• Informationssicherheitsmanagement

Entscheidungen mit Weitsicht treffen – Zertifizierung, erkennen was gut ist!

Informationssicherheitsmanagement

Informationssicherheitsmanagementsystemen nach DIN EN ISO/IEC 27001
Die ISO/IEC 27001 hat sich international als Standard für Informationssicherheit in Unternehmen und Behörden etabliert. Informationssicherheit ist hierbei mehr als die reine IT: Ganzheitlich werden alle Aspekte zur Informationssicherheit betrachtet, die zum „Funktionieren" eines Unternehmens oder einer Behörde notwendig sind. Dies umfasst neben technisch-organisatorischen Maßnahmen beispielsweise auch eine Risikoanalyse, in der die jeweils relevanten Bedrohungen analysiert werden. Geprüft und zertifiziert wird dabei ein Informationssicherheits-Managementsystem (Information Security Management System – ISMS), welches prozessorientiert alle für einen ausgewiesenen Geltungsbereich einer Institution relevanten Werte zur Informationssicherheit umfasst.
Mit den heutzutage stetig zunehmenden Schnittstellen in der IT-Infrastruktur der Unternehmen steigt auch das Risiko für die Informationssicherheit durch Bedrohungen, wie z.B. Hackerangriffen, Datenverlust, Offenlegung und Missbrauch vertraulicher Informationen oder sogar terroristischen Anschlägen. Diese immer komplexeren Angriffe können von Privatpersonen, privaten Organisationen oder anderen Einrichtungen ausgehen. Führen diese Angriffe zu Datenverlust, zum Diebstahl vertraulicher Daten oder zu Schäden an wichtigen Systemen und Dokumenten, so kann dies für Unternehmen gravierende Folgen haben und u.a. Kosten und Imageschäden verursachen.
Die ISO 27001 bietet einen systematischen und strukturierten Ansatz, der Ihre vertraulichen Daten schützt, die Integrität Ihrer betrieblichen Daten sicherstellt und die Verfügbarkeit Ihrer IT-Systeme im Unternehmen erhöht.
 
 
Zertifizierung nach IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA)
Durch die fortschreitende Energiewende und die zunehmend dezentrale Stromerzeugung steigen die Anforderungen an eine sichere und zuverlässige Netzsteuerung. Die Netzsteuerung ist aufgrund der Digitalisierung der Netzleit-, und Messtechnik in hohem Maße von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Vor diesem Hintergrund veröffentlichte die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik den IT-Sicherheitskatalog.
 
Bundesnetzagentur veröffentlicht IT-Sicherheitskatalog
Am 12. August 2015 veröffentlichte die Bundesnetzagentur den IT-Sicherheitskatalog. Danach sind Netzbetreiber verpflichtet ein Informationssicherheits-Managementsystem (ISMS) einzuführen und die Anforderungen an dieses durch ein Zertifikat zu belegen. Die Bundesnetzagentur erarbeitet hierzu gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) eine entsprechende Zertifizierungsgrundlage auf Basis der ISO/IEC 27001.
 
Wichtige Fristen:
    • Energienetzbetreiber müssen die Zertifizierung bis spätestens 31. Januar 2018 erfolgreich abgeschlossen haben.
    • Energienetzbetreiber müssen der Bundesnetzagentur bis spätestens 30. November 2015 einen Ansprechpartner für IT-Sicherheit nennen.
 
Konformitätsbewertungsprogramm der BNetzA bringt weitere Klarheit
Mitte April veröffentlichte die Bundesnetzagentur das Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen. Damit wurden die Anforderungen beschrieben, deren Erfüllung eine Zertifizierungsstelle für eine Akkreditierung nachweisen muss. Allerdings finden auch Energieversorger wichtige Hinweise darin. Jetzt ist sicher: Das Zertifizierungsschema nach dem IT-Sicherheitskatalog folgt wie erwartet den Normen ISO/IEC 27001 und ISO/IEC 27019. In der Veröffentlichung werden für die Zertifizierung folgende bedeutende Konkretisierungen festgelegt:
  • Das Risikomanagement der Organisation gemäß Abschnitt 6.1.3 und 8 der DIN ISO/IEC 27001 muss auch sämtliche Maßnahmen der DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03 berücksichtigen. Das heißt, der Begriff „Anhang A“ in Abschnitt 6.1.3 ist als „Anhang A sowie sämtliche Maßnahmen der DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03“ zu verstehen.
Die in den Normen genannten Maßnahmen sind also nicht zwingend vollständig umzusetzen, aber im Rahmen des Risikomanagements vollständig auf ihre Relevanz zu prüfen.
 
Der Auditumfang
Die Anforderungen der ISO/IEC 27006 sowie der ISO/IEC 17021-1 bezüglich der Auditdauer und der Wahl von Stichproben sowie der entsprechenden DAkkS-Regeln gelten, ergänzt um die folgenden Anforderungen.
  • Nicht dauerhaft besetzte Betriebsstätten werden zu geeigneten Gruppen zusammengefasst. Dabei ist die Relevanz der Standorte für das Gesamtnetz sowie die Möglichkeit der Ferneinwirkung über IKT auf diesen Standort zu berücksichtigen.
  • Eine Betriebsstätte, die Teil des Scopes ist, gilt als Standort, wenn sie zumindest an regulären Arbeitstagen mit Personal besetzt ist.
  • Es ist zulässig, bei der Auditierung eine Stichprobe der Standorte zu wählen. Hierbei sind die Vorgaben der ISO/IEC 27006:2015 zu beachten. Zusätzlich sind im Rahmen der Audits von jeder Gruppe der nicht dauerhaft besetzten Betriebsstätten, die Teil des Scopes sind, je Zertifizierungszyklus mindestens zwei Betriebsstätten zu auditieren.
  • Ergänzend zu den Vorgaben der ISO/IEC 27006:2015 ist bei der Wahl der Stichproben darauf zu achten, dass in der Gesamtheit der Stichproben eine gute netztopologische Abdeckung erzielt wird, also auch geographisch möglichst viele Teile des Scopes berücksichtigt werden.
  • Die Gesamtheit der Stichproben richtet sich nach folgenden Formeln:Für die Auditdauer gelten die Vorgaben von Anhang B der ISO/IEC 27006:2015. Die Formel zur Ermittlung der Auditdauer gemäß ISO/IEC 27006:2015 Anhang B.3.4 ist auf die besondere Situation der Netzbetreiber hin anzupassen, wobei neben den Standorten auch die Anzahl der nicht dauerhaftbesetzten Betriebsstätten zu berücksichtigen ist. In Abweichung zu ISO/IEC 27006:2015 Anhang B.3.5 ist eine Reduzierung der Auditdauer um höchstens zehn Prozent zulässig.
    • beim Erstzertifizierungsaudit: Stichprobe = √Standorte
    • beim Rezertifizierungsaudit: Stichprobe = 0,8 * √Standorte
    • beim Überwachungsaudit: Stichprobe = 0,6 * √Standorte
 
Ausblick und Empfehlung
Energienetzbetreiber können – so nicht bereits geschehen – jetzt mit der Einführung des ISMS auf der Basis der DIN ISO/IEC 27001 und gemäß des IT-Sicherheitskatalogs loslegen. Das ist eine ressourcenintensive Aufgabe. Als Projektdauer vom Planungsstart bis zur Zertifizierung lassen sich– je nach Ausgangslage – durchschnittlich 6 bis 24 Monate veranschlagen. Wichtig: Strom- und Gasnetzbetreiber müssen das ISMS nicht nur einführen, sondern auch die Wirksamkeit der Maßnahmen bestätigen, um sie im Audit nachweisen zu können. Darüber hinaus kommt es zum Ende der Deadline bei den Zertifizierern erfahrungsgemäß zu einem Terminstau. Eine freie Terminwahl ist zu früheren Zeitpunkten besser gewährleitet. Ein frühzeitiger Projektstart ist deshalb empfehlenswert.