IT-Sicherheit in der Energiewirtschaft

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit in der Energiewirtschaft"

Benedikt Bäcker
vor 8 Jahren
Abrufe

1 IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller

Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens Störungen und Unterbrechungen in der Versorgung beeinträchtigen nahezu alle Bereiche

2 Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens Störungen und Unterbrechungen in der Versorgung beeinträchtigen nahezu alle Bereiche des öffentlichen Lebens Grundlegend für hohe Zuverlässigkeit in der Energieversorgung ist der verlässliche und sichere Betrieb der IKT-Systeme, insbesondere in der Netzsteuerung

Bereiche des öffentlichen Lebens Grundlegend für hohe Zuverlässigkeit in der Energieversorgung

3 Ausgangssituation Ausfallrisiken in der Informationstechnologie frühzeitig erkennen und minimieren, um die IKT-Systeme vor Bedrohungen zu schützen Gesetzliche Grundlage: IT-Sicherheitsgesetz & IT-Sicherheitskatalog des Energiewirtschaftsgesetzes (EnWG) Ziel: Einführung eines zertifizierten Informationssicherheitmanagementsystems (ISMS) gemäß der nationalen und internationalen Normen ISO/IEC und ISO/IEC TR

des Energiewirtschaftsgesetzes (EnWG) Ziel: Einführung eines zertifizierten

4 Ausgangssituation Sicherheit Anforderungen ISO/IEC TR BDSG EnWG 11 EU Datenschutzrecht IT-Sicherheitskatalog BNetzA ISO/IEC IT-Sicherheitsgesetz

5 IT-Sicherheitsbeauftragter Netzplan Informationssicherheitsmanagementsystem (ISMS) Zertifizierung Ordnungsgemäßer Betrieb der IKT-Systeme Compliance 1Ist-Analyse 2Risiko-Analyse Modularer Ansatz zur Umsetzung Module zur Umsetzung der gesetzlichen Anforderungen Standardisiertes Vorgehensmodell für eine effiziente Umsetzung Hohe Anpassbarkeit an die Bedürfnisse des Unternehmens

Umsetzung 3 3 3 4 4 5 5 6 6 7 7 8 8 Module zur Umsetzung der gesetzlichen Anforderungen Standardisiertes

Modul 1 Ist-Analyse Initial-Workshop zur Ist-Analyse: Allgemeine gesetzliche und normative Anforderungen Vorstellung der relevanten Gesetze und Normen, u.a. IT-Sicherheitsgesetz, ISO/IEC 27001, ISO/IEC TR 27019, Sicherheitskatalog der BNetzA Analyse des Geltungsbereiches für die Umsetzung bzw.

6 Modul 1 Ist-Analyse Initial-Workshop zur Ist-Analyse: Allgemeine gesetzliche und normative Anforderungen Vorstellung der relevanten Gesetze und Normen, u.a. IT-Sicherheitsgesetz, ISO/IEC 27001, ISO/IEC TR 27019, Sicherheitskatalog der BNetzA Analyse des Geltungsbereiches für die Umsetzung bzw. Zertifizierung Bewertung der Auswirkungen für das Unternehmen Erarbeitung von Maßnahmenempfehlungen

Modul 2 Risiko-Analyse Definition des Schutzbedarfs Identifikation der relevanten IT-Systemkomponenten Erstellung von Schutzbedarfskategorien nach BSI IT-Grundschutz: normal Die Schadensauswirkungen

7 Modul 2 Risiko-Analyse Definition des Schutzbedarfs Identifikation der relevanten IT-Systemkomponenten Erstellung von Schutzbedarfskategorien nach BSI IT-Grundschutz: normal Die Schadensauswirkungen sind begrenzt und überschaubar hoch Die Schadensauswirkungen können beträchtlich sein sehr hoch Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen Auswahl einer geeigneten Risikomethodik Durchführung von Risiko-Bewertungen Ableitung eines Risikobehandlungsplans Risikopotenzial: Unbekannte Risiken in Websites, Applikationen, Schnittstellen etc. Hacker-Angriffe über öffentlich erreichbare Websites und IT-Dienste Ungeplante finanzielle und personelle Aufwände zur Umsetzung der gesetzlichen Vorgaben

katastrophales Ausmaß erreichen Auswahl einer geeigneten Risikomethodik Durchführung von Risiko-Bewertungen Ableitung eines Risikobehandlungsplans Risikopotenzial: Unbekannte Risiken in

Modul 3 IT-Sicherheitsbeauftragter IT-Sicherheitsbeauftragter Benennung eines IT-Sicherheitsbeauftragten als zentralen Ansprechpartner Einrichtung einer Kontaktstelle für Behörden Optional: Stellung

8 Modul 3 IT-Sicherheitsbeauftragter IT-Sicherheitsbeauftragter Benennung eines IT-Sicherheitsbeauftragten als zentralen Ansprechpartner Einrichtung einer Kontaktstelle für Behörden Optional: Stellung eines externen Sicherheitsbeauftragten Auskunftsfähigkeit gegenüber Behörden: Stand der Umsetzung des IT-Sicherheitskatalogs Sicherheitsvorfälle und daraus resultierende Auswirkungen, Ursache der Sicherheitsvorfällen sowie Maßnahmen zur Behebung und zukünftigen Vermeidung Aufbau des ISMS und Durchführung interner Audits

Auskunftsfähigkeit gegenüber Behörden: Stand der Umsetzung des IT-Sicherheitskatalogs Sicherheitsvorfälle und daraus resultierende

Modul 4 Netzplan Netzkomponenten-Analyse: Ermittlung der relevanten Komponenten im Netz für die ISO/IEC TR 27019 Abgrenzung zur übrigen IT-Infrastruktur Auflistung der

9 Modul 4 Netzplan Netzkomponenten-Analyse: Ermittlung der relevanten Komponenten im Netz für die ISO/IEC TR Abgrenzung zur übrigen IT-Infrastruktur Auflistung der Outsourcing-Partner Kennzeichnung der Outsourcing-Komponenten Benennung der Betreiber der Netzkomponenten Erstellung des Netzplanes mit allen relevanten Informationen

Outsourcing-Partner Kennzeichnung der Outsourcing-Komponenten Benennung der Betreiber

Modul 5 Informationssicherheitsmanagementsystem (ISMS) Aufbau eines ISMS, angepasst an die IT-Strategie des Unternehmens: Organisation der Informationssicherheit Kontinuierlicher Verbesserungsprozess

10 Modul 5 Informationssicherheitsmanagementsystem (ISMS) Aufbau eines ISMS, angepasst an die IT-Strategie des Unternehmens: Organisation der Informationssicherheit Kontinuierlicher Verbesserungsprozess - PDCA (Plan Do Check Act) Prozessidentifikation Erstellung einer Sicherheitsleitlinie und themenbezogener IT-Sicherheitskonzepte Management von organisationseigenen Werten Personalsicherheitskonzepte Physische und umgebungsbezogene Sicherheit Betriebs- und Kommunikationsmanagement Beschaffung, Entwicklung und Wartung von Informationssystemen Umgang Informationssicherheitsereignissen und -vorfällen

themenbezogener IT-Sicherheitskonzepte Management von organisationseigenen Werten Personalsicherheitskonzepte Physische und umgebungsbezogene Sicherheit

Modul 6 Zertifizierung Vorbereitung der Zertifizierung: Grundlagen: ISO/IEC 27001, ergänzt um ISO/IEC TR 27019 Zertifizierung durch eine kompetente, unabhängige Zertifizierungsstelle

11 Modul 6 Zertifizierung Vorbereitung der Zertifizierung: Grundlagen: ISO/IEC 27001, ergänzt um ISO/IEC TR Zertifizierung durch eine kompetente, unabhängige Zertifizierungsstelle kompetente und branchenkundige Auditoren Nutzwert der Zertifizierungen: Nachweis der Sorgfaltspflicht bei Haftungsfragen Positive Außendarstellung durch Verwendung der Zertifikate

kompetente und branchenkundige Auditoren Nutzwert der Zertifizierungen: Nachweis der

12 Modul 7 Ordnungsgemäßer Betrieb der IKT-Systeme Unterstützung der sicheren Betriebsführung Erstellung von Sicherheitskonzepten, Prozessen, Verfahren etc. für den sicheren und ordnungsgemäßen Betrieb der IKT-Systeme Umsetzung der Empfehlungen von Herstellern (Best Practices) und Sicherheitsmaßnahmen nach dem Stand der Technik Prüfung, ob alle Systemkomponenten im Netz ausreichend gegen IKTbasierte Angriffe gesichert sind durch Sicherheitsanalysen und Penetrationstests

für den sicheren und ordnungsgemäßen Betrieb der IKT-Systeme Umsetzung der Empfehlungen von Herstellern (Best Practices)

13 Modul 8 Compliance Einhaltung der Compliance-Vorgaben: IT-Sicherheitsgesetz IT-Sicherheitskatalog BNetzA gemäß 11 Absatz 1a EnWG EU-Datenschutzverordnung in Vorbereitung EU-Richtlinie zur IT-Sicherheit in Vorbereitung Weitere Relevante Gesetze und Verordnungen sowie interne Richtlinien

EU-Datenschutzverordnung in Vorbereitung EU-Richtlinie zur IT-Sicherheit

14 Vielen Dank für Ihre Aufmerksamkeit!

Ähnliche Dokumente

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie