SICIA SECURITY INDICATORS FOR CRITICAL INFRASTRUCTURE ANALYSIS

Ähnliche Dokumente
NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

IT-Sicherheit im Energie-Sektor

Eröffnung: Überblick über CIS-Services weltweit Erich Scheiber Geschäftsführung

Zertifizierung von Netzbetreibern nach IT-Sicherheitskatalog gemäß 11 Abs. 1a EnWG

Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

Sicherer Datenaustausch für Unternehmen und Organisationen

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

ISMS-Einführung in Kliniken

Zertifizierung gemäß ISO/IEC 27001

Cybersecurity in der Energiewirtschaft Schlüssel zum Erfolg der Digitalisierung

bei einem Flächennetzbetreiber

Inhalt. Überblick über die Normenfamilie. Struktur der ISO/IEC 27018:2014. Die Norm im Einzelnen. Schnittmenge zum Datenschutz. Kritische Würdigung

IT-Sicherheit für KMUs

VKU-PRAXISLEITFADEN IT-SICHERHEITSKATALOG

DAS IT-SICHERHEITSGESETZ

Standardisierung und Anforderungen an SMGW Administration

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

zurückgezogen DVGW-Information GAS Nr. 22 März 2016 INFORMATION Informationssicherheit in der Energieversorgung in Kooperation mit GAS

ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT

Zertifizierung gemäß ISO/IEC 27001

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

Schutz Kritischer Infrastrukturen. PITS - Public-IT-Security Kongress für IT-Sicherheit bei Behörden Berlin, 13. September 2016

Blick über den Tellerand Erfahrungen der EVU

IT-Sicherheitsaudits bei KRITIS-Betreibern: Zusätzliche Prüfverfahrens-Kompetenz für 8a (3) BSIG

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

Die Umsetzung des ITSicherheitsgesetzes aus Sicht des BSI

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

KRITISCHE INFRASTRUKTUREN

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

Kritische Infrastruktur in der Wasserwirtschaft Was bedeuten branchenspezifische IT-Sicherheitsstandards für die Wasserversorgungsunternehmen?

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Das neue IT-Sicherheitsgesetz: AktuellerStand in SachenKRITIS

Häufige Fragen und Antworten (FAQ) zu 8a BSIG im Rahmen der Orientierungshilfe B3S V0.9 BSI-Entwurf Version 0.5.2, Stand:

Sicherheit für Ihre Geodaten

Die Modernisierung des IT-Grundschutzes

IT-Sicherheitszertifikat

IT-Sicherheitsgesetz: Wen betrifft es,

Informations- / IT-Sicherheit Standards

IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns

Informationssicherheitsma nagementsystem (ISMS)

Neue Pflicht zu technischorganisatorischen. Vorkehrungen durch 13 Abs. 7 TMG

Dr. Dennis Kenji Kipker Dipl. Ing. Sven Müller. Dipl Ing Sven Müller. Gefördert vom FKZ: 16KIS0213 bis 16KIS0216

Einführung eines ISMS nach ISO 27001:2013

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Best Practises verinice.pro

Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Multiscope ISMS. ISO für Konzerne. Thomas Grote, , Köln

RmCU V 4.0 DIN Rail RmCU V 3.4 DIN Rail / Compact

Regensburg, 18. Oktober 2017 Michael Berger

Informationssicherheit und die Einführung eines ISMS nach ISO 27001

25. November >Der sichere Pfad durch den Datensecurity Jungle Angela Espinosa, LH Systems AG

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

Die neuen IT-Grundschutz-Bausteine und deren Struktur. Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit

15 Jahre IT-Grundschutz

CYBER-SICHERHEIT DYNAMISCHE CYBER-ABWEHR

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Rüdiger Gruetz Klinikum Braunschweig Geschäftsbereich IT und Medizintechnik. GMDS-Satellitenveranstaltung

Keywords: KRITIS, ISMS, ISO27k, ISO27k-Prototyp, ISO27k-Werkzeug, IT- Sicherheitsgesetz

Maritime Cyber Risk Management Seeschifffahrtssicherheitskonferenz 2017

Vorstellung der EN für den Mittelstand. Dr. Ludger Ackermann dc-ce RZ-Beratung

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

IT-Sicherheit in der Energiewirtschaft

CS_PORTFOLIO. Informationssicherheits- Managementsystem [ISMS]

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Anwendbarkeit von Security Standards für Dienstleister und Hersteller DKE Fachtagung, 03. Februar 2016

Welche regulatorischen Vorgaben müssen Betreiber und Anwender berücksichtigen?

CERT - das wirklich wahre Leben. 23. Oktober 2018 Christoph Damm

Sektorspezifische Zertifikate

Einführung Cybersicherheit für Industrieanlagen

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

Transkript:

SICIA SECURITY INDICATORS FOR CRITICAL INFRASTRUCTURE ANALYSIS Brandenburgische Technische Universität Cottbus Senftenberg Vattenfall Europe Generation AG RWE Deutschland AG 2. Jahreskonferenz zum BMBF-Förderschwerpunkt IT-Sicherheit für Kritische Infrastrukturen, Bremen, 21.06.2016

DAS GROßE GANZE

Aktuelle Situation gesetzliche Vorgaben IT-Sicherheitsgesetz [1] IT-Sicherheitskatalog [2]» bis Juli 2017» bis Januar 2018» Betreiber von KRITIS» Netzbetreiber» angemessene organisatorische» Umsetzung eines ISMS, das durch und technische Vorkehrungen [ ] zu treffen ein Zertifikat gem. ISO/IEC 27001 [3] nachgewiesen wird» keine explizite Forderung nach ISMS, aber ist aktueller Stand der Technik (wie gefordert)» alle 2 Jahre auf geeignete Weise nachzuweisen ( Sicherheitsaudits, Prüfungen oder Zertifizierungen )

Aktuelle Situation gesetzliche Vorgaben IT-Sicherheitsgesetz [1] IT-Sicherheitskatalog [2]» bis Juli 2017» bis Januar 2018» Betreiber von KRITIS» Netzbetreiber» angemessene organisatorische» Umsetzung eines ISMS, das durch und technische Vorkehrungen [ ] zu treffen ein Zertifikat gem. ISO/IEC 27001 [3] nachgewiesen wird» keine explizite Forderung nach ISMS, aber ist aktueller Stand der Technik (wie gefordert)» alle 2 Jahre auf geeignete Weise nachzuweisen ( Sicherheitsaudits, Prüfungen oder Zertifizierungen ) Methoden benötigt zur Messung und Visualisierung von IT-Sicherheit und Effekten von Verbesserungsmaßnahmen

SICIA: Ziel» Abbildung der aktuellen IT-Sicherheit auf Zahlenwerte» Lagebild: Vergleichsmöglichkeit über große Zahl von Objekten» Indikatoren : Vergleich statt absoluter Wert entscheidend

Sicherheitsbewertung: Erreichbarkeitsanalyse 1» Erreichbarkeitsgraph anhand Recherche der Netzinfrastruktur» Zusammenführung verschiedener Sichten» erster Check: tatsächliche Konfiguration vs. Dokumentation

Sicherheitsbewertung: Quantifizierung (1/3) 2 0.69 0.93 d2 d4 d3 0.74 d1 d5 0.87 0.84» Messung technischer Parameter aus Normen und Standards» ISO/IEC 27002 + ISO/IEC TR 27019 + BSI ICS-Security-Kompendium [4-6]» Automatisierung via netz- und hostbasierter Methoden

Sicherheitsbewertung: Quantifizierung (2/3) n a i w i DSI = i=1n wi = (1 3)+(0,5 3)+(0 2)+(1 1)+(1 2)+(1 3)+(0 1)+(1 2) 12,5 = =0,74 3+ 3+2+1+ 2+3+ 1+ 2 17 i=1

Sicherheitsbewertung: Quantifizierung (3/3) 0,69 0,93 d2 d4 d3 0,74 d1 d5 0,87 0,84 SSI: 0,83 n f :ℝ ℝ 3 d1 d2 d3 d4 d5 DSIs: 0,87 0,69 0,74 0,93 0,84 n SSI = DSI k =DSI 1 DSI 2... DSI n 1 DSI n k =1» Verdichtung der Komponenten-Indikatoren zu Indikatoren auf Systemebene» mittels Sicherheitsbäumen (ähnlich Fehlerbäumen bei Betriebssicherheit)

Beispielanwendung: Maßnahmenpriorisierung» Grundlage: gemessene IT-Sicherheit anhand [4-6] + Vernetzung» automatische Ableitung möglicher Verbesserungsmaßnahmen bis auf Komponentenebene» Wahl & Priorisierung von Verbesserungsmaßnahmen anhand Simulation vorher

Beispielanwendung: Maßnahmenpriorisierung» Grundlage: gemessene IT-Sicherheit anhand [4-6] + Vernetzung» automatische Ableitung möglicher Verbesserungsmaßnahmen bis auf Komponentenebene» Wahl & Priorisierung von Verbesserungsmaßnahmen anhand Simulation d7: XXX XXXX d6: XXX XXXX d3: XXX XXXX vorher

Beispielanwendung: Maßnahmenpriorisierung» Grundlage: gemessene IT-Sicherheit anhand [4-6] + Vernetzung» automatische Ableitung möglicher Verbesserungsmaßnahmen bis auf Komponentenebene» Wahl & Priorisierung von Verbesserungsmaßnahmen anhand Simulation vorher d7: XXX XXXX TODO: d6: XXX XXXX TODO: XXX XXXX d3: XXX XXXX TODO:...

Beispielanwendung: Maßnahmenpriorisierung» Grundlage: gemessene IT-Sicherheit anhand [4-6] + Vernetzung» automatische Ableitung möglicher Verbesserungsmaßnahmen bis auf Komponentenebene» Wahl & Priorisierung von Verbesserungsmaßnahmen anhand Simulation vorher d7: XXX XXXX TODO: d6: XXX XXXX TODO: XXX XXXX d3: XXX XXXX TODO:... nachher

TEILPROBLEM: DATENERFASSUNG UND -FUSION

Datenerfassung anhand Betreibervorgaben

Datenerfassung anhand Betreibervorgaben Werkzeugsatz netzbasiert: Netzverkehranalyse OS-Fingerprinting Portscanning Schwachstellen-Scanning hostbasiert: Betriebssystemwerkzeuge skriptbasiert

Datenerfassung anhand Betreibervorgaben Konfiguration des Automatisierungsgrads Grad der Netzinvasivität Grad der Hostinvasivität Rechte (Zutritt, Zugang) zeitliche Vorgaben Werkzeugsatz netzbasiert: Netzverkehranalyse OS-Fingerprinting Portscanning Schwachstellen-Scanning hostbasiert: Betriebssystemwerkzeuge skriptbasiert

Datenerfassung anhand Betreibervorgaben Konfiguration des Automatisierungsgrads Grad der Netzinvasivität Grad der Hostinvasivität Rechte (Zutritt, Zugang) zeitliche Vorgaben Werkzeugsatz netzbasiert: Netzverkehranalyse OS-Fingerprinting Portscanning Schwachstellen-Scanning hostbasiert: Betriebssystemwerkzeuge skriptbasiert

Webformular: Konfiguration

Webformular: Relevante Fragen

Webformular: Sichtbarkeit bereits erfasster Daten

Weitere Informationen und Kontakt» Projekt SICIA (Security Indicators for Critical Infrastructure Analysis):» gefördert vom Bundesministerium für Bildung und Forschung mit Förderkennzeichen: 16KIS0158K» Laufzeit: 11/2014 10/2017» www.sicia-project.org» www.vdivde-it.de/kis/sichere-ikt/kritische-infrastrukturen-kritis/sicia» Projektkoordinator:» Brandenburgische Technische Universität Cottbus Senftenberg, Fachgebiet Rechnernetze und Kommunikationssysteme Prof. Dr.-Ing. habil. Hartmut König www.b-tu.de/fg-rechnernetze

Langtitel [1] Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) [2] Bundesnetzagentur: IT-Sicherheitskatalog gemäß 11 Absatz 1a EnWG [3] ISO/IEC 27001: Information technology Security techniques Information security management systems Requirements [4] ISO/IEC 27002: Information technology Security techniques Code of practice for information security management [5] ISO/IEC TR 27019: Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry [6] Bundesamt für Sicherheit in der Informationstechnik (BSI): ICS-SecurityKompendium

Vielen Dank für Ihre Aufmerksamkeit! Fragen? Anmerkungen?

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback