verinice. Risikokatalog PLUS 27019

999,60 €

Preise inkl. gesetzlicher MwSt.

Netto Preis: 840,00 €

Versandkostenfreie Lieferung!

Als Download verfügbar

  • 10005
Der verinice. Risikokatalog PLUS 27019  ist eine direkt in verinice importierbare Datei,... mehr
Produktinformationen "verinice. Risikokatalog PLUS 27019"

Der verinice. Risikokatalog PLUS 27019 ist eine direkt in verinice importierbare Datei, die einen umfangreichen Katalog von generischen aber dennoch detaillierten Bedrohungen, Schwachstellen und Risikoszenarien liefert. Sie beschleunigt die Risikoanalyse erheblich und enthält dazu einen Maßnahmenkatalog nach DIN ISO/IEC TR 27019. Ebenfalls enthalten ist eine Liste von Beispiel-Assets und Prozessen, die als Grundlage für die eigene Risikobetrachtung dienen können.

Wer bereits den verinice. Risikokatalog in diesem Shop gekauft hat, kann per Mail an vertrieb@sernet.de einen 50%-Gutschein anfragen, so dass die Erweiterung PLUS 27019 zum halben Preis bezogen werden kann. Geben Sie dazu in der Mail bitte die E-Mail-Adresse Ihres Shop-Accounts an.

Der Katalog enthält aus lizenzrechtlichen Gründen nicht die Originaltexte der ISO/IEC- oder DIN-Standards.

Der hier ebenfalls enthaltene Maßnahmenkatalog nach DIN ISO/IEC TR 27019 beinhaltet alles Notwendige, um mit verinice die Anforderungen des IT-Sicherheitskatalog der Bundesnetzagentur gem. §11 Absatz 1a zu erfüllen.

verinice löst speziell das Problem, dass die DIN SPEC 27019 noch auf die inzwischen veraltete Version DIN ISO/IEC 27002:2005 verweist, der Katalog aber auch den Nachweis in der geltenden Fassung DIN ISO/IEC 27002:2015 fordert. Durch geeignete Zuordnung sind alle Controls der alten Fassung sowie der aktuelle Standard passend verbunden. Die Umsetzung aller notwendigen Maßnahmen lässt sich so mit geringstmöglichem Aufwand sicherstellen und nachweisen. Die Anwendung des PDCA-Zyklus für alle Prozesse des ISMS lässt sich mit verinice konsequent umsetzen und nachweisen.

Die Subskription von verinice.PRO beinhaltet bereits diesen Katalog, die Benutzeranleitung und andere Inhalte.

Geltungsbereich

verinice ermöglicht das Erfassen aller für die Zertifizierung und Risikoanalyse (s.u.) zwingend zu berücksichtigenden Informationswerte (Assets). Vorgegeben sind in diesem Katalog schon alle Assets gem. Anhang D IT-Sicherheitskatalog:

  • Messsysteme zu netzbetrieblichen Zwecken,
  • TK-Systeme zur Netzsteuerung,
  • EDV-Systeme zur Netzsteuerung,
  • Messeinrichtungen an Trafo- oder Netzkoppelstationen
  • et al.

Risikoanalyse

Betreibt ein Strom- oder Gasnetzbetreiber keine vom IT-Sicherheitskatalog erfassten Systeme in seinem Netz und lässt diese auch nicht von einem externen Dienstleister betreiben, besteht keine Umsetzungspflicht für die Sicherheitsanforderungen des IT-Sicherheitskatalogs. Es bedarf dann auch keiner Zertifizierung.

Dies ist jedoch zu begründen und durch geeignete Nachweise zu belegen. Die Telekommunikations- und elektronischen Datenverarbeitungssysteme eines Netzbetreibers, die für einen sicheren Netzbetrieb notwendig sind, sind lt. IT-Sicherheitskatalog durch die geforderte Risikoeinschätzung zu ermitteln. Somit ist eine Risikoanalyse in jedem Fall zu erstellen.

Die in verinice implementierte Methode zur Risikoanlayse entspricht den lt. IT-Sicherheitskatalog der Bundesnetzagentur gem. §11 Absatz 1a vorgegebenen zugrundeliegenden Standards.

Dabei werden alle Schadenskategorien für Netzbetreiber explizit berücksichtigt:

  • Beeinträchtigung der Versorgungssicherheit
  • Einschränkung des Energieflusses
  • Betroffener Bevölkerungsanteil
  • Gefährdung für Leib und Leben
  • Auswirkungen auf weitere Infrastrukturen (z. B.  vor- und nachgelagerte Netzbetreiber, Wasserversorgung)
  • Gefährdung für Datensicherheit und Datenschutz durch Offenlegung oder
  • Manipulation
  • Finanzielle Auswirkungen

Der enthaltene Gefährdungskatalog berücksichtigt alle vorgeschriebenen Kategorien:

  • Vorsätzliche Handkungen (Gezielte IT-Angriffe, Schadsoftware, Abhören der Kommunikation uvm.)
  • Höhere Gewalt
  • Organisatorische Mängel
  • Menschliche Fehlhandlungen
  • Technisches Versagen
  • Versagen oder Beeinträchtigung anderer für die Netzsteuerung relevanter Infrastrukturen und externer Dienstleistungen
  • Ungezielte Angriffe und Irrläufer von Schadsoftware

Alle typischerweise im EVU-Umfeld zu berücksichtigten Assets sind bereits angelegt und mit den jeweils passenden Risikoszenarien verknüpft:

  • Informationen (z.B. Messwert- und Meldungsarchive, Parametrierdaten, Zählwerte...)
  • Dienstleistungen (z.B. Informationsdienste, Notfalldienste...)
  • Physische Wertre (z.B. digitale Mess- und Zählvorrichtungen, Schreibersysteme, Leittechnik- und Automatisierungskomponenten...)
  • Software (z.B. Energiemanagement- und Überwachungssysteme, Simulationssoftware, Visualisierungssysteme...)

Die Behandlung aller Risiken durch geeignete Maßnahmen nach dem Stand der Technik kann mit verinice dokumentiert und nachgewiesen werden.

Outsourcing

Werden Anwendungen, Systeme und Komponenten, die der Anwendung des Katalogs unterliegen, nicht vom Netzbetreiber selbst betrieben, sondern von Dritten – beispielsweise durch Outsourcing oder bei der Aufgabenwahrnehmung der Marktgebietsverantwortlichen im Gasbereich – ist die Anwendung und Umsetzung des Katalogs durch entsprechende Vereinbarungen sicherzustellen.

verinice ermöglicht auch die Prüfung der eigenen Dienstleister durch geeignete Prüfkataloge, z.B. über das integrierte "IS-Assessment" mit Zuordnung zu allen Controls der ISO 27002:2013.

Fristen

Umsetzungsfrist ist der 31.Januar 2018. Aufgrund des Projektaufwandes sowie der notwendigen Fristen zur Anmeldung und Durchführug des Zertifizierungaudits, sollte mit der Umsetzung unmittelbar begonnen werden. verinice beschleunigt den Prozess der Risikoanalyse sowie der Dokumentation und Nachweisbarkeit des ISMS um ein Vielfaches.

Hinweis

Der Katalog enthält zwei Datenbanken:

  1. Eine vollständige Abbildung aller Maßnahmen der DIN ISO/IEC TR 27019 als zusätzliche Bausteine im Grundschutz Modell. Die Anforderungen der TR können somit erfüllt werden, indem Sie die detailliert beschriebenen Grundschutzmaßnahmen Schritt für Schritt umsetzen.
  2. Ein Abbildung aller Maßnahmen der DIN ISO/IEC TR 27019 auf die Maßnahmen der Standards ISO 27001:2013 und ISO 27001:2005. Dabei sind bereits alle EVU-Maßnahmen mit passenden Risikoszenarien verknüpft. Somit wird das Erstellen der von der BNetzA in jedem Fall geforderten Risikoanalyse in kürzester Zeit möglich.

Wir danken Dirk Brand und allen Kolleginnen und Kollegen der SILA-Consulting, die bei der Erstellung dieses Katalogs Beiträge geleistet haben.

Weiterführende Links zu "verinice. Risikokatalog PLUS 27019"
verinice. Datenschutzmodul verinice. Datenschutzmodul
499,80 €
Netto Preis: 420,00 €
verinice. Risikokatalog verinice. Risikokatalog
499,80 €
Netto Preis: 420,00 €