Organisatorische Maßnahmen zur Einführung eines ISMS nach den Regeln des BNetzA IT-Sicherheitskatalogs
RWE Deutschland AG Rolf-Dieter Kasper
Peter Thanisch
DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 3. FEBRUAR 2016
Agenda
Stand der Revision der ISO/IEC TR 27019
Erfahrungen aus der ISMS Implementierung bei RWE Deutschland AG
Vorstellung des gemeinsamen Hinweises von FNN und DVGW zur Implementierung eines ISMS für Energie-Netzbetreiber
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 2
Revision der ISO/IEC TR 27019
Aktuell liegt der 2. Working Draft der ISO/IEC TR 27019 zur Diskussion auf der nächsten Sitzung der SC 27 im April vor
Die Anpassung an die aktuellen Fassungen der ISO/IEC 27001 und 27002 sind erfolgt
Der Type Change vom Technical Report (TR) zum International Standard (IS) wurde im Januar vom ISO/IEC JTC1 genehmigt
Die neue Fassung der ISO/IEC 27019, die dann auch International nach ISO/IEC 27009 branchenspezifisch zertifiziert werden kann, wird Ende 2017 oder 2018 herauskommen. Die deutsche Fassung rund ein Jahr später.
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 3
ISMS Aktivitäten im Konzernumfeld der RWE
2006-2008: Pilotprojekt zum Aufbau eines ISMS in den Gesellschaften RWE Rhein-Ruhr, Westfalen-Weser-Ems (heute Westnetz), TSO Strom (heute AMPRION) und TSO Gas (heute Thyssengas) für Bereiche Nachrichtentechnik, Schutz- und Leittechnik
September 2008: Beschluss der RWE Energy zur Einführung eines ISMS im PDV-Bereich für alle inländischen und ausländischen Regionalgesellschaften • Aufbau eigenständiger ISMS in den REGs auf Basis der ISO 27001 • Jährlicher umfassender Sicherheitsbericht
Februar 2010: Beschluss der RWE AG, dass alle Konzerntöchter ein ISMS auf Basis der ISO 27001 für alle Bereiche einführen
Überarbeiten der ISMS-Prozesse in den Netzgesellschaften der RWE Deutschland ab Mitte 2014 im Hinblick auf eine Zertifizierung
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 4
Implementierung der ISMS Prozesse und Unterstützung durch das Management
Eine ISMS nach den gesetzlichen Anforderungen erfordert einen erheblichen Aufwand • an Personalressourcen in den betroffenen Bereichen • für die Ausbildung der eigenen Fachleute • für externe Unterstützung − beim ISMS Aufbau und Audits − und die Erarbeitung von Sicherheitskonzepten
Die Managementunterstützung wird benötigt • für den Aufbau und Betrieb der ISMS-Organisation und
ihrer Gremien • für das ausgestalten Arbeitsprozessen nach den
Maßgaben des Standards • Für die benötigte Dokumentation und für den
Verbesserungsprozess auf Grundlage des Reportings
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 5
Feinjustierung des Scopes und Aufbau des ISMS-Asset-Registers
Der ISMS-Scope muss alle IT Systeme enthalten die für den „sicheren Netzbetrieb“ notwendig sind.
Im wesentlichen sind das die zentrale und dezentrale Leittechnik, Schutzsysteme und die Nachrichtentechnik (Prozess-TK)
Es gibt aber heute eine Anzahl von IT-Systemen bei den Netzbetreibers, die sind ja nach den Arbeitsprozessen (z.B. Workforce-Management) bei einem Unternehmen mit im Scope liegen und bei einem anderen nicht.
Der zu zertifizierenden ISMS-Scope ist so zuzuschneiden, dass er mindestens die „notwendigen“ IT-Systeme enthält.
Um keine Sicherheitslücken zuzulassen, werden allen anderen IT-Systeme durch einen erweiterten ISMS-Scope adressiert, der nicht zertifiziert werden muss.
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 6
Risiko-Management im ISMS
Das Risiko-Management eines ISMS basiert auf den Information-Assets im ISMS-Asset-Register
Man kann bei den ISMS-Assets technische Systeme, Informationen und Prozesse geeignet zusammen-fassen und so die Anzahl der im Risiko-Management zu behandelnden Objekte zu beherrschen
Konzentriert man allerdings zu stark, bekommt man bei der Durchführung der Risikoanalyse so viele mögliche Einflussfaktoren, dass die Nachvollzieh-barkeit der Ergebnisse sehr schwierig wird
Es ist hilfreich sich vor der Durchführung der RAs die wichtigsten Bedrohungen und Schwachstellen der Assets im Scope zusammenzustellen (z.B. ENISA Papier) und die Maßnahmen (Controls) des Standards zuzuordnen. Die RAs können durch dieses systematische Vorgehen einfacher erstellt werden
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 7
Implementierung der Informationssicherheitsmaßnahmen Baseline-Maßmaßnamen und spezielle Regelungen
Es ist hilfreich grundsätzliche Sicherheitsregelungen in einer Baseline Policy für Prozessanwendungen festzulegen. Diese Regeln gelten für den gesamten Scope und sind immer anzuwenden
Zur besseren Akzeptanz können die Policys in die bestehenden Planungs- und Betriebsgrundsätze z.B. der Leittechnik oder Nachrichtentechnik integriert werden, statt diese Regelwerke parallel zu führen
In diesem Kontext sollten auch die wesentlichen sicherheitsrelevanten Arbeitsprozesse wie Incident-, Change-, und Business-Continuity-Management und die ISMS-Prozesse selbst festgelegt werden
Die Sicherheit spezieller Systeme kann in unterlagerten Betriebskonzepten für die jeweiligen Systeme passend geregelt werden
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 8
Einführung von Standard-Betriebsprozessen für Incident-, Change- Key-, und BCM-Management
Die Anforderungen aus dem ISMS für diese Standard-Betriebsprozesse sind meist deutlich formaler, zuverlässiger einzuhalten und stringenter zu dokumentieren, als das bisher im Betrieb üblich war
Bei knappen Ressourcen diese Anforderungen in den Fachabteilungen umzusetzen, ist meist die größte Herausforderung für die betroffenen Fachbereiche und am langwierigsten
Es hat sich bewährt zunächst mit einfachen Strukturen zeitnah zu beginnen, statt nach langem planen den perfekten Prozess nicht ungesetzt zu haben
Von Anfang an sollte die kritischen Parameter und die Ergebnisse der Prozesse ausgewertet werden, um damit einen Verbesserungsprozess aufzusetzen
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 9
Implementierung eines Meldeprozesses nach IT-SIG bzw. BNetzA SIKAT
Ansprechpartner zur BNetzA: Den RWE Netzbetreibern hat der ISMS LK der RWE Deutschland empfohlen, die für den Energienetzbetrieb oder für die Netzführung verantwortliche Führungskraft zu benennen
Rückfallebene ist die 7x24h verfügbare Netzführungsstelle bzw. Schaltleitung, die bei Rückfragen der BNetzA auf die Managementbereitschaft zurückgreifen kann
IT-Störungen mit Beeinträchtigung der Versorgung werden vom benannten Ansprechpartner direkt zum BSI übermittelt
Wesentliche IT-Störungen ohne Beeinträchtigung (Katalog!) der Versorgung werden von der ISMS-Organisation über einen Anonymisierer beim BDEW übermittelt (soll ab April laufen)
Die Aktualisierung der Meldungen erfolgt über die ISMS-Organisation
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 10
Das Messen der Sicherheitsleistung der ISMS-Prozesse und der Informationssicherheitsprozesse
ISO/IEC 27001:2013, Kapitel 9 Bewertung der Leistung: • Die Organisation muss die Informationssicherheitsleistung
und die Wirksamkeit des ISMS bewerten… • Die Organisation muss bestimmen: … die Methoden zur
Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen
Einsatz eines ein prozessorientiertes Messverfahren sowohl für die Managementprozesse des ISMS als auch für die Informationssicherheitsprozesse (Annex A der 27001)
Alle umgesetzten Sicherheitsmaßnahmen werden für jeweils ein Jahr auf die Informationssicherheits-prozesse gemappt, so das vom ISMS-Scope und von der Größe des ISMS unabhängige und vergleichbare ISMS-Kennzahlen ermittelt werden können
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 11
Audits, Audits, Audits…
Neben den Zertifizierung-Audit und den jährlichen Über-wachungsaudit sind interne Audits sowohl der technischen Systeme als auch der Organisation Pflicht im ISMS
Die Ergebnisse dienen dazu ein realistisches Bild der Absicherung der eigenen Systeme bzw. der Robustheit der Arbeitsprozesse unter Berücksichtigung der aktuellen Bedrohungslage zu erhalten
Zum Auditumfang gehört auch die Überprüfung von internen und externen Dienstleistern auf Einhaltung des vertraglich vereinbarten Sicherheitsniveaus
Da der Auditor zumeist nicht beurteilen kann, in wie weit gefundene Schwachpunkte auch Risiken darstellen, sind anhand der Ergebnisse der Audits die Risikoanalysen der betroffenen ISMS-Assets zur überarbeiten und die vorhandenen Maßnahmen nachzuschärfen
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 12
Dokumentation und Reporting an das Management
Beim ISMS wird auf eine systematische und vollständige Dokumentation großen Wert gelegt. Es ist eine Dokumentenlenkung einzuführen und zu pflegen die den Anforderungen aus dem Standard gerecht wird
Das benötigte Regelwerk der Organisationen und die Betriebs-Dokumentation der Systeme und Anlagen im ISMS-Scope sollte sauber strukturiert und nachvollziehbar sein
Das Management muss das ISMS der Organisation in planmäßigen Abständen prüfen, um sicherzustellen, dass es nach wie vor geeignet, angemessen und wirksam ist
Das kann zum Beispiel in einem detaillierten (keine Ampeln!) Sicherheitsbericht über alle wesentlichen Aspekte des ISMS geschehen, der mit dem Management diskutiert und von ihm genehmigt wird
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 13
Zusammenfassung
Mit dem IT-SIG und den Sicherheitskatalog der BNetzA wurden alle Energienetzbetreiber verpflichtet ein ISMS für ihre Kommunikations- und Steuerungstechnik einzuführen
Das ISMS basiert auf der internationalen ISO/IEC 27000er Reihe, die vom Aufbau her grundsätzlich geeignet ist in allen Bereichen eines Unternehmens IT-Funktionen zu sichern
Speziell für den Energiesektor wurde die fachspezifischen Besonderheiten in der ISO/IEC TR 27019 berücksichtigt, um so ein durchgängiges Sicherheitskonzept in allen Unternehmensbereichen umsetzen zu können
Die Kollegen von DVGW und FNN haben sich ausführlich mit der Umsetzung der gesetzlichen Anforderungen bei Energienetzbetreibern auseinandergesetzt und dazu ein Papier erarbeitet, dass mein Kollege Peter Thanisch jetzt vorstellt
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 14
Ziele und Aufgaben der Arbeitsgruppen „IT-Sicherheit“ im FNN und DVGW
Zielsetzung der IT-Sicherheitsarbeitsgruppen im FNN und DVGW: • Unterstützung der Netzbetreiber bei der Orientierung in
bestehenden gesetzlichen und normativen Vorgaben zur Informationssicherheit.
Bisher erreichte Ergebnisse der PG: • Erarbeitung FNN-Hinweis „IT-Sicherheit in Stromnetzen“ • Abstimmung und Kommentierung zum
Gesetzentwurf „IT-SIG“
Weitere Ausgestaltung: • Kooperation mit dem DVGW (Sparte Gas) • Weiterentwicklung FNN-Hinweis (z.B.
Implementierungshinweise) • Mitwirkung bei der Ausprägung von Branchenstandards
(entsprechend IT-SIG)
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 15
Gemeinsamer Hinweis des FNN und DVGW zur Implementierung eines ISMS für Energie-Netzbetreiber
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 16
Erstmals spartenübergreifender Hinweis von FNN und DVGW hilft besonders Mehrsparten-unternehmen
Der Hinweis beschreibt die aktuellen Regelungen und gibt Hilfestellungen zur gesetzeskonformen Implementierung eines Informationssicherheits-Managementsystems (ISMS)
Er unterstützt die rechtlichen Einordnung aller bereits bestehenden relevanten Gesetze und Verordnungen wie z.B. das IT Sicherheitsgesetz, die ISO/IEC 27000er Reihe, das BDEW Whitepaper usw.
Der Hinweis ist z.Z. in der Freigabephase und wird zeitnah erscheinen
Quelle: ... Fußnote: ...
Rechtliche Rahmenbedingungen Darstellung Regelhierachie
Komplexe, vielschichtige rechtliche Rahmenbedingungen für alle Netzbetreiber
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 17
Aufbau des Dokuments Hilfestellung zur Umsetzung
Im ersten Teil des Dokumentes befinden sich die Beschreibungen der gesetzlichen Vorgaben und Standards eine Zusammenfassung der Anforderungen an ein ISMS für Prozess-IT sowie ein beschriebenes Vorgehensmodel für eine Umsetzung eines ISMS lt. IT-Sikat (BNetzA)
Im Anhang befinden sich diverse Checklisten, die die Netzbetreiber bei der Umsetzung unterstützen: • Checkliste für die Vorbereitung der ISMS Einführung • Dokumentationsanforderungen eines ISMS • Ermittlung der Ist-Situation im Unternehmen und möglicher
Anpassungsbedarf für ein ISMS nach den gesetzlichen Regeln
Durch Anwendung der Checklisten gewinnt der Anwender anhand einfacher Fragen einen Überblick über den aktuellen Umsetzungsstand der Sicherheitsmaßnahmen im Unternehmen
03.02.2016 DKE FACHTAGUNG „IT-Security in der Praxis der Netz- und Stationsleittechnik“ 18
Vielen Dank für Ihre Aufmerksamkeit
DKE – Die Kraft der Normung
Ihre Ansprechpartner: Rolf-Dieter Kasper RWE Deutschland AG Netztechnik und Security Kruppstr. 5, 45128 Essen Phone: +49 (0) 201 12 29386 [email protected]
Peter Thanisch RWE Deutschland AG Prozesse, Daten und Systeme Kruppstr. 5, 45128 Essen Phone: +49 (0) 201 12 22117 [email protected]
