Informationssicherheitsmanagement in der

cronos info 37 · Mai 2015
IT-Strategie
15
Informationssicherheitsmanagement in der
Prozessdatenverarbeitung
(PDV)
Normen für die
Implementierung eines
ISMS in der PDV
n der letzten Ausgabe der
cronos info wurde bereits
vorgestellt, wie man ein
Information Security Management System (kurz: ISMS) für
eine Organisation nach ISO/IEC
27001:2013 plant und wie man
die notwendigen Aufwände abschätzen kann, die für eine organisationsspezifische Implementierung eines ISMS erforderlich
sind. Meistens werden ISMS in
Organisationen im Umfeld von
Office- und Rechenzentrumsumgebungen implementiert. Jedoch
erlaubt der Standard die Anwendung in allen Organisationen und
in nahezu allen Umgebungen.
I
Dies ist dem risikobasierten
Ansatz der ISO 27001 und der
Tatsache geschuldet, dass
die Schutzmaßnahmen aus
dem Annex A und der ISO/IEC
27002:2013 beliebig erweitert
werden können. In der Praxis
wird hiervon in den Organisationen allerdings wenig Gebrauch
gemacht. Die Anwender erwarten vielmehr, dass Maßnahmen
für ihre jeweiligen Probleme
durch die Standards selbst bereitgestellt werden, wie es z. B.
im IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik
der Fall ist.
16
IT-Strategie
Auch in der ISO-270xx-Serie gibt
es eine Vielzahl von Standards,
die bestimmte technische und
organisatorische Maßnahmen
präzisieren, wie in der folgenden
Abbildung dargestellt:
Bisweilen gibt es für eine einzelne Schutzmaßnahme aus der
ISO/IEC 27002:2013 einen vollständigen und eigenständigen
Standard oder gar eine Gruppe
von Standards.
Abb. 1: Familie der 270xx-Standards und deren Aufbau
cronos info 37 · Mai 2015
Für die PDV wurde innerhalb
von Deutschland, zusammen
mit der Energiewirtschaft, ein
weiterer Standard entwickelt,
die DIN/SPEC 27009, die jetzt
als ISO/IEC TR 27019 einen
sektorspezifischen Standard
für die PDV in der Energiewirtschaft darstellt. Parallel ist für
die gesamte Automationstechnik noch ein zusätzlicher Standard entwickelt worden, der
IEC Standard IEC 62443 Industrial communication networks
– Network and system security.
Dieser aus mehreren Teilen bestehende Standard definiert alles
– von einem Cyber-SecurityManagement-System über die
notwendigen Metriken bis hin zu
Anforderungen an die Herstellung von Komponenten für das
PDV-Umfeld.
Die sektorspezifischen Standards ergänzen die Norm ISO/
IEC 27002:2013 um bestimmte
Maßnahmen, die für ein gesondertes Geschäftsfeld bzw.
für eine bestimmte Branche
relevant sind. Hierbei werden
je nach Bedarf Teile der Schutzmaßnahmen oder ganze Bereiche ergänzt, neue Maßnahmen
hinzugefügt oder bestehende
Maßnahmen verändert.
Abb. 2: Konstruktion eines sektorspezifischen Standards
Um zu verhindern, dass zu viel
Redundanz entsteht, besteht ein
sektorspezifischer Standard zunächst immer aus dem Skelett
der ISO/IEC 27002:2013. Innerhalb dieser Rumpfstruktur werden dann die einzelnen Änderungen vorgenommen. Für die
Anwendung des Standards ist
es wichtig zu wissen, dass kein
sektorspezifischer Standard
ohne den Basisstandard ISO/IEC
27002:2013 angewendet
werden kann.
Derzeit existieren für die folgenden Branchen sektorspezifische
Standards:
Q Finanzen
Q Energie
Q Telekommunikation
Q Gesundheitswesen
Diese sind alle nach dem gleichen Schema aufgebaut und
auch in ihrer Anwendung kombinierbar. Es sei dazu angemerkt,
dass viele der sektorspezifischen Standards sich derzeit in
der Überarbeitung befinden, da
sie sich an die neuen Fassungen
cronos info 37 · Mai 2015
der ISO/IEC 27001:2013 und
ISO/IEC 27002:2013 angleichen
müssen.
Im Folgenden wird der sektorspezifische Standard zur
Prozessdatenverarbeitung im
Energiebereich vorgestellt.
Dieser befindet sich gerade
ebenfalls in Überarbeitung,
daher ist die verfügbare Version des Standards noch an der
ISO/IEC 27002:2005 orientiert,
was die Anwendung etwas
komplizierter, aber nicht signifikant schwieriger macht. Im
Anschluss daran wird noch die
Normenfamilie IEC 62443 für
die IT-Sicherheit für industrielle
Leitsysteme – Netz- und Systemschutz zusammenfassend
dargestellt und deren Integration
in ein ISMS beschrieben.
ISO/IEC TR 27019 – der Standard für den Energiesektor
Gerade im Bereich der PDV wird
häufig von den betreffenden Organisationen die Forderung nach
der Definition spezifischer Maßnahmen für die Prozessdatenverarbeitung laut. Maßnahmen
aus der ISO/IEC 27002:2013
würden nicht „nativ“ zur PDV
passen und würden somit eine
Implementation komplizierter
gestalten. Diese Einschätzung
ist bemerkenswert, da historisch gesehen der „Code of
Practice“, also die Urform der
ISO/IEC 27002, aus der produzierenden Industrie stammt
und die ISO/IEC 27001 auch auf
Bohrplattformen Anwendung
findet.
Eines der großen deutschen
Energieversorgungsunternehmen hat daher einen Leitfaden
für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC
27002 entwickelt und diesen
dann gemeinsam mit dem Institut für Normung zur Publikation
als internationaler Standard ISO/
IEC 27019 geführt.
Der Fokus dieser Norm liegt klar
bei den Energieerzeugern und
bindet die Besonderheiten des
stark regulierten Marktes ein.
17
IT-Strategie
Zudem liegt das Augenmerk
darauf, im Rahmen einer Krisensituation, verlässlich Energie
liefern zu können. So werden
unter anderem die folgenden
Asset-Kategorien eingeführt:
Q Information:
Versorgungsund Netzwerkpläne, Geoinformationen, Krisen- und Notfallpläne, Messdaten etc.
Q Software: Process-ControlSoftware, Visualisierungssysteme, Simulationssoftware,
Parametriersoftware, Verwaltungs- und Überwachungssysteme, etc.
Q Physische Komponenten:
Kontroll- und Automationssoftware, Telemetrieelemente,
Kommunikationskomponenten, digitale Schutz- und
Sicherheitssysteme etc.
Q Dienste:
Telekommunikationsservices,
Notfallkommunikation etc.
Anm.: gekürzte Liste direkt aus
der engl. Fassung von ISO/IEC
27019
Damit wird es dem Anwender
leichter gemacht, die relevanten Assets im Anwendungsbereich des Managementsystems
zu identifizieren. Das gleiche
Vorgehen wird für die Kennzeichnung von Informationen
angewendet. Dabei fallen in der
aktuellen Fassung auch viele
Anforderungen, wie z. B. die
Anforderungen an die Qualifikation des Personals für PDVSysteme und das Supplier Management, in einen Bereich, der
in der Neufassung der ISO/IEC
27001:2013 und 27002:2013
Einzug in die Kernstandards gefunden hat. Auch die ergänzten
Schutzmaßnahmen, wie die für
den Schutz eines Leitstandes,
erleichtern die Anwendung erheblich.
Insgesamt ist die ISO/IEC TR
27019 jedem zu empfehlen, der
ein ISMS, das einen Anteil von
PDV enthält, betreibt oder zu
implementieren beabsichtigt.
Zudem integriert es sich nahtlos
in ein ISMS. Für die Anwendung
des bestehenden ISO/IEC TR
27019 mit der neuen Fassung
des ISO/IEC 27002:2013 muss
jedoch darauf geachtet werden,
dass es nicht zu einem Konflikt
zwischen den Maßnahmen der
ISO/IEC TR 27019 und den neuen Schutzmaßnahmen-Versionen führt. Hier ist die Priorisierung der Kernstandards angeraten, bis eine revidierte Fassung
des ISO/IEC TR 27019 vorliegt.
Zudem wird innerhalb der IEC
62443 die Ansicht vertreten,
dass die Prioritäten von Vertraulichkeit, Integrität und Verfügbarkeit anders gewichtet werden als für allgemeine IT.
IEC 62443 – Normenfamilie für
die IT-Sicherheit für industrielle Leitsysteme – Netz- und
Systemschutz
Anders als die ISO/IEC TR
27019 richtet sich der IEC-Standard nicht nur an den Energiesektor, sondern fokussiert sich
auf alle Verteilnetze wie
Priorität
62443
27001
1
Verfügbarkeit
Vertraulichkeit
2
Integrität
Integrität
3
Vertraulichkeit
Verfügbarkeit
Q Verteilung
von Strom, Gas
und Wasser
Q Produktion von Öl und Gas
Q Transport von Gas und Flüssigkeiten
und weitere Bereiche, in denen
SCADA-Systeme zur Anwendung kommen.
In der aktuellen Fassung stellt
sich die IEC-62443-Normenfamilie von Standards wie folgt dar:
Unterschiedliche Priorisierung
von 62443 und 27001
Ob sich dies tatsächlich für
einen risikobasierten Ansatz
wie den der ISO/IEC 27001
auch sagen lässt, sei dahingestellt. Offensichtlich ist aber,
dass die Verfügbarkeit für die
IEC 62443 die höchste Priorität hat. Dies reflektiert sich
auch im Selbstverständnis des
PDV-Betriebs. Das wird im
Kontextmodell der IEC 62443
anschaulich dargestellt und ist
kompatibel zur Anwendung
der ISO/IEC 27001 gemeinsam
mit der ISO/IEC 31000 Risikomanagement. Zudem tauchen
Abb. 3: „ISA-62443 Standard Series 2012“ by Gilsinnj –
ISA99 Standards Committee
Hier wird deutlich, dass – anders
als im Ansatz der 270xx-Familie –
das Management system
nicht streng von den Maßnahmen getrennt ist, sondern
ein „schichtenbasierter“ angewendet wird.
in dem Modell aber auch Anforderungen an Komponenten
auf, die es so nicht in der Welt
der ISO/IEC 27001 gibt. Hier
setzt die Norm IEC 62443 eher
auf einen „Meet in the Middle“Ansatz.
18
Der Einsatz von Komponenten
folgt dem Modell der „Information Security Assurance“.
Hier werden Komponenten mit
Sicherheitsfunktionen ausgestattet und bewertet. So wird
die Basis des Vertrauens für den
Anwender geschaffen. Zum anderen wird, analog zur ISO/IEC
27001-Serie, ein risikobasierter
Ansatz gewählt. Hier werden,
wie allgemein üblich, Schwachstellen über Schutzmaßnahmen
Abb. 4: Kontextmodell der 62443
IT-Strategie
abgedeckt, um so das Risiko
für Assets zu minimieren. Dazu stellt die Norm in ihrem Teil
IEC 62443–1–1 Anforderungen
an das Risikomanagement, die
Bewertung von Assets und die
gängigen Bedrohungen ausführlich und erklärend dar.
In ihrem zweiten Teil beschreibt
die Norm ein Cyber-SecurityManagement-System (kurz:
CSMS), also ein ISMS für SCADA
cronos info 37 · Mai 2015
und PDV. Schon während der
Erstellung des Standards hat
man hier darauf geachtet, dass
dieses CSMS kompatibel zu einem zertifizierten ISMS ist. Für
die Anwendung mit der ISO/
IEC 27001:2013 müssen jedoch
die Unterschiede im Vokabular
berücksichtigt werden, da es
sonst zu Komplikationen in der
Implementierung führen kann.
Ist ein ISMS vorhanden, so wäre
es hier vorteilhaft, die Definitionen aus der ISO/IEC 27000 zu
benutzen und mit den Begrifflichkeiten der IEC 62443 abzugleichen.
system zu betreiben, das sowohl den Teil der allgemeinen
IT als auch den der SCADA
und PDV-Systeme betreibt.
Eine Zertifizierung ist derzeit
nur für ein ISMS nach ISO/IEC
27001:2013 möglich, wenn eine akkreditierte Zertifizierung
mit internationaler Gültigkeit
gefordert ist. Da die Norm IEC
62443 auf dem ISA99-Standard
basiert, wäre jedoch auch eine
Zertifizierung nach dem proprietären ISA-Schema möglich.
Dr. Oliver Weissmann
In der Abbildung wird bereits
deutlich, dass die Struktur der
IEC-62443-Familie sich zwar
von den ISMS-Standards der
270xx-Familie unterscheidet,
aber alle notwendigen Elemente
für ein zertifizierbares Managementsystem enthalten sind.
Einer gemeinsamen Implementation steht also nicht im Wege.
Abb. 5: : Elemente eines CSMS
Fazit: Will man ein ISMS und
ein CSMS gleichzeitig implementieren, ist der Ansatz
empfehlenswert, mit dem
ISMS zu beginnen. Gerade die
strikte Teilung zwischen dem
Managementsystem, dem
Risikomanagement und den
Maßnahmen, die ausgewählt
werden können, lässt sich besser umsetzen und auch mit anderen Managementsystemen
wie z. B. Qualitätsmanagement
und Umweltmanagement integrieren. Die Internationale Standard Organisation hat mit dem
Annex SL einen spezifischen
Rahmen geschaffen, wie Managementsysteme zu gestalten
sind, um eine Kombinierbarkeit
zu gewährleisten.
Das CSMS lässt sich dann sehr
gut in das bestehende ISMS
entweder ein- oder angliedern.
Ob das CSMS dabei ein- oder
angegliedert wird, ist eine
Frage der organisationsspezifischen Situation und Anforderungen. Beides ist grundsätzlich möglich, und eine optimale
Wahl hängt von der Komplexität
und der Organisationsstruktur
ab. Ressourcensparender ist der
Ansatz, nur ein Management-
Jahrgang: 1969
Studienabschluss/Titel: Dr.- Ing.
Studium: Studium der
Technischen Informatik an der
Universität Siegen
Werdegang: Seit 2000 Berater im
Bereich der Informationssicherheit; seit 2013 Geschäftsführer
der xiv-consult GmbH
Tätigkeitsschwerpunkte: Managementsysteme für Informationssicherheit, Risikomanagement
und Compliance, Cyber-SecurityManagement-Systeme nach IEC
62443, Co-Editor der Standards
27002:2005 und 27002:2013,
27000:2009 und 27003:2010
für die Internationale Standard
Organisation
Dr. Joachim Cramer
Jahrgang: 1963
Studienabschluss/Titel:
Dr. rer. nat., Diplom-Informatiker
Studium: Studium der Informatik
an der Universität Dortmund
Werdegang: 1988 – 1998 Entwicklungsleiter und QM-Beauftragter
in einem mittelständischen
Softwarehaus; Leiter des Arbeitskreises Software-Qualitätsmanagement im BVIT/BITKOM;
1998 – 2009 Leiter der Organisationseinheiten für IT-Strategie,
IT-Controlling, IT-PortfolioManagement, IT-Infrastruktur und
IT-Sicherheit in der CIO-Funktion
des RWE-Konzerns; seit 2009
cronos Unternehmensberatung,
Mitglied der Geschäftsleitung,
verantwortlich für die IT-Management-Beratung
Tätigkeitsschwerpunkte:
IT-Management-Beratung