Modulen. Modul 7 Compliance Einhaltung der Compliance-Vorgaben Auswirkungen der Gesetzgebung: IT-Sicherheitskatalog BNetzA gemäß 11 Absatz 1a EnWG EU-Datenschutzverordnung in Vorbereitung EU-Richtlinie zur IT-Sicherheit in Vorbereitung Auswirkungen des Koalitionsvertrages: IT-Sicherheitsgesetz vorrangig für kritische Infrastrukturen (geplante Verabschiedung: Sommer 2015) Meldepflicht für Sicherheitsvorfälle Kurzinfo zur internationalen Norm ISO/IEC TR 27019 Arbeitsgebiet: IT-Sicherheitsverfahren in der Informationstechnik Leitlinien zum Informationssicherheitsmanagement auf Basis von ISO/IEC 27002 für die Telekommunikation für die Energiewirtschaft ISO/IEC TR 27019 basiert auf dem Standard ISO/IEC 27002 Code of practice for information security management und stellt Leitlinien für ein Informationssicherheitsmanagement-System (ISMS) für Prozessleitsysteme und Automatisierungstechnik in der Energieversorgungsindustrie vor. Im Fokus des Standards stehen Systeme und Netzwerke zur Steuerung und Überwachung der Erzeugung, Übertragung und Verteilung von elektrischer Energie, Gas und Wärme. Dazu gehören Steuerungs- und Automatisierungssysteme, Schutz- und Sicherheits- sowie Messsysteme inklusive der Kommunikationstechnik. Es stehen kritische Infrastrukturen im Vordergrund, die für einen sicheren und zuverlässigen Betrieb notwendig sind und damit auch in den Managementprozessen entsprechend berücksichtigt werden müssen (Verfügbarkeit und Integrität der Daten).

Renommierte Energieversorger vertrauen auf das Know-how der Ceyoniq Consulting Ihr Ansprechpartner: Stand: 04/2014 Änderungen vorbehalten Marken- und Schutzrechte, Handelsmarken Alle in diesem Dokument genannten Marken- und Produktnamen, Markenzeichen und Logos sind Eigentum der jeweiligen Rechteinhaber. Die nicht gestattete Nutzung dieser geschützten Zeichen oder sonstiger Materialien ist ausdrücklich untersagt. Carsten Maßloff Geschäftsführer Telefon: +49 521 9318 6000 Telefax: +49 521 9318-6111 E-Mail: Ceyoniq Consulting GmbH Boulevard 9 33613 Bielefeld info-consulting@ceyoniq.com www.ceyoniq-consulting.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback