Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie versorgung abhängig. Bereits kurzzeitige Störungen und Unter brechungen in der Versorgung würden zu ernsthaften Problemen führen und beinahe alle Bereiche des öffentlichen Lebens lahmlegen. Besonders wichtig ist daher eine hohe Zuverlässigkeit in der Strom versorgung. Grundlegend dafür ist wiederum der verlässliche und sichere Betrieb der IKT-Systeme in Energie unternehmen, insbesondere im Bereich der Netzsteuerung. Daher ist es unerlässlich, rechtzeitig und nachhaltig die Ausfallrisiken in der Informationstechnologie zu minimieren und die IKT-Systeme vor Bedrohungen zu schützen. Der IT Sicherheitskatalog des Energiewirtschaftsgesetzes (EnWG) bietet dazu die optimale Grundlage. Ziel dieses Sicherheitskataloges ist die Einführung und Zertifizierung eines Informationssicherheit- Management-Systems (ISMS) gemäß der nationalen und internationalen Normen ISO/IEC 27001, DIN SPEC 27009 und ISO/IEC TR 27019. Die Umsetzung dieser Vorgaben gewährleistet einen sicheren und ordnungsgemäßen Betrieb aller Telekommunikations- und Datenverarbeitungssysteme innerhalb der gesamten Organisation.
Für alle Unternehmen der Energiewirtschaft bietet die Ceyoniq Consulting ein modular aufgebautes Leistungsportfolio zum Thema ISMS und sicherer Systembetrieb. Die Teilnehmer erfahren alles Wissenswerte rund um Risiko-Analysen, Informationssicherheits-Systeme, Netzstrukturpläne, Mitarbeiter- Schulungen und Compliance-Anforderungen. Bis ins Detail. Und bis zur finalen Zertifizierung nach ISO/IEC 27001/DIN SPEC 27009. Umsetzungsfristen Kurzfristige Umsetzungsphase (bis Ende 2014) Eigenplanung aufgrund Risikobehandlungsplan Mittelfristige Umsetzungsphase (innerhalb von 12 Monaten) Derzeitige Planung: 12 Monate nach Veröffentlichung des IT-Sicherheitskataloges durch die BNetzA Langfristige Umsetzungsphase Das IT-Sicherheitsgesetz ist für Sommer 2015 geplant
Kurzfristige Umsetzungsphase Was wir empfehlen sicher und zuverlässig Unsere Leistungen sind in drei Phasen der Umsetzung gegliedert. Modul 1 Ist-Aufnahme Initial-Workshop Inhalte des Workshops: Vertraulicher Workshop Festlegung des Geltungsbereiches für den die Umsetzung oder Zertifizierung benötigt wird Allgemeine Einschätzung der DIN Anforderungen Maßnahmenempfehlungen für Ihr Unternehmen Ziele/Ergebnisse des Workshops: Detaillierte Vorstellung der Normen und ihrer Bedeutung: ISO/IEC 27001, DIN SPEC 27009, ISO/IEC TR 27019 Stärke der Auswirkungen Modul 2 Risiko-Analyse Vorstellung der Vorgabe und Definition des Schutzbedarfs der DIN SPEC 27009 Ermittlung der Systemkomponenten und Erstellung von Schutzbedarfskategorien nach dem BSI IT-Grundschutz (Quelle: BSI2, S. 49): normal hoch Die Schadensauswirkungen sind begrenzt und überschaubar Die Schadensauswirkungen können beträchtlich sein sehr hoch Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen Festlegung einer geeigneten Risikomethodik Risiko-Bewertung und -Behandlungsplan Risikopotenzial: Bisher nicht erkannte Risiken in Webdiensten, Webapplikationen und Websites des Unternehmens Angriffe von außen über öffentlich erreichbare Websites und Dienste, wie Fernwartungszugänge, GPRS, Fernauslesesysteme, Fernwirksysteme Zusätzliche finanzielle und personelle Aufwände zur Umsetzung der Gesetzgebungen
Mittelfristige Umsetzungsphase Modul 3 IT-Sicherheitsbeauftragter und Netzplan Benennung eines IT-Sicherheits beauftragten als zentralen Ansprechpartner (Meldung an die Bundesnetzagentur [BNetzA]) Netzstrukturplan: Betroffene Systeme Netzkomponenten-Analyse: Ermittlung der relevanten Komponenten im Netz für die DIN SPEC 27009 Aufzeigen von Nicht-DIN-Komponenten, zum Beispiel jenen, die durch die IT Grundschutz Kataloge der BSI Berücksichtigung finden Erstellung des Netzplanes Kennzeichnung der Outsourcing-Komponenten Betreiber der Netzkomponenten Auflistung der Outsourcing-Partner Auskunftsfähigkeit gegenüber BNetzA: Umsetzungsstand der Anforderungen aus dem vorliegenden IT-Sicherheitskatalog Aufgetretende Sicherheitsvorfälle (Art und Umfang), eventuell hervorgerufene Auswirkungen Ursache aufgetretender Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung Aufbau und Durchführung interner Audits Stellung eines externen Sicherheitsbeauftragten (optional)
Langfristige Umsetzungsphase Modul 4 Informationssicherheitsmanagement-System (ISMS) Abgleich einer individuellen ISMS-Definition mit der IT-Strategie Analyse: Prozessidentifikation PDCA (Plan Do Check Act): kontinuierliche Verbesserung Erstellung einer Sicherheitsleitlinie Organisation der Informationssicherheit Management von organisationseigenen Werten Etablierung von Personalsicherheits-Konzepten Physische und umgebungsbezogene Sicherheit Betriebs- und Kommunikationsmanagement Zugangskontrolle Beschaffung, Entwicklung und Wartung von Informationssystemen Umgang mit Vorfällen in der Informationssicherheit
Langfristige Umsetzungsphase Modul 5 Zertifizierung Modul 6 Ordnungsgemäßer Betrieb der IKT-Systeme Festlegung der Zertifizierungsnormen (ISO/IEC 27001, ergänzt um DIN SPEC 27009) Um Vertrauen und Marktakzeptanz nach außen zu gewährleisten, wird die Zertifizierung durch eine kompetente, unabhängige Third Party (Zertifizierungsstelle) durchgeführt Zertifizierung erfolgt auf Basis der Ergebnisse durchgeführter jährlicher Audits durch kompetente und branchenkundige Auditoren Analyse: Ist Ihr Versorgungsnetz mit allen Systemkomponenten auch für die Unterstützung der Abwehr von IKT-basierten Angriffen gerüstet? Ergebnis: Der Betrieb muss entsprechend der Vorgaben des IT-Sicherheitskataloges bei den relevanten Telekommunikations- und Datenverarbeitungssystemen gerüstet sein. Nutzwert der Zertifizierungen: Nachweis der Sorgfaltspflicht bei Haftungsfragen Imageförderung Nutzen und Verwendung der Prüfzeichen
Anforderungen an die Compliance sind stets zu beachten. Modul 7 versteht sich daher als notwendige Ergänzung zu allen anderen Modulen. Modul 7 Compliance Einhaltung der Compliance-Vorgaben Auswirkungen der Gesetzgebung: IT-Sicherheitskatalog BNetzA gemäß 11 Absatz 1a EnWG EU-Datenschutzverordnung in Vorbereitung EU-Richtlinie zur IT-Sicherheit in Vorbereitung Auswirkungen des Koalitionsvertrages: IT-Sicherheitsgesetz vorrangig für kritische Infrastrukturen (geplante Verabschiedung: Sommer 2015) Meldepflicht für Sicherheitsvorfälle Kurzinfo zur internationalen Norm ISO/IEC TR 27019 Arbeitsgebiet: IT-Sicherheitsverfahren in der Informationstechnik Leitlinien zum Informationssicherheitsmanagement auf Basis von ISO/IEC 27002 für die Telekommunikation für die Energiewirtschaft ISO/IEC TR 27019 basiert auf dem Standard ISO/IEC 27002 Code of practice for information security management und stellt Leitlinien für ein Informationssicherheitsmanagement-System (ISMS) für Prozessleitsysteme und Automatisierungstechnik in der Energieversorgungsindustrie vor. Im Fokus des Standards stehen Systeme und Netzwerke zur Steuerung und Überwachung der Erzeugung, Übertragung und Verteilung von elektrischer Energie, Gas und Wärme. Dazu gehören Steuerungs- und Automatisierungssysteme, Schutz- und Sicherheits- sowie Messsysteme inklusive der Kommunikationstechnik. Es stehen kritische Infrastrukturen im Vordergrund, die für einen sicheren und zuverlässigen Betrieb notwendig sind und damit auch in den Managementprozessen entsprechend berücksichtigt werden müssen (Verfügbarkeit und Integrität der Daten).
Renommierte Energieversorger vertrauen auf das Know-how der Ceyoniq Consulting Ihr Ansprechpartner: Stand: 04/2014 Änderungen vorbehalten Marken- und Schutzrechte, Handelsmarken Alle in diesem Dokument genannten Marken- und Produktnamen, Markenzeichen und Logos sind Eigentum der jeweiligen Rechteinhaber. Die nicht gestattete Nutzung dieser geschützten Zeichen oder sonstiger Materialien ist ausdrücklich untersagt. Carsten Maßloff Geschäftsführer Telefon: +49 521 9318 6000 Telefax: +49 521 9318-6111 E-Mail: Ceyoniq Consulting GmbH Boulevard 9 33613 Bielefeld info-consulting@ceyoniq.com www.ceyoniq-consulting.com