cronos info 37 · Mai 2015 IT-Strategie 15 Informationssicherheitsmanagement in der Prozessdatenverarbeitung (PDV) Normen für die Implementierung eines ISMS in der PDV n der letzten Ausgabe der cronos info wurde bereits vorgestellt, wie man ein Information Security Management System (kurz: ISMS) für eine Organisation nach ISO/IEC 27001:2013 plant und wie man die notwendigen Aufwände abschätzen kann, die für eine organisationsspezifische Implementierung eines ISMS erforderlich sind. Meistens werden ISMS in Organisationen im Umfeld von Office- und Rechenzentrumsumgebungen implementiert. Jedoch erlaubt der Standard die Anwendung in allen Organisationen und in nahezu allen Umgebungen. I Dies ist dem risikobasierten Ansatz der ISO 27001 und der Tatsache geschuldet, dass die Schutzmaßnahmen aus dem Annex A und der ISO/IEC 27002:2013 beliebig erweitert werden können. In der Praxis wird hiervon in den Organisationen allerdings wenig Gebrauch gemacht. Die Anwender erwarten vielmehr, dass Maßnahmen für ihre jeweiligen Probleme durch die Standards selbst bereitgestellt werden, wie es z. B. im IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik der Fall ist. 16 IT-Strategie Auch in der ISO-270xx-Serie gibt es eine Vielzahl von Standards, die bestimmte technische und organisatorische Maßnahmen präzisieren, wie in der folgenden Abbildung dargestellt: Bisweilen gibt es für eine einzelne Schutzmaßnahme aus der ISO/IEC 27002:2013 einen vollständigen und eigenständigen Standard oder gar eine Gruppe von Standards. Abb. 1: Familie der 270xx-Standards und deren Aufbau cronos info 37 · Mai 2015 Für die PDV wurde innerhalb von Deutschland, zusammen mit der Energiewirtschaft, ein weiterer Standard entwickelt, die DIN/SPEC 27009, die jetzt als ISO/IEC TR 27019 einen sektorspezifischen Standard für die PDV in der Energiewirtschaft darstellt. Parallel ist für die gesamte Automationstechnik noch ein zusätzlicher Standard entwickelt worden, der IEC Standard IEC 62443 Industrial communication networks – Network and system security. Dieser aus mehreren Teilen bestehende Standard definiert alles – von einem Cyber-SecurityManagement-System über die notwendigen Metriken bis hin zu Anforderungen an die Herstellung von Komponenten für das PDV-Umfeld. Die sektorspezifischen Standards ergänzen die Norm ISO/ IEC 27002:2013 um bestimmte Maßnahmen, die für ein gesondertes Geschäftsfeld bzw. für eine bestimmte Branche relevant sind. Hierbei werden je nach Bedarf Teile der Schutzmaßnahmen oder ganze Bereiche ergänzt, neue Maßnahmen hinzugefügt oder bestehende Maßnahmen verändert. Abb. 2: Konstruktion eines sektorspezifischen Standards Um zu verhindern, dass zu viel Redundanz entsteht, besteht ein sektorspezifischer Standard zunächst immer aus dem Skelett der ISO/IEC 27002:2013. Innerhalb dieser Rumpfstruktur werden dann die einzelnen Änderungen vorgenommen. Für die Anwendung des Standards ist es wichtig zu wissen, dass kein sektorspezifischer Standard ohne den Basisstandard ISO/IEC 27002:2013 angewendet werden kann. Derzeit existieren für die folgenden Branchen sektorspezifische Standards: Q Finanzen Q Energie Q Telekommunikation Q Gesundheitswesen Diese sind alle nach dem gleichen Schema aufgebaut und auch in ihrer Anwendung kombinierbar. Es sei dazu angemerkt, dass viele der sektorspezifischen Standards sich derzeit in der Überarbeitung befinden, da sie sich an die neuen Fassungen cronos info 37 · Mai 2015 der ISO/IEC 27001:2013 und ISO/IEC 27002:2013 angleichen müssen. Im Folgenden wird der sektorspezifische Standard zur Prozessdatenverarbeitung im Energiebereich vorgestellt. Dieser befindet sich gerade ebenfalls in Überarbeitung, daher ist die verfügbare Version des Standards noch an der ISO/IEC 27002:2005 orientiert, was die Anwendung etwas komplizierter, aber nicht signifikant schwieriger macht. Im Anschluss daran wird noch die Normenfamilie IEC 62443 für die IT-Sicherheit für industrielle Leitsysteme – Netz- und Systemschutz zusammenfassend dargestellt und deren Integration in ein ISMS beschrieben. ISO/IEC TR 27019 – der Standard für den Energiesektor Gerade im Bereich der PDV wird häufig von den betreffenden Organisationen die Forderung nach der Definition spezifischer Maßnahmen für die Prozessdatenverarbeitung laut. Maßnahmen aus der ISO/IEC 27002:2013 würden nicht „nativ“ zur PDV passen und würden somit eine Implementation komplizierter gestalten. Diese Einschätzung ist bemerkenswert, da historisch gesehen der „Code of Practice“, also die Urform der ISO/IEC 27002, aus der produzierenden Industrie stammt und die ISO/IEC 27001 auch auf Bohrplattformen Anwendung findet. Eines der großen deutschen Energieversorgungsunternehmen hat daher einen Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC 27002 entwickelt und diesen dann gemeinsam mit dem Institut für Normung zur Publikation als internationaler Standard ISO/ IEC 27019 geführt. Der Fokus dieser Norm liegt klar bei den Energieerzeugern und bindet die Besonderheiten des stark regulierten Marktes ein. 17 IT-Strategie Zudem liegt das Augenmerk darauf, im Rahmen einer Krisensituation, verlässlich Energie liefern zu können. So werden unter anderem die folgenden Asset-Kategorien eingeführt: Q Information: Versorgungsund Netzwerkpläne, Geoinformationen, Krisen- und Notfallpläne, Messdaten etc. Q Software: Process-ControlSoftware, Visualisierungssysteme, Simulationssoftware, Parametriersoftware, Verwaltungs- und Überwachungssysteme, etc. Q Physische Komponenten: Kontroll- und Automationssoftware, Telemetrieelemente, Kommunikationskomponenten, digitale Schutz- und Sicherheitssysteme etc. Q Dienste: Telekommunikationsservices, Notfallkommunikation etc. Anm.: gekürzte Liste direkt aus der engl. Fassung von ISO/IEC 27019 Damit wird es dem Anwender leichter gemacht, die relevanten Assets im Anwendungsbereich des Managementsystems zu identifizieren. Das gleiche Vorgehen wird für die Kennzeichnung von Informationen angewendet. Dabei fallen in der aktuellen Fassung auch viele Anforderungen, wie z. B. die Anforderungen an die Qualifikation des Personals für PDVSysteme und das Supplier Management, in einen Bereich, der in der Neufassung der ISO/IEC 27001:2013 und 27002:2013 Einzug in die Kernstandards gefunden hat. Auch die ergänzten Schutzmaßnahmen, wie die für den Schutz eines Leitstandes, erleichtern die Anwendung erheblich. Insgesamt ist die ISO/IEC TR 27019 jedem zu empfehlen, der ein ISMS, das einen Anteil von PDV enthält, betreibt oder zu implementieren beabsichtigt. Zudem integriert es sich nahtlos in ein ISMS. Für die Anwendung des bestehenden ISO/IEC TR 27019 mit der neuen Fassung des ISO/IEC 27002:2013 muss jedoch darauf geachtet werden, dass es nicht zu einem Konflikt zwischen den Maßnahmen der ISO/IEC TR 27019 und den neuen Schutzmaßnahmen-Versionen führt. Hier ist die Priorisierung der Kernstandards angeraten, bis eine revidierte Fassung des ISO/IEC TR 27019 vorliegt. Zudem wird innerhalb der IEC 62443 die Ansicht vertreten, dass die Prioritäten von Vertraulichkeit, Integrität und Verfügbarkeit anders gewichtet werden als für allgemeine IT. IEC 62443 – Normenfamilie für die IT-Sicherheit für industrielle Leitsysteme – Netz- und Systemschutz Anders als die ISO/IEC TR 27019 richtet sich der IEC-Standard nicht nur an den Energiesektor, sondern fokussiert sich auf alle Verteilnetze wie Priorität 62443 27001 1 Verfügbarkeit Vertraulichkeit 2 Integrität Integrität 3 Vertraulichkeit Verfügbarkeit Q Verteilung von Strom, Gas und Wasser Q Produktion von Öl und Gas Q Transport von Gas und Flüssigkeiten und weitere Bereiche, in denen SCADA-Systeme zur Anwendung kommen. In der aktuellen Fassung stellt sich die IEC-62443-Normenfamilie von Standards wie folgt dar: Unterschiedliche Priorisierung von 62443 und 27001 Ob sich dies tatsächlich für einen risikobasierten Ansatz wie den der ISO/IEC 27001 auch sagen lässt, sei dahingestellt. Offensichtlich ist aber, dass die Verfügbarkeit für die IEC 62443 die höchste Priorität hat. Dies reflektiert sich auch im Selbstverständnis des PDV-Betriebs. Das wird im Kontextmodell der IEC 62443 anschaulich dargestellt und ist kompatibel zur Anwendung der ISO/IEC 27001 gemeinsam mit der ISO/IEC 31000 Risikomanagement. Zudem tauchen Abb. 3: „ISA-62443 Standard Series 2012“ by Gilsinnj – ISA99 Standards Committee Hier wird deutlich, dass – anders als im Ansatz der 270xx-Familie – das Management system nicht streng von den Maßnahmen getrennt ist, sondern ein „schichtenbasierter“ angewendet wird. in dem Modell aber auch Anforderungen an Komponenten auf, die es so nicht in der Welt der ISO/IEC 27001 gibt. Hier setzt die Norm IEC 62443 eher auf einen „Meet in the Middle“Ansatz. 18 Der Einsatz von Komponenten folgt dem Modell der „Information Security Assurance“. Hier werden Komponenten mit Sicherheitsfunktionen ausgestattet und bewertet. So wird die Basis des Vertrauens für den Anwender geschaffen. Zum anderen wird, analog zur ISO/IEC 27001-Serie, ein risikobasierter Ansatz gewählt. Hier werden, wie allgemein üblich, Schwachstellen über Schutzmaßnahmen Abb. 4: Kontextmodell der 62443 IT-Strategie abgedeckt, um so das Risiko für Assets zu minimieren. Dazu stellt die Norm in ihrem Teil IEC 62443–1–1 Anforderungen an das Risikomanagement, die Bewertung von Assets und die gängigen Bedrohungen ausführlich und erklärend dar. In ihrem zweiten Teil beschreibt die Norm ein Cyber-SecurityManagement-System (kurz: CSMS), also ein ISMS für SCADA cronos info 37 · Mai 2015 und PDV. Schon während der Erstellung des Standards hat man hier darauf geachtet, dass dieses CSMS kompatibel zu einem zertifizierten ISMS ist. Für die Anwendung mit der ISO/ IEC 27001:2013 müssen jedoch die Unterschiede im Vokabular berücksichtigt werden, da es sonst zu Komplikationen in der Implementierung führen kann. Ist ein ISMS vorhanden, so wäre es hier vorteilhaft, die Definitionen aus der ISO/IEC 27000 zu benutzen und mit den Begrifflichkeiten der IEC 62443 abzugleichen. system zu betreiben, das sowohl den Teil der allgemeinen IT als auch den der SCADA und PDV-Systeme betreibt. Eine Zertifizierung ist derzeit nur für ein ISMS nach ISO/IEC 27001:2013 möglich, wenn eine akkreditierte Zertifizierung mit internationaler Gültigkeit gefordert ist. Da die Norm IEC 62443 auf dem ISA99-Standard basiert, wäre jedoch auch eine Zertifizierung nach dem proprietären ISA-Schema möglich. Dr. Oliver Weissmann In der Abbildung wird bereits deutlich, dass die Struktur der IEC-62443-Familie sich zwar von den ISMS-Standards der 270xx-Familie unterscheidet, aber alle notwendigen Elemente für ein zertifizierbares Managementsystem enthalten sind. Einer gemeinsamen Implementation steht also nicht im Wege. Abb. 5: : Elemente eines CSMS Fazit: Will man ein ISMS und ein CSMS gleichzeitig implementieren, ist der Ansatz empfehlenswert, mit dem ISMS zu beginnen. Gerade die strikte Teilung zwischen dem Managementsystem, dem Risikomanagement und den Maßnahmen, die ausgewählt werden können, lässt sich besser umsetzen und auch mit anderen Managementsystemen wie z. B. Qualitätsmanagement und Umweltmanagement integrieren. Die Internationale Standard Organisation hat mit dem Annex SL einen spezifischen Rahmen geschaffen, wie Managementsysteme zu gestalten sind, um eine Kombinierbarkeit zu gewährleisten. Das CSMS lässt sich dann sehr gut in das bestehende ISMS entweder ein- oder angliedern. Ob das CSMS dabei ein- oder angegliedert wird, ist eine Frage der organisationsspezifischen Situation und Anforderungen. Beides ist grundsätzlich möglich, und eine optimale Wahl hängt von der Komplexität und der Organisationsstruktur ab. Ressourcensparender ist der Ansatz, nur ein Management- Jahrgang: 1969 Studienabschluss/Titel: Dr.- Ing. Studium: Studium der Technischen Informatik an der Universität Siegen Werdegang: Seit 2000 Berater im Bereich der Informationssicherheit; seit 2013 Geschäftsführer der xiv-consult GmbH Tätigkeitsschwerpunkte: Managementsysteme für Informationssicherheit, Risikomanagement und Compliance, Cyber-SecurityManagement-Systeme nach IEC 62443, Co-Editor der Standards 27002:2005 und 27002:2013, 27000:2009 und 27003:2010 für die Internationale Standard Organisation Dr. Joachim Cramer Jahrgang: 1963 Studienabschluss/Titel: Dr. rer. nat., Diplom-Informatiker Studium: Studium der Informatik an der Universität Dortmund Werdegang: 1988 – 1998 Entwicklungsleiter und QM-Beauftragter in einem mittelständischen Softwarehaus; Leiter des Arbeitskreises Software-Qualitätsmanagement im BVIT/BITKOM; 1998 – 2009 Leiter der Organisationseinheiten für IT-Strategie, IT-Controlling, IT-PortfolioManagement, IT-Infrastruktur und IT-Sicherheit in der CIO-Funktion des RWE-Konzerns; seit 2009 cronos Unternehmensberatung, Mitglied der Geschäftsleitung, verantwortlich für die IT-Management-Beratung Tätigkeitsschwerpunkte: IT-Management-Beratung
© Copyright 2025 ExpyDoc