ISO 27001 Informationssicherheit und IT Sicherheitskatalog

Nahezu alle Bereiche unseres täglichen Lebens werden heutzutage geprägt von elektronischen Medien und Informationen. Daher ist es zwingend erforderlich, diese Informationen zu schützen. Wichtige Daten müssen vor unbefugtem Zugriff sowie vor Manipulation oder Beschädigung geschützt werden. Ebenso müssen Maßnahmen gegen einen möglichen Datenverlust getroffen werden.
 
Den heutigen und zukünftigen Anforderungen an die Informationssicherheit trägt dieses System Rechnung. Beschrieben wird der Aufbau eines Informationssicherheits-Managementsystemes von der Erfassung der sicherheitsrelevanten Geschäftswerte über die Risikenidentifikation und -Einstufung bis zur Planung und Umsetzung geeigneter Vorbeugemaßnahmen und einem kontinuierlichen Verbesserungsprozess.
 
Mit einer Zertifizierung nach ISO 27001:2013 beweisen Sie bestehenden und potentiellen Kunden, Lieferanten und Aktionären, die Integrität Ihrer Daten- und Systemsicherheit und Ihr Engagement für Informationssicherheit

Zur Durchführung von Zertifizierungsverfahren nach ISO 27001 steht Ihnen unser geschultes Fachpersonal zur Verfügung. Weltweit bieten wir Ihnen den Zugriff auf unsere lokalen Ressourcen in den jeweiligen Büros an.

Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Medien und Kultur, Stadt und Verwaltung, sowie Finanz- und Versicherungswesen müssen einen Mindeststandard an IT-Sicherheit einhalten.
 
Das am 17. Juli 2015 in Kraft getretene Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verpflichtet „Betreiber kritischer Infrastrukturen“ einen Sicherheitsstandard zu implementieren, konkret ist das IT-Sicherheitsmanagementsysteme (ISMS) nach ISO/IEC 27001 eine bewährte Lösung, wie die aktuelle Zertifizierungsnachfrage am Markt zeigt.
 
Der IT-Sicherheitskatalog für Strom- und Gasnetzbetreiber wurde seitens der Bundesnetzagentur bereits veröffentlicht. Strom- und Gasnetzbetreiber sind verpflichtet, ein Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung bis zum 31. Januar 2018 durchzuführen.
 
Für die weiteren Branchen sind die IT-Sicherheitskataloge noch in der Umsetzung. Wir unterstützen Sie bei der ISO/IEC 27001 Zertifizierung zur Einhaltung der gesetzlichen Anforderungen.

Für wen gilt der IT-Sicherheitskatalog?

Der IT-Sicherheitskatalog gilt für alle Betreiber eines Energieversorgungsnetzes in den Bereichen Strom und Gas; ausgenommen sind nur kleine Betreiber. Im Fokus stehen die TK- und IT-Systeme, die für den sicheren Netzbetrieb notwendig sind. Der Netzbetreiber bleibt verantwortlich, auch wenn er Teilaspekte als Outsourcing in Anspruch nimmt.

Welche Anforderungen sind zu beachten?

Geltungsbereich:
Der Scope muss alle Anwendungen, Systeme und Komponenten enthalten, die für einen sicheren Netzbetrieb notwendig sind. Damit sind insbesondere alle Systeme des Netzbetreibers vom Scope erfasst, welche direkt Teil der Netzsteuerung sind, d. h. unmittelbar Einfluss auf die Netzfahrweise nehmen.

ISMS:
Ein Informationssicherheits-Managementsystems (ISMS) ist einzuführen. Zu berücksichtigen ist neben der ISO/IEC 27001 die branchenspezifische Norm ISO/IEC 27019.

Risikoanalyse:

• Schutzziele: Verfügbarkeit, Integrität und Vertraulichkeit
• Schadenskategorien: „kritisch“, „hoch“, „mäßig“
• Einstufung: Komponenten, Systeme und Anwendungen, die für einen sicheren Netzbetrieb notwendig sind, als mindestens „hoch“
• Beachtung besonderer Schadensszenarien
• Netzstrukturplan: alle Anwendungen, Systeme und Komponenten des Geltungsbereiches samt Verbindungen  insbesondere „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“

Ansprechpartner IT-Sicherheit:
Der BNetzA muss ein Ansprechpartner gemeldet werden.

Auditierung und Zertifizierung:
Das ISMS muss auditiert und zertifiziert werden. Das Zertifikat muss bis zum 31.01.2018 der BNetzA übermittelt werden

Ordnungsgelder bei Nicht-Einhaltung:
Bei Verstößen gegen die Bestimmungen des neuen IT-Sicherheitsgesetzes drohen Bußgelder von bis zu 100.000,- Euro (siehe §14 BSI-Gesetz). Weitere Forderungen umfassen das Einhalten eines angemessenen IT-Sicherheitsstandards unter Einhaltung des Standes der Technik.