ISO 27019 verstehen

Informationssicherheitsmanagementkontrollen für Prozesskontrollen von Energieversorgungsunternehmen

Demo buchen

mitarbeiter,arbeit,modern,studio.produktion,manager,team,arbeiten,neu,projekt.jung,geschäft

Was ist ISO/IEC 27019:2017?

ISO/IEC 27019 ist eine Reihe von Leitprinzipien für das Informationssicherheitsmanagement der Prozessleitsysteme (PCS), die im Energieversorgungssektor eingesetzt werden.

Das Hauptziel des Dokuments besteht darin, die Breite der ISO/IEC auf die Automatisierungstechnik und den PCS-Bereich zu erweitern. Dies soll eine spezifische und standardisierte Bereitstellung ermöglichen Informationssicherheits-Managementsystem (ISMS) zum Schutz der Hardware- und Software-Technologiesysteme, die für die Überwachung und Steuerung der Erzeugung, Übertragung, Speicherung und Verteilung von Öl, Gas, Strom und Wärme sowie anderen Energieversorgern verantwortlich sind.

Informationskontrollen für die Energieversorgungsbranche

Die globale Energiewirtschaft ist für einige der katastrophalsten Katastrophen verantwortlich, die die Menschheit je erlebt hat.

Beispiele für destruktiven Umgang mit Energieressourcen sind:

Es ist keine Überraschung, dass es in der Energieversorgungsbranche eine starke Kultur der Sicherheitskontrollen gibt. Dieses Ethos stammt aus der Bewusstsein für die langfristigen Auswirkungen dass einige Vorgänge und Programme schiefgehen.

Die Energieversorgungsbranche ist einer der größten Nutznießer der Automatisierung. Die meisten verwendeten Systeme basieren stark auf elektronischen PCSs wie:

  • Industrielles Internet der Dinge (IIoT)
  • Speicherprogrammierbare Steuerungen (SPS)
  • Aufsichtskontrolle und Datenerfassung (SCDA)
  • Industrielle Steuerungssysteme (ICS)

Zusammen mit anderen angeschlossenen Verfahren und Netzwerken sind diese verantwortlich für:

Kurz gesagt: Ausfälle oder Störungen in den eingesetzten elektronischen Prozessleitsystemen führen zum Ausfall des gesamten Systems.

Beispielsweise führt der Ausfall eines Monitors in einem Geothermiekraftwerk zu einer Überhitzung und im schlimmsten Fall zu einer verheerenden Explosion.

Während die ISO / IEC 27002 Obwohl Standards wichtige Richtlinien zur Kontrolle des Schutzes von Informationssicherheitsressourcen beschreiben, geht ihr Anwendungsbereich nicht tief genug auf den Schutz von Energieversorgungsprozessen ein.

Aus diesem Grund gibt es die ISO/IEC 27019:2017.

Die Geschichte von ISO 27019

ISO und IEC veröffentlichten ISO 27019 erstmals im Jahr 2013 als Technical Report (TR), der im Schnellverfahren einer DIN-Norm erstellt wurde. Im Jahr 2017 wurde eine zweite Ausgabe des Standards veröffentlicht, die ihn im Einklang mit der Version von 2013 zu einem vollständigen internationalen Standard macht ISO 27001 und ISO 27002 . Warum ist ISO 27019 so wichtig?

ISMS.online ist ein
Komplettlösung, die unsere Implementierung radikal beschleunigt hat.

Evan Harris
Gründer & COO, Peppy

Buchen Sie Ihre Demo

Mit ISMS.online gehören Herausforderungen rund um Versionskontrolle, Richtliniengenehmigung und Richtlinienfreigabe der Vergangenheit an.
Dean Fields
IT Director NHS-Profis
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Was sind die Vorteile von ISO 27019?

Ohne die Energiewirtschaft hätten wir nicht den technologischen Fortschritt, den wir heute haben. Das Herzstück des Sektors sind die elektronischen Prozessleitsysteme und Netzwerke, die dafür sorgen, dass das System funktionsfähig bleibt, ohne die es zu massiven und sogar katastrophalen Ausfällen kommen würde. Nehmen wir zum Beispiel das Stromnetz. Aufgrund der begrenzten Energiespeicherung in großem Maßstab hängt die effektive Verteilung elektrischer Energie für den privaten und industriellen Verbrauch von der Aufrechterhaltung eines Gleichgewichts zwischen der erzeugten und der verbrauchten Energie ab.

Würden die eingesetzten PCS ausfallen, gäbe es keine Möglichkeit, den Energiefluss in Echtzeit zu steuern, es käme zu Ausfällen und Überlastungen und damit zu Unterbrechungen in der Stromverteilung. Sollte die elektrische Infrastruktur eines Landes ausfallen, würde fast jeder andere Sektor diesem Beispiel folgen, da die meisten von ihnen stark auf Automatisierungstechnologie angewiesen sind.

Sie erhalten eine klare Vorstellung davon, wie wichtig ISO/IEC 27019 ist, wenn Sie die Bedrohungen, Schwachstellen und Auswirkungen von Bedrohungen auf Energieversorger berücksichtigen

Bedrohungen für Energieversorger

Zu den Bedrohungen für die Energieressourcen zählen Naturkatastrophen und vorsätzliche Sabotagen durch Social Engineers, Advanced Persistent Threats (APTs), Hacker, Insider, Terroristen, ausländische Staaten und Interessengruppen. Es gibt andere, alltäglichere Bedrohungen, beispielsweise durch elektromechanische Ausfälle, Konkurrenten, Unfälle, Malware usw.

Schwachstellen der Energiewirtschaft

Es gibt einige unvermeidbare Schwachstellen in den Prozessen und Systemen. Ein Beispiel für solche Schwachstellen sind die Prozessleitsysteme, die über das Internet und andere Netzwerke zugänglich, mit ihnen verbunden oder diesen ausgesetzt sind. Dies macht sie anfällig für eine Reihe von Cyber-Bedrohungen, einschließlich solcher, die aus Softwarefehlern und Designfehlern resultieren, die durch schlechtes Design, Management oder Wartung verursacht werden. Diese Schwachstellen treten besonders häufig auf, seit a Sicherheitspatch für sicherheitskritische Systeme könnte eine Herausforderung sein.

Die Auswirkungen von Bedrohungen auf Energieressourcen

Die Folgen des Ausfalls von Energieversorgern sind gut bekannt. Zu den schwerwiegendsten Auswirkungen gehören:

  • Das Fehlen oder die Beeinträchtigung geschäfts- und sicherheitskritischer Informationen, die wiederum zu Unterbrechungen der Stromversorgung führen würden,
  • Lieferung, die außerhalb der Spezifikation liegt; wie Unter-/Überspannung.
  • Die Freisetzung einer katastrophalen oder großen Menge an Energie- und Umweltvorfällen wie Chemikalien- und Öllecks.

Die strategische Bedeutung sowohl öffentlicher als auch privater Organisationen in der Energieversorgungsbranche hat dazu geführt, dass sie als Teil kritischer nationaler Infrastrukturen eingestuft werden. Aus diesem Grund sollten alle im Geltungsbereich der ISO/IEC 27019 erfassten Organisationen alle möglichen Maßnahmen zur Umsetzung der Norm ergreifen, um ihre eingesetzten Prozessleitsysteme abzusichern.

Beziehung zu anderen Standards

ISO hat ISO/IEC 27019 entwickelt, um sicherzustellen, dass es der Sprache von ISO/IEC 27001 und ISO 27002 entspricht. Durch die Festlegung des Standards auf diese Weise wird sichergestellt, dass Sie dies können ISO 27001 umsetzen und ISO 27002 international als anerkanntes Leitsystem zur Sicherung der in der Energieversorgungsbranche verwendeten PCSs.

ISO 27019 und ISO 27002

ISO/IEC 27019 folgt eng der Struktur von IEC 27002 und bietet bei Bedarf zusätzliche Anleitungen. Bei der Umsetzung muss eine Organisation in der Energieversorgungsbranche ISO/IEC 27019 zusammen mit ISO/IEC 27002 verwenden, da erstere nicht den Inhalt von 27002 berücksichtigt.

ISO 27019 und ISO/IEC 27001

Bei der Implementierung von ISO 27019 sollten Organisationen auch auf ISO/IEC 27001 zurückgreifen, um den breiteren Kontext für Ihr ISMS auszufüllen. Ihr System sollte nicht nur die Prozesssteuerung umfassen, sondern auch andere allgemeine kommerzielle Netzwerke, verwendete Systeme und Prozesse, die auf die Energieversorgungsbranche anwendbar sind.

Andere ISO-Standards

Sie sollten auch andere Standards berücksichtigen, wie z ISO / IEC 27005 bei der Implementierung von ISO 27019, um den von der Energieversorgungsbranche verwendeten Praktiken des Informationsrisikomanagements Rechnung zu tragen.

Erreichen Sie Ihre erste ISO 27001

Laden Sie Ihren kostenlosen Leitfaden für eine schnelle und nachhaltige Zertifizierung herunter



Sehen Sie unsere einfache, leistungsstarke Plattform in Aktion
Mehr erfahren

Wer kann ISO 27019 umsetzen?

Im Folgenden sind die spezifischen Bereiche aufgeführt, in denen die Implementierung von ISO/IEC 27019:2017-Kontrollen von entscheidender Bedeutung ist, um die Sicherheit kritischer Energieinfrastruktur zu schützen und zu gewährleisten:

  1. Zentrale und verteilte Technologie zur Verwaltung, Überwachung und Automatisierung der Betriebsprozesse und der dafür eingesetzten Informationssysteme wie Parametrierung und Programmierung.
  2. Automatisierungskomponenten und digitale Steuerungen wie speicherprogrammierbare Steuerungen (SPS) sowie Aktorelemente und digitale Sensoren.
  3. Alle anderen unterstützenden Informationssysteme, die in der Prozesssteuerung eingesetzt werden, beispielsweise solche, die die Visualisierung von Daten ergänzen und solche, die beteiligt an der Überwachung, Steuerung, historischen Protokollierung, Datenarchivierung, Dokumentation und Berichterstattung.
  4. Die im Bereich der Prozesssteuerung eingesetzten Kommunikationstechnologien wie Telemetrie, Netzwerke, Fernwirktechnik und Fernwirkanwendungen.
  5. Komponenten der Advanced Metering Infrastructure (AMI) wie Smart Meter.
  6. Die Messgeräte werden beispielsweise für Emissionswerte verwendet.
  7. Digitale Schutz- und Sicherheitssysteme wie Sicherheits-SPS, Schutzrelais und Notfallreglermechanismen.
  8. Systeme für das Energiemanagement wie Infrastruktur für elektrisches Laden, Distributed Energy Resources (DER), industrielle Kundenanlagen, Wohngebäude und sogar in Privathaushalten.
  9. Verteilte Komponenten im Smart-Grid-Umfeld z. B. in Privathaushalten, Energienetzen, industriellen Kundenanlagen und Wohngebäuden.
  10. Sämtliche Firmware, Anwendungen und Software, die auf den oben genannten Systemen installiert sind, einschließlich Outage Management Systems (OMS), Distribution Management System (DMS) usw.
  11. Alle Räumlichkeiten, in denen die oben genannten Systeme und Geräte untergebracht sind.
  12. Die Fernwartungssysteme für die oben genannten Systeme.

So implementieren Sie ISO 27019

Nach der Durchführung eines Sicherheitsbewertung und Ermittlung von Sicherheitsrisiken und Zielsetzungen und Entscheidungen zum Umgang mit dem identifizierten Risiko sollten die notwendigen Kontrollen ausgewählt und implementiert werden, um sicherzustellen, dass die Risiken auf ein akzeptables Maß reduziert werden.

Zusätzlich zu den Kontrollen, die ein umfassendes ISMS bietet, bietet ISO 27019 zusätzliche branchenspezifische Maßnahmen und Unterstützung zur Unterstützung der Prozesssteuerung in der Energieversorgungsbranche im Hinblick auf die besonderen Anforderungen der spezifischen Umgebungen. Bei Bedarf könnte eine Organisation weitere Maßnahmen ergreifen, um individuelle Anforderungen zu erfüllen.

Die Kontrollen, über die sich eine Organisation entscheidet, hängen ab von:

  • Der Risikomanagementansatz der Organisation und ihre Risikoakzeptanz
  • Weitere relevante internationale und nationale Gesetze, Verordnungen und Rechtsverordnungen

Informationssicherheit für Energieversorger

Neben den in der ISO/IEC 27002:2013 dargestellten Maßnahmen und Sicherheitsrichtlinien gelten für die Prozessleitsysteme von Energieversorgern und Energieversorgungsunternehmen zusätzliche Anforderungen. Im Vergleich zu anderen herkömmlichen IKT-Umgebungen wie Energiehandelssystemen und Büroinformationstechnologie weist der Energieversorgungssektor grundlegende Unterschiede hinsichtlich Betrieb, Entwicklung, Wartung, Reparatur und Betriebsumgebung von PCSs auf.

Da einige der in ISO/IEC 27019:2017 beschriebenen Prozessleittechnologien integrale Komponenten einiger kritischer Infrastrukturen beschreiben, sind sie daher von wesentlicher Bedeutung für die Gewährleistung eines zuverlässigen und sicheren Betriebs solcher Infrastrukturen.

Unter Berücksichtigung ihrer Funktion und ihres Designs sollten Sie die PCS des Energieversorgungssektors als Informationsverarbeitungssysteme betrachten. Mithilfe von Sensoren werden Daten über den Zustand der physikalischen Prozesse überwacht. Diese Daten werden dann verarbeitet und Steuerausgänge generiert, um die Aktionen mithilfe von Aktoren zu regeln. Obwohl der Prozess automatisch abläuft, kann das Bedienpersonal bei Bedarf manuell eingreifen.

Da Informationen und Informationsverarbeitungssysteme ein wesentlicher Bestandteil der Arbeitsweise der Energieversorger sind, müssen Organisationen wie andere Organisationseinheiten die erforderlichen Schutzmaßnahmen ergreifen, um ihre Informationen zu schützen.

Die Prozesssteuerungsumgebungen von Energieversorgern verwenden zunehmend Hardware- und Softwarekomponenten. Ein Beispiel hierfür ist programmierbare Logik, die auf Standard-IKT-Technologie basiert. Zahlreiche Zusammenhänge bilden zudem komplexe Systeme. Es wäre hilfreich, wenn Sie diese Neuheiten in Betracht ziehen würden Risiken im Rahmen einer Gefährdungsbeurteilung und die notwendigen Maßnahmen zur Behebung des Problems.

Ich würde ISMS.online auf jeden Fall empfehlen, da es die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich macht.

Peter Risdon
CISO, Lebenswichtig

Buchen Sie Ihre Demo

Sehen Sie nicht, wonach Sie suchen?
Wir können es leicht bauen.
Kontakt

Wie fange ich mit ISO 27019 an?

Um mit 27019 zu beginnen, sollten Organisationen in der Energieversorgungsbranche eine Risikobewertung ihrer Systeme durchführen, um deren Bedrohungen, Schwachstellen und mögliche Auswirkungen von Risiken zu kennen. Abhängig von der spezifischen Hardware- und Software-Automatisierungstechnologie, die die Energieversorgungsunternehmen verwenden, sollten sie die geeigneten Richtlinien und Kontrollen auswählen, um die Sicherheit ihrer Systeme zu gewährleisten.

Die Verfügbarkeit von Informationssicherheitssoftware und -tools macht es für Unternehmen einfacher, ihre Einhaltung von ISO 27019 zu bewerten. Mithilfe solcher Tools erhalten diejenigen, die mit dem Sicherheitsmanagement oder der Prozesssteuerung in der Energieversorgungsbranche befasst sind, ein klareres Bild davon, wie das geht ihre Richtlinien und Kontrollen im Vergleich zu den festgelegten ISMS-Anforderungen. Die Kenntnis der verbesserungswürdigen Bereiche ermöglicht die Anwendung entsprechender Kontrollen auf Basis der ISO 27019-Normen.

ISO Zertifizierung 27019

Um eine ISO-Zertifizierung zu erhalten, sollte eine Organisation ein bestimmtes Verfahren befolgen, um sicherzustellen, dass sie alle Risiken in Bezug auf die jeweiligen Geschäftsumgebungen berücksichtigt.

Der erste Schritt zur Erlangung der Zertifizierung besteht darin, den Kerngeschäftsprozess zu identifizieren und ihn den relevanten Mitgliedern der Organisation zu dokumentieren. In der Dokumentation sind die Vorgehensweise und die ergriffenen Maßnahmen anzugeben Schutz der verschiedenen Informationssysteme und Automatisierungstechnik.

Der nächste Schritt besteht darin, die in der Dokumentation beschriebenen Verfahren umzusetzen und sicherzustellen, dass alle Mitarbeiter für die Ausführung der von ihnen geforderten Aufgaben qualifiziert sind. Es sollte ein wirksames Berichtssystem für Tests, Inspektionen und vorbeugende Maßnahmen vorhanden sein. Korrekturmaßnahmen, statistische Techniken, Management-Review-Meetings, Überwachung von Zielen usw.

Die Wirksamkeit dieser Prozesse sollte dann sein anhand messbarer Daten überwacht werden wo möglich. Energieversorgungsunternehmen sollten dies ebenfalls durchführen notwendige Überprüfung und Systemprüfung.

Diese Audits stellen sicher, dass Sie alle in der ISO 27019 vorgeschlagenen Kontrollen und Richtlinien ordnungsgemäß umsetzen. Systemaudits sollten:

  • Identifizieren und berichten Sie über die Stärken und Schwächen des Managementsystems
  • Ergreifen Sie die erforderlichen Korrektur- oder Vorbeugungsmaßnahmen

Der letzte Schritt für Organisationen in der Energieversorgungsbranche, die eine ISO/IEC 27019-Zertifizierung erhalten möchten, besteht in der Auswahl einer unabhängigen Prüfstelle, die sich mit der externen Registrierung befasst.

Anschließend sollte die Managementsystemdokumentation zur Prüfung vorgelegt werden, um die Einhaltung der geltenden Standards sicherzustellen.

ISO 27019-Anforderungen

Zur Einhaltung von ISO/IEC 2019, Energieversorger Organisationen müssen ihre Sicherheitsanforderungen ermitteln basierend auf ihrer Automatisierungstechnik. Diese Anforderungen stammen hauptsächlich aus:

  1. Die einer Organisation Risikobewertung Ergebnisse. Sie sollten die allgemeinen Geschäftsziele und -strategien einer Organisation berücksichtigen. Risikoereignisse und -quellen sowie die Eintrittswahrscheinlichkeit und die möglichen Folgen des Auftretens eines bestimmten Risikos.
  2. Weitere Anforderungen ergeben sich aus Satzungen und Gesetzen, Verträgen und Vorschriften sowie anderen soziokulturellen Bedingungen, die eine Organisation erfüllen muss. Zu den besonderen Beispielen zählen die Gewährleistung einer zuverlässigen, sicheren und effektiven Energieversorgung sowie die Erfüllung der Anforderungen eines liberalisierten Energiemarktes.
  3. Die spezifischen Geschäftsanforderungen, Grundsätze und Ziele, die an die gestellt werden Verarbeitung von Informationen wie es vom Unternehmen zur Unterstützung seiner Geschäftstätigkeit entwickelt wurde.

Energieversorgungsunternehmen sollten sicherstellen, dass alle Sicherheitsanforderungen von PCS ordnungsgemäß analysiert und überprüft werden in ihren Informationssicherheitsrichtlinien abgedeckt sind. Zu den Überlegungen gehören unter anderem:

  • Die Einschränkung des Energieflusses
  • Es besteht die Gefahr von Körperverletzungen
  • Die Auswirkungen auf den Datenschutz
  • Finanzielle Auswirkungen

Buchen Sie Ihre Demo

Sehen Sie, wie einfach
es ist mit
ISMS.online

Buchen Sie eine maßgeschneiderte praktische Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo

Sehen Sie unsere einfache, leistungsstarke Plattform in Aktion
Buchen Sie Ihre Demo

Entdecken Sie andere Standards innerhalb der ISO 27k-Familie

  • 1Die ISO 27000-Familie
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27018

ISO 27038 »

100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung

Beginnen Sie Ihre Reise noch heute
Sehen Sie, wie wir Ihnen helfen können

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren