7. it sicherheit - gelsenwasser.plus · isms & b3s wa ... identifikation der assets /...
TRANSCRIPT
� Implementiert IT-Sicherheitsaspekte für Kritische Infrastrukturen im
� Energiewirtschaftsgesetz (EnWG) für alle Energieanlagen- und -netzbetreiber,
� Telekommunikations- (TKG) und Telemediengesetz (TMG) für die Telekommunikations-/-medienunternehmen,
� Atomgesetz (AtG) für die Betreiber nuklearer Anlagen und
� BSI-Gesetz (BSIG) für alle anderen Kritischen Infrastrukturen
� In Kraft getreten am 25.07.2015
� Erstmalige konkrete Definition der Kritischen Infrastrukturen mittels Rechtsverordnung (BSI-KritisV) gemäß § 10 (1) BSIG
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 2
IT-SicherheitIT-Sicherheitsgesetz
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 3
IT-SicherheitBSI-Kritisverordnung
� Definition Kritische Infrastrukturen in BSI-Kritisverordnung (BSI-KritisV)vom 22.04.2016
� In Kraft getreten am 03.05.2016
� ca. 2.000 Betreiber aus 8 Sektoren betroffen
� insbes. größere Infrastrukturenbzw. Ver- und Entsorger
Wasser
� Kooperatives/gemeinschaftliches Vorgehen der staatlichen (Fach-)Be-hörden (BMI mit BBK & BSI, BMWi mit BNetzA, …) zusammen mit den Unternehmen und ihren (technischen) Verbänden mit dem Ziel einer� Sicherheitspartnerschaft
� UP KRITIS – Branchenarbeitskreise Wasser/Abwasser sowie Gas und Strom (Teilnehmer neben BSI und BBK die Verbände BDEW, VKU, DVGW, DWA, VDE-FNN, … und namhafte Unternehmen der Branchen)
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 4
IT-SicherheitKRITIS & UP KRITIS
� Doppelte de-minimis-Regelung
� Kleinstunternehmen gar nicht betroffen
� Konkrete Definition der tatsächlich unter die Regelungen fallenden Kritischen Infrastrukturen erfolgt durch BSI-KritisV
� UP KRITIS – Branchenarbeitskreise Wasser/Abwasser (Teilnehmer neben BSI und BBK die Verbände BDEW, VKU, DVGW, DWA und namhafte Unternehmen der Branchen)
� Ziel: Entwicklung und Festlegung branchenspezifischer IT-Sicher-heitsstandards (B3S) gemäß § 8a (1) BSIG
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 5
IT-SicherheitWasser – BSIG & BSI-KritisV
� Keine de-minimis-Regelung für Energieanlagen-/-netzbetreiber
� Erstellung eines IT-Sicherheitskatalogs durch die Bundesnetzagentur (BNetzA) gemäß § 11 (1a) EnWG – Stand August 2015
� Kein kooperativer Ansatz, da UP KRITIS-BAK Gas bzw. Strom nur mittelbar über das Benehmen von BNetzA mit BSI beteiligt!
� Regelungen nur anzuwenden von Betreibern mit einer IT-basierten aktiven Netzsteuerung
� Einführung eines Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001
� Benennung eines IT-Sicherheitsbeauftragten
� Vorgaben bzgl. Format, Inhalt und Gestaltung der Dokumentation
� Einrichtung von Verfahren zur Meldung von IT-Sicherheitsvorfällen an BSI (und BNetzA)
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 6
IT-SicherheitEnergie – EnWG & IT-Sicherheitskatalog der BNetzA
Branchenarbeits-kreis …
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 7
IT-SicherheitEnergie – EnWG & IT-Sicherheitskatalog der BNetzA – Übersicht
KRITIS-Strategie
Nationaler Plan zum Schutz der Informationsstrukturen
IT-Sicherheitsgesetz UP KRITIS
IT-SicherheitskatalogElementeIT-Sicherheits-katalog
BNetzAerstellt
Einführung ISMS DokumentationIT-Sicherheits-beauftragten
Branchenarbeits-kreis Wasser &
Abwasser����
…
BSIG
EnWGBranchenarbeits-
kreise Gas / Strom����
� DVGW W-GTK-2-8 IT-Sicherheit
� Wasser/Abwasser
� Gemeinsamer Projektkreis DVGW/DWA
− Mit-/Zuarbeit BAK Wasser/Abwasser
− Implementierung branchenspezifischer Sicherheitsstandard (B3S) im DVGW-/DWA-Regelwerk
� Gas/Strom
� Gemeinsamer Arbeitskreis DVGW/FNN zu Erarbeitung des FNN-/DVGW-Hinweises „Informationssicherheit in der Energieversorgung“ � DVGW-Information Gas Nr. 22
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 8
IT-SicherheitUmsetzung in den Branchen
� DVGW W 1060 (M) / DWA-M 1060 „IT-Sicherheit“
� IT-Sicherheitsleitfaden
� (branchenspezifische) Regularien zur Erfüllung der Nachweispflichten aus § 8a (3) BSIG
� Der Branchenstandard kann unabhängig davon angewendet werden,ob eine Anlage „Kritische Infrastruktur“ im Sinne der BSI-KritisV ist oder nicht
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 9
IT-SicherheitB3S Wasser/Abwasser – Elemente
� Aspekt des technischen Risikomanagements gemäß DIN EN 15975-2 [DVGW W 1001 (H)]
� Enge Anlehnung an die Systematik von DVGW W 1050 (M) „Objekt-schutz von Wasserversorgungsanlagen“ in Verbindung mit DVGW-Information Wasser Nr. 80 „Leitfaden zur Erstellung eines Objektschutz-konzeptes“
� Inhalte Merkblatt:� Anwendungsbereich� Beschreibung der Grundlagen und Schutzziele� Grundzüge des Branchenstandards� Verankerung des IT-Sicherheits-Leitfadens� Managementsysteme, insbesondere ISMS� Risikoabschätzung� Maßnahmen zur Risikoverminderung� Nachweis der Wirksamkeit
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 10
IT-SicherheitB3S Wasser/Abwasser – DVGW W 1060 (M)
� In Anlehnung an AWWA-Leitfaden „Process Control System – Security Guidance for the Water Sector“
� Clusterung der IT-Anwendungen nach Anwendungsfällen (use cases)
� Auf Basis des individuellen Anwendungsfalles erfolgt die Verknüpfung mit den möglichen Gefährdungen und den resultierenden Maßnahmen zur Risikoverminderung aus den BSI-Grundschutzkatalogen & ICS-Security-Kompendium
� Inhalte IT-Sicherheitsleitfaden:� Liste der Anwendungsfälle� Gefährdungskatalog� Maßnahmenkatalog� Zuordnung Gefährdung(en) � Anwendungsfall� Zuordnung Maßnahme(n) � Anwendungsfall
� Handbuch zum IT-Sicherheitsleitfaden
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 11
IT-SicherheitB3S Wasser/Abwasser – IT-Sicherheitsleitfaden
� Insgesamt 22 Anwendungsfälle in 6 Kategorien, die die IT-System-konfigurationen/Szenarien für Anlagen der (Ab-)Wasserwirtschaft wiedergeben
� Kategorien der Anwendungsfälle:
� Organisation
� Architektur
� Netzwerkmanagement
� Benutzerzugang
� Programmzugang
� SPS/PLS Programmierung und Wartung
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 12
IT-SicherheitB3S Wasser/Abwasser – IT-Sicherheitsleitfaden
� Maßnahmenunterteilung in Basis- und Standardmaßnahmen (in Anlehnung an modernisierten IT-Grundschutz), sowie in Management-und technische Maßnahmen
� Für Kritische Infrastrukturen nach BSI-KritisV sind die Basis- (A-) und die Standardmaßnahmen (K-Maßnahmen) relevant
� Bei den Maßnahmen werden neben dem BSI IT-Grundschutz die Abschnitte im BSI ICS-Security-Kompendium und der DIN ISO/IEC 27001:2015-03 referenziert
� Die Maßnahmenliste ergibt sich entsprechend der Auswahl der Anwendungsfälle und der Priorisierung der Gefährdungen
� Maßnahmenliste ist Basis für die Umsetzung und das Audit
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 13
IT-SicherheitB3S Wasser/Abwasser – IT-Sicherheitsleitfaden
� Vorteile:
� Individuelle unternehmensspezifische IT-Anwendungsfälle ohne vertieftes Fachwissen leicht zu identifizieren
� Gefährdungen/Risiken und Schutzbedarf direkt ableitbar
� Unmittelbarer Verweis auf die Maßnahmen aus BSI-Grundschutzkatalogen & ICS-Security-Kompendium
− Stand der Technik gewährleistet
− Geringer Pflegebedarf im DVGW/DWA-Regelwerk
� Kompatibel zu den Vorgaben der DIN ISO/IEC 27001
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 14
IT-SicherheitB3S Wasser/Abwasser – IT-Sicherheitsleitfaden
� DIN ISO/IEC 27001 Informationstechnik – IT-Sicherheitsverfahren –Informationssicherheits-Managementsysteme – Anforderungen
� DIN ISO/IEC 27002 Informationstechnik – IT-Sicherheitsverfahren –Leitfaden für das Informationssicherheits-Management
� ISO/IEC TR 27019 / DIN SPEC 27009 Informationstechnik – IT-Sicher-heitsverfahren – Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage von ISO/IEC 27002
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 15
IT-SicherheitISMS – Normen
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 16
IT-SicherheitISMS & B3S WA – Gegenüberstellung der Prozessgruppen
Übergeordnetes Schutzziel:Schutz/Sicherstellung der kritischen Dienstleistung Energieversorgung.
Primäre Schutzziele:Der Schutz der informationstechnischen Systeme, Komponenten oder Prozesse verfolgt primär die allgemeinen IT-Schutzziele:• Verfügbarkeit• Integrität• Vertraulichkeit
Scope (nach IT-Si-Kat und BSIG):Alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind.
Identifikation der Assets / Netzstrukturplan:Erstellung einer Übersicht über die vom Scope betroffenen Anwendungen, Systeme und Komponenten mit den anzutreffenden Haupttechnologien und deren Verbindungen.
Risikoidentifizierung [Abschnitt 6.1.2 c)]:Auf der Grundlage des Netzstrukturplans und unter Berücksichtigung der primären Schutzziele werden die spezifischen Risiken der betroffenen Assets identifiziert.
Risikoanalyse und -bewertung [Abschnitte 6.1.2 d) + e)]:Aufbauend auf der Risikoidentifizierung erfolgt für alle Assets eine Bestimmung des Risikoniveaus (Schadensschwere & Eintrittswahrscheinlichkeit) mit anschließender Risikobewertung mit dem Ziel, die Risiken für die Risikobehandlung zu priorisieren.
Risikobehandlung/Ableitung von Maßnahmen (controls) [Abschnitt 6.1.3]:Bei der Risikobehandlung werden aus den möglichen Behandlungsoptionen durch Abgleich mit dem Maßnahmenkatalog des Anhang A und der ISO/IEC TR 27019 sinnvolle Maßnahmen abgeleitet.
Info
rmat
ions
sich
erhe
itsm
anag
emen
tsys
tem
auf
Gru
ndla
ge d
er IS
O 2
7001
Auswahl relevanter Anwendungsfälle:Auswahl der zutreffenden Anwendungsfälle aus dem Anwendungsfallkatalog, ggf. ergänzt um weitere, anlagenspezifische Anwendungsfälle.
Übergeordnetes Schutzziel:Schutz der für den Betrieb einer Anlage notwendigen oder in den Betrieb einer Anlage eingreifenden IT-Systeme der Wasserver- und Abwasserentsorgung.
Maßnahmen:Auswahl und Priorisierung der durchzuführenden Maßnahmen und Zuweisung der betroffenen IT-Systeme (Anwendungen, Infrastruktur, Komponenten…)
Anwendung der Maßnahmen:Umsetzung der identifizierten Maßnahmen auf die zugeordneten IT-Systeme.
B3S
Wasser/A
bwasser
Primäre Schutzziele:Der Schutz der informationstechnischen Systeme, Komponenten oder Prozesse verfolgt primär die allgemeinen IT-Schutzziele:• Verfügbarkeit• Integrität• Authentizität• Vertraulichkeit
Scope (nach BSIG):Alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Betrieb der relevanten Anlage(n) gem. BSI-KritisV zur Erbringung der kritischen Dienstleistung notwendig sind.
Identifikation der relevanten IT-Systeme:Erstellung einer Liste der vom Scope betroffenen IT-Systeme der Anlage(n).
Anwendung der Maßnahmen:Umsetzung der identifizierten Maßnahmen auf die zugeordneten IT-Systeme.
Mögliche zukünftige Erweiterung der Darstellung der B3S-Anwendungsfälle:Ausweisung der jeweils verfolgten spezifischen Schutzziele.
Gefährdungen (Risiken):Auswahl und Priorisierung der relevanten Gefährdungen (Risiken) auf Basis der Anwendungsfälle.
Kor
resp
ondi
eren
de P
roze
ssgr
uppe
n IS
MS
& B
3S W
A
� Einführung eines ISMS auf Basis DIN ISO/IEC 27001 bei
� GELSENWASSER AG
� GELSENWASSER Energienetze GmbH
� Westfälischen Wasser- und Umweltanalytik GmbH
� Wassergewinnung Essen GmbH
� Projektbegleitung durch Fa. Secunet, Essen
� Elemente:
� Rahmenwerk (ISMS-Politik, -Organisation, etc.)
� Ist/Soll-Abgleich ISMS-Regelwerk + Ergänzung fehlender Inhalte
� Systematische Erfassung aller IT-Assets
� Systematische Risikoanalyse und -bewertung
� Ableitung erforderlicher Sicherheits-Maßnahmen
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 17
IT-SicherheitISMS – Umsetzung bei GELSENWASSER
� Aspekte aus DIN ISO/IEC 27001 – Anhang A� Informationssicherheitsrichtlinien� Organisation der Informationssicherheit� Personalsicherheit� Verwaltung der Werte� Zugangssteuerung� Kryptographie� Physische und umgebungsbezogene Sicherheit� Betriebssicherheit� Kommunikationssicherheit� Anschaffung, Entwicklung und Instandhalten von Systemen� Lieferantenbeziehungen� Handhabung von Informationssicherheitsvorfällen� Informationssicherheitsaspekte beim Business Continuity Management� Compliance
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 18
IT-SicherheitISMS – Umsetzung bei GELSENWASSER
� Nachweisführung mittels Risikoanalyse/-bewertung, dass GWN nicht unter den IT-Sicherheitskatalog der BNetzA fällt
� Integration des B3S Wasser/Abwasser
� für Kritische Infrastrukturen Wasserwerk Haltern und nachgelagertes Rohrnetz
� Zertifizierung und Nachweisführung gemäß § 8a (3) BSIG bis Mai 2018
23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 19
IT-SicherheitISMS – Umsetzung bei GELSENWASSER
� B3S WA geeignet für alle Trinkwasserver- und Abwasserentsorgungs-unternehmen
� Einfacher Einstieg über Anwendungsfälle in Web-basiertemIT-Sicherheitsleitfaden
� B3S WA in ISMS nach DIN ISO/IEC 27001 integrierbar
23.11.2017 Wasser im Gespräch – 3. Technischer Erfahrungsaustausch Wasserversorgung 20
ZusammenfassungB3S Wasser/Abwasser
Dipl.-Ing. BergbauUwe MarquardtAssetmanagement
GELSENWASSER AGWilly-Brandt-Allee 26 � 45891 GelsenkirchenTelefon: 0209 708-699 � Telefax: 0209 708-728E-Mail: [email protected]