ISO/IEC 27019 ist eine Reihe von Leitprinzipien für das Informationssicherheitsmanagement der Prozessleitsysteme (PCS), die im Energieversorgungssektor eingesetzt werden.
Das Hauptziel des Dokuments besteht darin, die Breite der ISO/IEC auf die Automatisierungstechnik und den PCS-Bereich zu erweitern. Dies soll eine spezifische und standardisierte Bereitstellung ermöglichen Informationssicherheits-Managementsystem (ISMS) zum Schutz der Hardware- und Software-Technologiesysteme, die für die Überwachung und Steuerung der Erzeugung, Übertragung, Speicherung und Verteilung von Öl, Gas, Strom und Wärme sowie anderen Energieversorgern verantwortlich sind.
Die globale Energiewirtschaft ist für einige der katastrophalsten Katastrophen verantwortlich, die die Menschheit je erlebt hat.
Beispiele für destruktiven Umgang mit Energieressourcen sind:
Es ist keine Überraschung, dass es in der Energieversorgungsbranche eine starke Kultur der Sicherheitskontrollen gibt. Dieses Ethos stammt aus der Bewusstsein für die langfristigen Auswirkungen dass einige Vorgänge und Programme schiefgehen.
Die Energieversorgungsbranche ist einer der größten Nutznießer der Automatisierung. Die meisten verwendeten Systeme basieren stark auf elektronischen PCSs wie:
Zusammen mit anderen angeschlossenen Verfahren und Netzwerken sind diese verantwortlich für:
Kurz gesagt: Ausfälle oder Störungen in den eingesetzten elektronischen Prozessleitsystemen führen zum Ausfall des gesamten Systems.
Beispielsweise führt der Ausfall eines Monitors in einem Geothermiekraftwerk zu einer Überhitzung und im schlimmsten Fall zu einer verheerenden Explosion.
Während die ISO / IEC 27002 Obwohl Standards wichtige Richtlinien zur Kontrolle des Schutzes von Informationssicherheitsressourcen beschreiben, geht ihr Anwendungsbereich nicht tief genug auf den Schutz von Energieversorgungsprozessen ein.
Aus diesem Grund gibt es die ISO/IEC 27019:2017.
ISO und IEC veröffentlichten ISO 27019 erstmals im Jahr 2013 als Technical Report (TR), der im Schnellverfahren einer DIN-Norm erstellt wurde. Im Jahr 2017 wurde eine zweite Ausgabe des Standards veröffentlicht, die ihn im Einklang mit der Version von 2013 zu einem vollständigen internationalen Standard macht ISO 27001 und ISO 27002 . Warum ist ISO 27019 so wichtig?
ISMS.online ist ein
Komplettlösung, die unsere Implementierung radikal beschleunigt hat.
Mit ISMS.online gehören Herausforderungen rund um Versionskontrolle, Richtliniengenehmigung und Richtlinienfreigabe der Vergangenheit an.
Ohne die Energiewirtschaft hätten wir nicht den technologischen Fortschritt, den wir heute haben. Das Herzstück des Sektors sind die elektronischen Prozessleitsysteme und Netzwerke, die dafür sorgen, dass das System funktionsfähig bleibt, ohne die es zu massiven und sogar katastrophalen Ausfällen kommen würde. Nehmen wir zum Beispiel das Stromnetz. Aufgrund der begrenzten Energiespeicherung in großem Maßstab hängt die effektive Verteilung elektrischer Energie für den privaten und industriellen Verbrauch von der Aufrechterhaltung eines Gleichgewichts zwischen der erzeugten und der verbrauchten Energie ab.
Würden die eingesetzten PCS ausfallen, gäbe es keine Möglichkeit, den Energiefluss in Echtzeit zu steuern, es käme zu Ausfällen und Überlastungen und damit zu Unterbrechungen in der Stromverteilung. Sollte die elektrische Infrastruktur eines Landes ausfallen, würde fast jeder andere Sektor diesem Beispiel folgen, da die meisten von ihnen stark auf Automatisierungstechnologie angewiesen sind.
Sie erhalten eine klare Vorstellung davon, wie wichtig ISO/IEC 27019 ist, wenn Sie die Bedrohungen, Schwachstellen und Auswirkungen von Bedrohungen auf Energieversorger berücksichtigen
Bedrohungen für Energieversorger
Zu den Bedrohungen für die Energieressourcen zählen Naturkatastrophen und vorsätzliche Sabotagen durch Social Engineers, Advanced Persistent Threats (APTs), Hacker, Insider, Terroristen, ausländische Staaten und Interessengruppen. Es gibt andere, alltäglichere Bedrohungen, beispielsweise durch elektromechanische Ausfälle, Konkurrenten, Unfälle, Malware usw.
Schwachstellen der Energiewirtschaft
Es gibt einige unvermeidbare Schwachstellen in den Prozessen und Systemen. Ein Beispiel für solche Schwachstellen sind die Prozessleitsysteme, die über das Internet und andere Netzwerke zugänglich, mit ihnen verbunden oder diesen ausgesetzt sind. Dies macht sie anfällig für eine Reihe von Cyber-Bedrohungen, einschließlich solcher, die aus Softwarefehlern und Designfehlern resultieren, die durch schlechtes Design, Management oder Wartung verursacht werden. Diese Schwachstellen treten besonders häufig auf, seit a Sicherheitspatch für sicherheitskritische Systeme könnte eine Herausforderung sein.
Die Auswirkungen von Bedrohungen auf Energieressourcen
Die Folgen des Ausfalls von Energieversorgern sind gut bekannt. Zu den schwerwiegendsten Auswirkungen gehören:
Die strategische Bedeutung sowohl öffentlicher als auch privater Organisationen in der Energieversorgungsbranche hat dazu geführt, dass sie als Teil kritischer nationaler Infrastrukturen eingestuft werden. Aus diesem Grund sollten alle im Geltungsbereich der ISO/IEC 27019 erfassten Organisationen alle möglichen Maßnahmen zur Umsetzung der Norm ergreifen, um ihre eingesetzten Prozessleitsysteme abzusichern.
ISO hat ISO/IEC 27019 entwickelt, um sicherzustellen, dass es der Sprache von ISO/IEC 27001 und ISO 27002 entspricht. Durch die Festlegung des Standards auf diese Weise wird sichergestellt, dass Sie dies können ISO 27001 umsetzen und ISO 27002 international als anerkanntes Leitsystem zur Sicherung der in der Energieversorgungsbranche verwendeten PCSs.
ISO/IEC 27019 folgt eng der Struktur von IEC 27002 und bietet bei Bedarf zusätzliche Anleitungen. Bei der Umsetzung muss eine Organisation in der Energieversorgungsbranche ISO/IEC 27019 zusammen mit ISO/IEC 27002 verwenden, da erstere nicht den Inhalt von 27002 berücksichtigt.
Bei der Implementierung von ISO 27019 sollten Organisationen auch auf ISO/IEC 27001 zurückgreifen, um den breiteren Kontext für Ihr ISMS auszufüllen. Ihr System sollte nicht nur die Prozesssteuerung umfassen, sondern auch andere allgemeine kommerzielle Netzwerke, verwendete Systeme und Prozesse, die auf die Energieversorgungsbranche anwendbar sind.
Sie sollten auch andere Standards berücksichtigen, wie z ISO / IEC 27005 bei der Implementierung von ISO 27019, um den von der Energieversorgungsbranche verwendeten Praktiken des Informationsrisikomanagements Rechnung zu tragen.
Laden Sie Ihren kostenlosen Leitfaden für eine schnelle und nachhaltige Zertifizierung herunter
Wir benötigen nur ein paar Details, damit wir Ihnen Ihren Leitfaden zur erstmaligen Erreichung von ISO 27001 per E-Mail zusenden können
Laden Sie jetzt Ihren kostenlosen Leitfaden herunter und wenn Sie Fragen haben, dann Demo buchen or Kontakt. Wir helfen Ihnen gerne weiter.
Im Folgenden sind die spezifischen Bereiche aufgeführt, in denen die Implementierung von ISO/IEC 27019:2017-Kontrollen von entscheidender Bedeutung ist, um die Sicherheit kritischer Energieinfrastruktur zu schützen und zu gewährleisten:
Nach der Durchführung eines Sicherheitsbewertung und Ermittlung von Sicherheitsrisiken und Zielsetzungen und Entscheidungen zum Umgang mit dem identifizierten Risiko sollten die notwendigen Kontrollen ausgewählt und implementiert werden, um sicherzustellen, dass die Risiken auf ein akzeptables Maß reduziert werden.
Zusätzlich zu den Kontrollen, die ein umfassendes ISMS bietet, bietet ISO 27019 zusätzliche branchenspezifische Maßnahmen und Unterstützung zur Unterstützung der Prozesssteuerung in der Energieversorgungsbranche im Hinblick auf die besonderen Anforderungen der spezifischen Umgebungen. Bei Bedarf könnte eine Organisation weitere Maßnahmen ergreifen, um individuelle Anforderungen zu erfüllen.
Die Kontrollen, über die sich eine Organisation entscheidet, hängen ab von:
Neben den in der ISO/IEC 27002:2013 dargestellten Maßnahmen und Sicherheitsrichtlinien gelten für die Prozessleitsysteme von Energieversorgern und Energieversorgungsunternehmen zusätzliche Anforderungen. Im Vergleich zu anderen herkömmlichen IKT-Umgebungen wie Energiehandelssystemen und Büroinformationstechnologie weist der Energieversorgungssektor grundlegende Unterschiede hinsichtlich Betrieb, Entwicklung, Wartung, Reparatur und Betriebsumgebung von PCSs auf.
Da einige der in ISO/IEC 27019:2017 beschriebenen Prozessleittechnologien integrale Komponenten einiger kritischer Infrastrukturen beschreiben, sind sie daher von wesentlicher Bedeutung für die Gewährleistung eines zuverlässigen und sicheren Betriebs solcher Infrastrukturen.
Unter Berücksichtigung ihrer Funktion und ihres Designs sollten Sie die PCS des Energieversorgungssektors als Informationsverarbeitungssysteme betrachten. Mithilfe von Sensoren werden Daten über den Zustand der physikalischen Prozesse überwacht. Diese Daten werden dann verarbeitet und Steuerausgänge generiert, um die Aktionen mithilfe von Aktoren zu regeln. Obwohl der Prozess automatisch abläuft, kann das Bedienpersonal bei Bedarf manuell eingreifen.
Da Informationen und Informationsverarbeitungssysteme ein wesentlicher Bestandteil der Arbeitsweise der Energieversorger sind, müssen Organisationen wie andere Organisationseinheiten die erforderlichen Schutzmaßnahmen ergreifen, um ihre Informationen zu schützen.
Die Prozesssteuerungsumgebungen von Energieversorgern verwenden zunehmend Hardware- und Softwarekomponenten. Ein Beispiel hierfür ist programmierbare Logik, die auf Standard-IKT-Technologie basiert. Zahlreiche Zusammenhänge bilden zudem komplexe Systeme. Es wäre hilfreich, wenn Sie diese Neuheiten in Betracht ziehen würden Risiken im Rahmen einer Gefährdungsbeurteilung und die notwendigen Maßnahmen zur Behebung des Problems.
Ich würde ISMS.online auf jeden Fall empfehlen, da es die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich macht.
Um mit 27019 zu beginnen, sollten Organisationen in der Energieversorgungsbranche eine Risikobewertung ihrer Systeme durchführen, um deren Bedrohungen, Schwachstellen und mögliche Auswirkungen von Risiken zu kennen. Abhängig von der spezifischen Hardware- und Software-Automatisierungstechnologie, die die Energieversorgungsunternehmen verwenden, sollten sie die geeigneten Richtlinien und Kontrollen auswählen, um die Sicherheit ihrer Systeme zu gewährleisten.
Die Verfügbarkeit von Informationssicherheitssoftware und -tools macht es für Unternehmen einfacher, ihre Einhaltung von ISO 27019 zu bewerten. Mithilfe solcher Tools erhalten diejenigen, die mit dem Sicherheitsmanagement oder der Prozesssteuerung in der Energieversorgungsbranche befasst sind, ein klareres Bild davon, wie das geht ihre Richtlinien und Kontrollen im Vergleich zu den festgelegten ISMS-Anforderungen. Die Kenntnis der verbesserungswürdigen Bereiche ermöglicht die Anwendung entsprechender Kontrollen auf Basis der ISO 27019-Normen.
Um eine ISO-Zertifizierung zu erhalten, sollte eine Organisation ein bestimmtes Verfahren befolgen, um sicherzustellen, dass sie alle Risiken in Bezug auf die jeweiligen Geschäftsumgebungen berücksichtigt.
Der erste Schritt zur Erlangung der Zertifizierung besteht darin, den Kerngeschäftsprozess zu identifizieren und ihn den relevanten Mitgliedern der Organisation zu dokumentieren. In der Dokumentation sind die Vorgehensweise und die ergriffenen Maßnahmen anzugeben Schutz der verschiedenen Informationssysteme und Automatisierungstechnik.
Der nächste Schritt besteht darin, die in der Dokumentation beschriebenen Verfahren umzusetzen und sicherzustellen, dass alle Mitarbeiter für die Ausführung der von ihnen geforderten Aufgaben qualifiziert sind. Es sollte ein wirksames Berichtssystem für Tests, Inspektionen und vorbeugende Maßnahmen vorhanden sein. Korrekturmaßnahmen, statistische Techniken, Management-Review-Meetings, Überwachung von Zielen usw.
Die Wirksamkeit dieser Prozesse sollte dann sein anhand messbarer Daten überwacht werden wo möglich. Energieversorgungsunternehmen sollten dies ebenfalls durchführen notwendige Überprüfung und Systemprüfung.
Diese Audits stellen sicher, dass Sie alle in der ISO 27019 vorgeschlagenen Kontrollen und Richtlinien ordnungsgemäß umsetzen. Systemaudits sollten:
Der letzte Schritt für Organisationen in der Energieversorgungsbranche, die eine ISO/IEC 27019-Zertifizierung erhalten möchten, besteht in der Auswahl einer unabhängigen Prüfstelle, die sich mit der externen Registrierung befasst.
Anschließend sollte die Managementsystemdokumentation zur Prüfung vorgelegt werden, um die Einhaltung der geltenden Standards sicherzustellen.
Zur Einhaltung von ISO/IEC 2019, Energieversorger Organisationen müssen ihre Sicherheitsanforderungen ermitteln basierend auf ihrer Automatisierungstechnik. Diese Anforderungen stammen hauptsächlich aus:
Energieversorgungsunternehmen sollten sicherstellen, dass alle Sicherheitsanforderungen von PCS ordnungsgemäß analysiert und überprüft werden in ihren Informationssicherheitsrichtlinien abgedeckt sind. Zu den Überlegungen gehören unter anderem:
Buchen Sie eine maßgeschneiderte praktische Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.
100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung