Von ISO 27001 zum NIS-Gesetz Ein Praxisbericht - CIS-CERt
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Von ISO 27001 zum NIS-Gesetz Ein Praxisbericht Walter Fraißler Wien, 8. September 2021 © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit
Agenda • Wer ist VERBUND? • Die Treiber für Informationssicherheit und Cyber Security • Die Entwicklung – international und Branchen • Von der ISO-Zertifizierung zu den NIS-Nachweisen: Scope, Betroffenheit, Anwendbarkeit • Synergien und Zusatzaufwand • Zusammenfassung und Ausblick © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 2
VERBUND auf einen Blick
129 Wasserkraftwerke von VERBUND mit
über 8.200 MW Engpassleistung.
Im März 2020 wurde Bis zu1/4 der Gesamterzeugung
die Kohleverstromung soll bis 2030 aus
im Fernheizkraftwerk Mellach Sonnen- und Windkraft kommen.
eingestellt.
Rund 3.400 Mehr als 500.000
Kilometer Trassenlänge hat das Privatkunden setzten 2020 auf
überregionale Stromnetz der APG. VERBUND.
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 3
VERBUND-Strategie 2030
Effiziente Wasserkrafterzeugung Neue Erneuerbare Erzeugung
Substanzerhalt der bestehenden Treiber von Langfristiger und wirtschaftlicher Aufbau
Wasserkrafterzeugung und Optimierung von rd. 20–25 % der Gesamterzeugung von
des flexiblen Erzeugungsportfolios sowie Sektorenkopplung, VERBUND aus Onshore-Windkraftanlagen
Nutzung der noch vorhandenen Flexibilitäts- und und Photovoltaik als Beitrag zur
Wasserkraftpotenziale. Kundenlösungen zur Dekarbonisierung.
Systemintegration und
Sicherer Netzbetrieb als Katalysator der Kundenorientierte Lösungen
Nachhaltiger Ausbau des Übertragungs- Energiezukunft Innovativer Partner für Kunden im
netzes als Grundlage einer sicheren Energiebereich und Entwicklung nachhaltiger
Betriebsführung und eines liquiden
in Österreich Lösungen mit alternativen Energieträgern
Strommarktes in Österreich und Europa. und neuen Speichern.
Versorgungssicherheit
Aufrechterhaltung der
Versorgungssicherheit durch Einsatz der
bestehenden flexiblen Gaskraftwerke.
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 4
VERBUND im Kontext von NIS
VERBUND ist eines der
wertvollsten Unternehmen
in Österreich.
Große Teile von
VERBUND stellen
„Kritische Infrastruktur“ dar
oder sind Betreiber
„wesentlicher Dienste“
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 5
Cyber-Angriffe, regulatorische Anforderungen und Kundenbedürfnisse
bleiben die permanenten Treiber in der Security
Zunehmende Anzahl von Zunahme der Business-Anforderungen
Security Incidents, auch im Anstieg der
durch Markt- und Kundenbedürfnisse
Energiesektor regulatorischen Anforderungen
(Cloud!) und weitere Automatisierung
Die stetig steigende Anzahl von Security Die regulatorischen Anforderungen und VERBUND wird von den Geschäfts-
Incidents, vor allem mit Fokus auf die Bemühungen der Aufsichtsbehörden sind anforderungen der Branche und der
Ausnützung von Altlasten und ungepatchten in den vergangenen Jahren sowohl im Kunden kontinuierlich gefordert und
Systemen in der Industrie, machen die Umfang als auch in der Komplexität angetrieben, etwa in der weiteren
Arbeit der Information Security in den wesentlich angestiegen. Dabei fokussieren Vernetzung und Automatisierung der
Bereichen OT und IT umso wichtiger. sie sich nun vor allem auf die Effektivität Anlagen. Dies und der zusätzliche Shift von
der Security (NIS und voraussichtlich noch Anwendungen in die Cloud erfordern eine
stärker NIS-2). verstärkte Aufmerksamkeit der Information
Security.
Regulierung ist nur ein Aspekt.
Umso wichtiger ist es, die Effektivität der Informationssicherheit sicherzustellen und kontinuierlich zu verbessern.
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 6
Zeitliche Entwicklung: Die NIS-Regulierung kam nicht „über Nacht“
Richtlinien, Gesetze und Verordnungen
Frist Vorschlag
Vorschlag NIS-Richtlinie Inkrafttreten
Umsetzung NIS-2
IT-Sicherheitsgesetz Kritis-VO Energie Nachweise
NIS-Gesetz NIS-V Bescheide Identifikation
Branche und Unternehmen
Risikoanalyse Strom RA Strom 2.0 RA Strom & Gas 3.0 RA 4.0
Übung Cyber Europe Energy
Probe- Basis-
Projekt E-CERT Aufbau Vollbetrieb
betrieb betrieb
Projekt Pen-Test
Masterplan InfoSec
ISMS / DSMS Maßnahmen
Zertifizierung Zertifizierung Überwach.- Rezertifizierung
Deutschland Österreich Audit NIS-Nachweise
2013 2014 2015 2016 2017 2018 2019 2020 2021
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 7
Der Weg von der ISMS-Einführung bis zu den NIS-Nachweisen
Q4 2021
Vollständiger
Q2+Q3 2021 Bericht zur Nach-
weiserbringung
Durchführung ISO
Q1/2021 27001 inkl NIS-
nach NIS-G liegt vor
Detailplanung Prüfung Interne Evaluierung
Erneuerungs-Audit und Entscheidung
2019+2020 ISO erstmalige
Möglichst Nutzung
von Synergien
Scope- Erbringung der NIS- durch ISO und NIS
2018 Erweiterungen Nachweise gemeinsam
ISO 27001 – ISO-Zertifizierung Erschwernis und Gute Vorbereitung
2017 Zertifizierung für Österreich und Verschiebungen der zusätzlichen
Überwachungs- durch Restriktionen NIS-Prüfungen auf
Einführung ISMS Vorbereitung NIS Audits aus Covid-19 Wirksamkeit
nach ISO 27001 Betroffenheit-
Scoping Erschwernis durch
Erweiterung und Covid-19
Standardisierung Klärung: KritIs in
des schon lange Deutschland? Vorbereitung NIS,
bestehenden ISMS. z.B. Überprüfung
ISO-Zertifizierung des Scope
„Synchronisierung“ für Deutschland
mit der Professio- Grobplanung für die
nalisierung des Erweiterung von
Datenschutzes ISO auf NIS
gemäß DSGVO.
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 8Bestimmung des Geltungsbereichs für die NISG-Prüfung • Die NISV legt näheren Regelungen (z.B. Schwellwerte pro Sektor) für die Identifikation von “Betreibern wesentlicher Dienste” (BwD) fest. • Eine Betroffenheitsanalyse identifiziert Anlagen und IT/OT-Systeme, die der BwD für die Bereitstellung des wesentlichen Dienstes nutzt. • Die betroffenen IT/OT-Systeme und die jeweiligen Betreiber sind im Geltungsbereich der NISG- Prüfungen durch eine „Qualifizierte Stelle“ (QuaSte, festgestellt durch BMI/BVT). • Die zweckmäßiger Definition bzw. Anpassung des ISMS Geltungsbereichs ist essenziell für die Hebung von Synergien zwischen einem ISMS und der Umsetzung von NISV-Sicherheitsvorkehrungen. © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 9
Unterschiede in den Geltungsbereichen von ISMS und NIS-G
Geltungsbereich in der ISO/IEC 27001 Anwendungsbereich NIS-G
Informationssicherheit einer Organisation NIS-Sicherheit eines „Betreibers wesentlicher Dienste“
• Der Geltungsbereich wird durch die Verwendung von • Der technische Geltungsbereich umfasst jene Netz-
externen Informationssystemen nicht erweitert, sondern und Informationssysteme, die der Betreiber eines
es entstehen ISMS-Schnittstellen. wesentlichen Dienstes für die Bereitstellung dieses
wesentlichen Dienstes nutzt.
• ISO 27001 zertifiziert daher kein bestimmtes
Informationssystem sondern ein ISMS. • Dies kann den Geltungsbereich im Vergleich zum ISMS
einer Organisation deutlich erweitern: alle wesentlichen
ISMS
Provider müssen im Anwendungsbereich des NIS-G
sein.
• Der Anwendungsbereich des NIS-G muss aber nicht den
gesamten Geltungsbereich des vorhandenen ISMS
umfassen.
NIS-G
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 10Beispiel: Geltungsbereiche ISMS vs. NISG in einem Konzernumfeld
Konzernebene
Konzern-
Personal Einkauf Konzern IT Recht Etc. ISMS
Tochter A GmbH Tochter B
Interner IT Interner Interner
Betreiber i.S.d. NISG GmbH
Service Telekom Service • Kein wesentlicher
• Wesentlicher Dienst
über dem Schwellwert Provider Provider Provider Dienst gemäß
(nicht NIS) NISV
gemäß NISV
Outsourcing-Partner Service Provider B
A für wesentliche für wesentliche Netz- Sonstige externe IT und TK
Netz- und und Provider
Informationssysteme Informationssysteme
NISG-Anwendungsbereich Quelle:
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 11ISO 27000 vs. NISV Sicherheitsvorkehrungen – Inhaltliche Synergien
• Alle Anforderungen der Anlage 1 der NISV sind laut Mapping-
Tabelle einem ISO 27001 Annex A Control grundsätzlich
zuordenbar.
• In der Praxis enthalten aber „ca. 20%“ der Sicherheits-
Prüfung von
Regelungen vorkehrungen gemäß NISV + Fact Sheet konkretere bzw.
und Prüfung der zusätzlich Forderungen gegenüber Annex A.
Prozess- Umsetzung • Diese betreffen die Bereiche 3rd Party (Lieferanten-
definition
Risikomanagement), den gesamten Themenblock Resilienz und
(ISO 27001)
Betriebskontinuität, Admin-Systeme, 2FA, Korrelation und
Analyse von Logs.
• Ein zertifiziertes ISMS nach ISO 27001 ist daher eine exzellente
Basis zur Erfüllung der gesetzlichen Anforderung an die Netz-
und Informationssystemsicherheit.
ISO 27001 Audit Im Rahmen des ISO 27001 Audits werden die definierten Vorgaben und
Audit der Umsetzung eines deren Umsetzung unter Berücksichtigung der Normvorgaben auditiert.
Informationssicherheits- Der Fokus liegt dabei auf dem Managementsystem (geringere Prüftiefe aus
Managementsystems nach ISO 27001 technischer Sicht).
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 12Synergien bei ISO 27001 Audits und NISG Prüfungen
• Ein ISO 27001 Audit allein ist wegen des Fokus auf die
Prozessumsetzung und die organisatorischen Schnittstellen
für die Nachweiserbringung zum NISG nicht ausreichend.
• Die NISG Prüfung kann aber sehr gut mit weiterführenden
Prüfung von
Regelungen und ergänzenden Prüfhandlungen auf einem ISMS-Audit
und Prüfung der aufsetzen.
Prozess- Umsetzung • Alle NISG Kontrollen müssen explizit definierten
definition
Systemkomponenten zugeordnet sein.
(ISO+NISV)
• Die Wirksamkeit der Umsetzung der
Sicherheitsvorkehrungen muss technisch und
organisatorisch geprüft werden.
• Auch die NIS-Nachweise basieren auf der Prüfung von
Stichproben.
NIS-Prüfung Der Fokus liegt auf den Systemkomponenten im Geltungsbereich und einer
Die NIS-Prüfung erhebt die technische Prüfung der angewendeten manuellen und automatischen Kontrollen zur
und organisatorische Erfüllung der Erfüllung der Sicherheitsmaßnahmen gemäß NISV Anlage 1 (höhere
Anforderungen der NISV Prüftiefe aus technischer Sicht)
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 13Deep-dive: NISG Prüfung in der Praxis
Verwandte Konzepte der ISO 2700x:
Liste der Systemkomponenten • Bestimmung des Geltungsbereichs
ID Verantwortlich/ Komponente/ Beschreibung • Asset-Management
Anbieter etc. Dokument • Riskobehandlung / SoA
1 Name A Regelung XY Zweck von XY
2 Provider B IKT-Service YZ Zweck von YZ
Beschreibung der Kontrollen, Maßnahmen, Vorgaben, Richtlinien
NISV ID Was wird getan? Art Vorgehensweise Prüfart Bewertung System-
der Prüfung komponenten
1.1 Compliance-Prüfung Autom. Wiederausführung Techn. effektiv ID 2, …
2.2 Lieferanten-Klassifikation Semi- Befragung/ Org. tw. effektiv ID 2, …
Autom. Beobachtung
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 14ISO 27001 + NIS – „Darf‘s ein bisschen mehr sein“
Planung • Eine detaillierte Planung und Vorbereitung der NISG-
Die Planung der NIS-Nachweiserbringung Nachweiserbringung ist Voraussetzung für die Prüfeffizienz.
benötigt mehr Ressourcen. • Geeignete thematische Staffelung der Prüfung verbessert den
Prüfungsablauf (techn.-org., Systemsicht statt nur Kontrollsicht)
Personen und Ressourcen • Aufwand für die Bereitstellung der für die jeweilige Prüfart
relevanten Personen (technische Prüfung auf Systemebene vs.
Die richtigen Ansprechpersonen sind für die
Prüfung essentiell. organisatorische Prüfung von Prozessen und Regelungen)
• Planung aus Systemsicht anstelle Anforderungssicht
Organisatorische Prüfung • Duale Sicht: SoA gemäß ISO-Norm vs. Prüfformular mit Struktur
Definition von Vorgaben und Umsetzung gemäß NISV Anlage 1 muss berücksichtigt werden
von Prozessen • Eine klare und nachvollziehbare Dokumentation von Nachweisen ist
erforderlich. Mehraufwand bei Vorbereitung und Prüfung.
Technische Prüfung • Vorhandene Prüfwerkzeuge und deren Ergebnisse dokumentieren
und für den Prüfnachweis vorschlagen.
Technische Umsetzung auf
Netz- und Systemebene
• Evaluierung von erforderlichen Zugriffen und Kenntnissen (ggf.
Dienstleister/Hersteller) für „live“ Darstellungen von Kontrollen.
© VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 15Zusammenfassung • Systematischer und langfristig geplanter Aufbau des ISMS im Hinblick auf die Anforderungen von ISO und NIS • Aufbau von internem Know-how (Wissenstransfer vom Berater) und Ressourcen, Begleitung durch Externen bei neuen Anforderungen • „Sparring“ durch den Externen mit Fähigkeiten einer Qualifizierten Stelle als Vorbereitung auf Audit und Nachweiserbringung, sowie Begleitung beim Audit (Ressourcen!) • Synergien im Audit durch ein einziges Audit-Team (akkreditierter ISO-Auditor und Qualifizierte Stelle gemäß NIS) © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 16
Ausblick und nächste Herausforderungen • Erhöhung der Wirksamkeit und Steigerung des Reifegrads • Erweiterung des Scope (ISMS und NIS-2), Verbreiterung der Anwendbarkeit • Funktionalität der GRC-Tools • Effizienz des Auditprozesses („1 PJ“) • Internationale Erweiterung im Konzern (BwD in DE, RO, ….): Wachstumsstrategie Erneuerbare • Branchenweite Koordinierungen – AT-3SV-Elektrizität, Weiterentwicklung E-CERT © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 17
© VERBUND AG, www.verbund.com https://www.verbund.com/de-at/ueber-verbund/besucherzentren 08.09.2021 Seite 18
Sie können auch lesen
