Von ISO 27001 zum NIS-Gesetz Ein Praxisbericht - CIS-CERt
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Von ISO 27001 zum NIS-Gesetz Ein Praxisbericht Walter Fraißler Wien, 8. September 2021 © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit
Agenda • Wer ist VERBUND? • Die Treiber für Informationssicherheit und Cyber Security • Die Entwicklung – international und Branchen • Von der ISO-Zertifizierung zu den NIS-Nachweisen: Scope, Betroffenheit, Anwendbarkeit • Synergien und Zusatzaufwand • Zusammenfassung und Ausblick © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 2
VERBUND auf einen Blick 129 Wasserkraftwerke von VERBUND mit über 8.200 MW Engpassleistung. Im März 2020 wurde Bis zu1/4 der Gesamterzeugung die Kohleverstromung soll bis 2030 aus im Fernheizkraftwerk Mellach Sonnen- und Windkraft kommen. eingestellt. Rund 3.400 Mehr als 500.000 Kilometer Trassenlänge hat das Privatkunden setzten 2020 auf überregionale Stromnetz der APG. VERBUND. © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 3
VERBUND-Strategie 2030 Effiziente Wasserkrafterzeugung Neue Erneuerbare Erzeugung Substanzerhalt der bestehenden Treiber von Langfristiger und wirtschaftlicher Aufbau Wasserkrafterzeugung und Optimierung von rd. 20–25 % der Gesamterzeugung von des flexiblen Erzeugungsportfolios sowie Sektorenkopplung, VERBUND aus Onshore-Windkraftanlagen Nutzung der noch vorhandenen Flexibilitäts- und und Photovoltaik als Beitrag zur Wasserkraftpotenziale. Kundenlösungen zur Dekarbonisierung. Systemintegration und Sicherer Netzbetrieb als Katalysator der Kundenorientierte Lösungen Nachhaltiger Ausbau des Übertragungs- Energiezukunft Innovativer Partner für Kunden im netzes als Grundlage einer sicheren Energiebereich und Entwicklung nachhaltiger Betriebsführung und eines liquiden in Österreich Lösungen mit alternativen Energieträgern Strommarktes in Österreich und Europa. und neuen Speichern. Versorgungssicherheit Aufrechterhaltung der Versorgungssicherheit durch Einsatz der bestehenden flexiblen Gaskraftwerke. © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 4
VERBUND im Kontext von NIS VERBUND ist eines der wertvollsten Unternehmen in Österreich. Große Teile von VERBUND stellen „Kritische Infrastruktur“ dar oder sind Betreiber „wesentlicher Dienste“ © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 5
Cyber-Angriffe, regulatorische Anforderungen und Kundenbedürfnisse bleiben die permanenten Treiber in der Security Zunehmende Anzahl von Zunahme der Business-Anforderungen Security Incidents, auch im Anstieg der durch Markt- und Kundenbedürfnisse Energiesektor regulatorischen Anforderungen (Cloud!) und weitere Automatisierung Die stetig steigende Anzahl von Security Die regulatorischen Anforderungen und VERBUND wird von den Geschäfts- Incidents, vor allem mit Fokus auf die Bemühungen der Aufsichtsbehörden sind anforderungen der Branche und der Ausnützung von Altlasten und ungepatchten in den vergangenen Jahren sowohl im Kunden kontinuierlich gefordert und Systemen in der Industrie, machen die Umfang als auch in der Komplexität angetrieben, etwa in der weiteren Arbeit der Information Security in den wesentlich angestiegen. Dabei fokussieren Vernetzung und Automatisierung der Bereichen OT und IT umso wichtiger. sie sich nun vor allem auf die Effektivität Anlagen. Dies und der zusätzliche Shift von der Security (NIS und voraussichtlich noch Anwendungen in die Cloud erfordern eine stärker NIS-2). verstärkte Aufmerksamkeit der Information Security. Regulierung ist nur ein Aspekt. Umso wichtiger ist es, die Effektivität der Informationssicherheit sicherzustellen und kontinuierlich zu verbessern. © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 6
Zeitliche Entwicklung: Die NIS-Regulierung kam nicht „über Nacht“ Richtlinien, Gesetze und Verordnungen Frist Vorschlag Vorschlag NIS-Richtlinie Inkrafttreten Umsetzung NIS-2 IT-Sicherheitsgesetz Kritis-VO Energie Nachweise NIS-Gesetz NIS-V Bescheide Identifikation Branche und Unternehmen Risikoanalyse Strom RA Strom 2.0 RA Strom & Gas 3.0 RA 4.0 Übung Cyber Europe Energy Probe- Basis- Projekt E-CERT Aufbau Vollbetrieb betrieb betrieb Projekt Pen-Test Masterplan InfoSec ISMS / DSMS Maßnahmen Zertifizierung Zertifizierung Überwach.- Rezertifizierung Deutschland Österreich Audit NIS-Nachweise 2013 2014 2015 2016 2017 2018 2019 2020 2021 © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 7
Der Weg von der ISMS-Einführung bis zu den NIS-Nachweisen Q4 2021 Vollständiger Q2+Q3 2021 Bericht zur Nach- weiserbringung Durchführung ISO Q1/2021 27001 inkl NIS- nach NIS-G liegt vor Detailplanung Prüfung Interne Evaluierung Erneuerungs-Audit und Entscheidung 2019+2020 ISO erstmalige Möglichst Nutzung von Synergien Scope- Erbringung der NIS- durch ISO und NIS 2018 Erweiterungen Nachweise gemeinsam ISO 27001 – ISO-Zertifizierung Erschwernis und Gute Vorbereitung 2017 Zertifizierung für Österreich und Verschiebungen der zusätzlichen Überwachungs- durch Restriktionen NIS-Prüfungen auf Einführung ISMS Vorbereitung NIS Audits aus Covid-19 Wirksamkeit nach ISO 27001 Betroffenheit- Scoping Erschwernis durch Erweiterung und Covid-19 Standardisierung Klärung: KritIs in des schon lange Deutschland? Vorbereitung NIS, bestehenden ISMS. z.B. Überprüfung ISO-Zertifizierung des Scope „Synchronisierung“ für Deutschland mit der Professio- Grobplanung für die nalisierung des Erweiterung von Datenschutzes ISO auf NIS gemäß DSGVO. © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 8
Bestimmung des Geltungsbereichs für die NISG-Prüfung • Die NISV legt näheren Regelungen (z.B. Schwellwerte pro Sektor) für die Identifikation von “Betreibern wesentlicher Dienste” (BwD) fest. • Eine Betroffenheitsanalyse identifiziert Anlagen und IT/OT-Systeme, die der BwD für die Bereitstellung des wesentlichen Dienstes nutzt. • Die betroffenen IT/OT-Systeme und die jeweiligen Betreiber sind im Geltungsbereich der NISG- Prüfungen durch eine „Qualifizierte Stelle“ (QuaSte, festgestellt durch BMI/BVT). • Die zweckmäßiger Definition bzw. Anpassung des ISMS Geltungsbereichs ist essenziell für die Hebung von Synergien zwischen einem ISMS und der Umsetzung von NISV-Sicherheitsvorkehrungen. © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 9
Unterschiede in den Geltungsbereichen von ISMS und NIS-G Geltungsbereich in der ISO/IEC 27001 Anwendungsbereich NIS-G Informationssicherheit einer Organisation NIS-Sicherheit eines „Betreibers wesentlicher Dienste“ • Der Geltungsbereich wird durch die Verwendung von • Der technische Geltungsbereich umfasst jene Netz- externen Informationssystemen nicht erweitert, sondern und Informationssysteme, die der Betreiber eines es entstehen ISMS-Schnittstellen. wesentlichen Dienstes für die Bereitstellung dieses wesentlichen Dienstes nutzt. • ISO 27001 zertifiziert daher kein bestimmtes Informationssystem sondern ein ISMS. • Dies kann den Geltungsbereich im Vergleich zum ISMS einer Organisation deutlich erweitern: alle wesentlichen ISMS Provider müssen im Anwendungsbereich des NIS-G sein. • Der Anwendungsbereich des NIS-G muss aber nicht den gesamten Geltungsbereich des vorhandenen ISMS umfassen. NIS-G © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 10
Beispiel: Geltungsbereiche ISMS vs. NISG in einem Konzernumfeld Konzernebene Konzern- Personal Einkauf Konzern IT Recht Etc. ISMS Tochter A GmbH Tochter B Interner IT Interner Interner Betreiber i.S.d. NISG GmbH Service Telekom Service • Kein wesentlicher • Wesentlicher Dienst über dem Schwellwert Provider Provider Provider Dienst gemäß (nicht NIS) NISV gemäß NISV Outsourcing-Partner Service Provider B A für wesentliche für wesentliche Netz- Sonstige externe IT und TK Netz- und und Provider Informationssysteme Informationssysteme NISG-Anwendungsbereich Quelle: © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 11
ISO 27000 vs. NISV Sicherheitsvorkehrungen – Inhaltliche Synergien • Alle Anforderungen der Anlage 1 der NISV sind laut Mapping- Tabelle einem ISO 27001 Annex A Control grundsätzlich zuordenbar. • In der Praxis enthalten aber „ca. 20%“ der Sicherheits- Prüfung von Regelungen vorkehrungen gemäß NISV + Fact Sheet konkretere bzw. und Prüfung der zusätzlich Forderungen gegenüber Annex A. Prozess- Umsetzung • Diese betreffen die Bereiche 3rd Party (Lieferanten- definition Risikomanagement), den gesamten Themenblock Resilienz und (ISO 27001) Betriebskontinuität, Admin-Systeme, 2FA, Korrelation und Analyse von Logs. • Ein zertifiziertes ISMS nach ISO 27001 ist daher eine exzellente Basis zur Erfüllung der gesetzlichen Anforderung an die Netz- und Informationssystemsicherheit. ISO 27001 Audit Im Rahmen des ISO 27001 Audits werden die definierten Vorgaben und Audit der Umsetzung eines deren Umsetzung unter Berücksichtigung der Normvorgaben auditiert. Informationssicherheits- Der Fokus liegt dabei auf dem Managementsystem (geringere Prüftiefe aus Managementsystems nach ISO 27001 technischer Sicht). © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 12
Synergien bei ISO 27001 Audits und NISG Prüfungen • Ein ISO 27001 Audit allein ist wegen des Fokus auf die Prozessumsetzung und die organisatorischen Schnittstellen für die Nachweiserbringung zum NISG nicht ausreichend. • Die NISG Prüfung kann aber sehr gut mit weiterführenden Prüfung von Regelungen und ergänzenden Prüfhandlungen auf einem ISMS-Audit und Prüfung der aufsetzen. Prozess- Umsetzung • Alle NISG Kontrollen müssen explizit definierten definition Systemkomponenten zugeordnet sein. (ISO+NISV) • Die Wirksamkeit der Umsetzung der Sicherheitsvorkehrungen muss technisch und organisatorisch geprüft werden. • Auch die NIS-Nachweise basieren auf der Prüfung von Stichproben. NIS-Prüfung Der Fokus liegt auf den Systemkomponenten im Geltungsbereich und einer Die NIS-Prüfung erhebt die technische Prüfung der angewendeten manuellen und automatischen Kontrollen zur und organisatorische Erfüllung der Erfüllung der Sicherheitsmaßnahmen gemäß NISV Anlage 1 (höhere Anforderungen der NISV Prüftiefe aus technischer Sicht) © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 13
Deep-dive: NISG Prüfung in der Praxis Verwandte Konzepte der ISO 2700x: Liste der Systemkomponenten • Bestimmung des Geltungsbereichs ID Verantwortlich/ Komponente/ Beschreibung • Asset-Management Anbieter etc. Dokument • Riskobehandlung / SoA 1 Name A Regelung XY Zweck von XY 2 Provider B IKT-Service YZ Zweck von YZ Beschreibung der Kontrollen, Maßnahmen, Vorgaben, Richtlinien NISV ID Was wird getan? Art Vorgehensweise Prüfart Bewertung System- der Prüfung komponenten 1.1 Compliance-Prüfung Autom. Wiederausführung Techn. effektiv ID 2, … 2.2 Lieferanten-Klassifikation Semi- Befragung/ Org. tw. effektiv ID 2, … Autom. Beobachtung © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 14
ISO 27001 + NIS – „Darf‘s ein bisschen mehr sein“ Planung • Eine detaillierte Planung und Vorbereitung der NISG- Die Planung der NIS-Nachweiserbringung Nachweiserbringung ist Voraussetzung für die Prüfeffizienz. benötigt mehr Ressourcen. • Geeignete thematische Staffelung der Prüfung verbessert den Prüfungsablauf (techn.-org., Systemsicht statt nur Kontrollsicht) Personen und Ressourcen • Aufwand für die Bereitstellung der für die jeweilige Prüfart relevanten Personen (technische Prüfung auf Systemebene vs. Die richtigen Ansprechpersonen sind für die Prüfung essentiell. organisatorische Prüfung von Prozessen und Regelungen) • Planung aus Systemsicht anstelle Anforderungssicht Organisatorische Prüfung • Duale Sicht: SoA gemäß ISO-Norm vs. Prüfformular mit Struktur Definition von Vorgaben und Umsetzung gemäß NISV Anlage 1 muss berücksichtigt werden von Prozessen • Eine klare und nachvollziehbare Dokumentation von Nachweisen ist erforderlich. Mehraufwand bei Vorbereitung und Prüfung. Technische Prüfung • Vorhandene Prüfwerkzeuge und deren Ergebnisse dokumentieren und für den Prüfnachweis vorschlagen. Technische Umsetzung auf Netz- und Systemebene • Evaluierung von erforderlichen Zugriffen und Kenntnissen (ggf. Dienstleister/Hersteller) für „live“ Darstellungen von Kontrollen. © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 15
Zusammenfassung • Systematischer und langfristig geplanter Aufbau des ISMS im Hinblick auf die Anforderungen von ISO und NIS • Aufbau von internem Know-how (Wissenstransfer vom Berater) und Ressourcen, Begleitung durch Externen bei neuen Anforderungen • „Sparring“ durch den Externen mit Fähigkeiten einer Qualifizierten Stelle als Vorbereitung auf Audit und Nachweiserbringung, sowie Begleitung beim Audit (Ressourcen!) • Synergien im Audit durch ein einziges Audit-Team (akkreditierter ISO-Auditor und Qualifizierte Stelle gemäß NIS) © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 16
Ausblick und nächste Herausforderungen • Erhöhung der Wirksamkeit und Steigerung des Reifegrads • Erweiterung des Scope (ISMS und NIS-2), Verbreiterung der Anwendbarkeit • Funktionalität der GRC-Tools • Effizienz des Auditprozesses („1 PJ“) • Internationale Erweiterung im Konzern (BwD in DE, RO, ….): Wachstumsstrategie Erneuerbare • Branchenweite Koordinierungen – AT-3SV-Elektrizität, Weiterentwicklung E-CERT © VERBUND AG, www.verbund.com VERBUND | Fraissler | CIS-Summit 08.09.2021 Seite 17
© VERBUND AG, www.verbund.com https://www.verbund.com/de-at/ueber-verbund/besucherzentren 08.09.2021 Seite 18
Sie können auch lesen