verinice Risikokatalog Plus (ISO 27001 / ISO 27019) inkl. Datenschutzmodul 3.0

1.701,70 €

Preise inkl. gesetzlicher MwSt.

Netto Preis: 1.430,00 €

Versandkostenfreie Lieferung!

Als Download verfügbar

Laufzeit:

  • VRCP-DSM3-DE-ISM.1
  Bei dem hier angebotenen verinice Risikokatalog Plus (ISO 27001 / ISO 27019) inkl.... mehr
Produktinformationen "verinice Risikokatalog Plus (ISO 27001 / ISO 27019) inkl. Datenschutzmodul 3.0"

 

Bei dem hier angebotenen verinice Risikokatalog Plus (ISO 27001 / ISO 27019) inkl. Datenschutzmodul 3.0 handelt es sich um die Kombination der Artikel verinice Risikokatalog Plus (ISO 27001 / ISO 27019) und verinice Datenschutzmodul 3 (ISO/ISM), welche es verinice-Nutzern aus dem Bereich der Energieversorger erlaubt, ein Informationssicherheits- und Datenschutzmanagementsystem bei sich zu implementieren.

 

Informationssicherheitsmanagement:

Der verinice Risikokatalog Plus (ISO 27001 / ISO 27019) liefert einen umfangreichen Katalog von generischen aber dennoch detaillierten Bedrohungen, Schwachstellen und Risikoszenarien. Sie beschleunigt die Risikoanalyse erheblich und enthält dazu einen Maßnahmenkatalog nach DIN ISO/IEC TR 27019 (DIN SPEC 27019):2015-03. Ebenfalls enthalten ist eine Liste von Beispiel-Assets und Prozessen, die als Grundlage für die eigene Risikobetrachtung dienen können.

Der Katalog enthält Inhalte aus den Original-Standards DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017 und ISO/IEC 27005:2011, lizenziert über den Beuth Verlag. Siehe dazu auch den Copyright-Hinweis am Ende dieses Textes. Der Preis der hier im Shop verkauften Lizenz zur Einzelplatzversion berechnet sich nach Laufzeit in Jahren und Anzahl der Benutzer. Für die Mehrplatz-Version "verinice.PRO" erfragen Sie bitte ein Staffel-Angebot beim SerNet-Vertrieb. Bitte beachten Sie, dass auf Grund der Vorgaben des Beuth Verlags die Inhalte der Originalstandards nur im Programm lesbar und nicht exportierbar sind (PDF, Word, Excel, etc.).

Der hier ebenfalls enthaltene Maßnahmenkatalog nachDIN ISO/IEC TR 27019 (DIN SPEC 27019):2015-03 beinhaltet alles Notwendige, um mit verinice die Anforderungen des IT-Sicherheitskatalog der Bundesnetzagentur gem. §11 Absatz 1a zu erfüllen.

verinice löst speziell das Problem, dass die DIN ISO/IEC TR 27019 (DIN SPEC 27019):2015-03 noch auf die inzwischen veraltete Version DIN ISO/IEC 27002:2005 verweist, der Katalog aber auch den Nachweis in der geltenden Fassung DIN ISO/IEC 27002:2017 fordert. Durch geeignete Zuordnung sind alle Controls der alten Fassung sowie der aktuelle Standard passend verbunden. Die Umsetzung aller notwendigen Maßnahmen lässt sich so mit geringstmöglichem Aufwand sicherstellen und nachweisen. Die Anwendung des PDCA-Zyklus für alle Prozesse des ISMS lässt sich mit verinice konsequent umsetzen und nachweisen.

Geltungsbereich

verinice ermöglicht das Erfassen aller für die Zertifizierung und Risikoanalyse (s.u.) zwingend zu berücksichtigenden Informationswerte (Assets). Vorgegeben sind in diesem Katalog schon alle Assets gem. Anhang D IT-Sicherheitskatalog:

  • Messsysteme zu netzbetrieblichen Zwecken,
  • TK-Systeme zur Netzsteuerung,
  • EDV-Systeme zur Netzsteuerung,
  • Messeinrichtungen an Trafo- oder Netzkoppelstationen
  • et al.

Risikoanalyse

Betreibt ein Strom- oder Gasnetzbetreiber keine vom IT-Sicherheitskatalog erfassten Systeme in seinem Netz und lässt diese auch nicht von einem externen Dienstleister betreiben, besteht keine Umsetzungspflicht für die Sicherheitsanforderungen des IT-Sicherheitskatalogs. Es bedarf dann auch keiner Zertifizierung.

Dies ist jedoch zu begründen und durch geeignete Nachweise zu belegen. Die Telekommunikations- und elektronischen Datenverarbeitungssysteme eines Netzbetreibers, die für einen sicheren Netzbetrieb notwendig sind, sind lt. IT-Sicherheitskatalog durch die geforderte Risikoeinschätzung zu ermitteln. Somit ist eine Risikoanalyse in jedem Fall zu erstellen.

Die in verinice implementierte Methode zur Risikoanlayse entspricht den lt. IT-Sicherheitskatalog der Bundesnetzagentur gem. §11 Absatz 1a vorgegebenen zugrundeliegenden Standards.

Dabei werden alle Schadenskategorien für Netzbetreiber explizit berücksichtigt:

  • Beeinträchtigung der Versorgungssicherheit
  • Einschränkung des Energieflusses
  • Betroffener Bevölkerungsanteil
  • Gefährdung für Leib und Leben
  • Auswirkungen auf weitere Infrastrukturen (z. B.  vor- und nachgelagerte Netzbetreiber, Wasserversorgung)
  • Gefährdung für Datensicherheit und Datenschutz durch Offenlegung oder
  • Manipulation
  • Finanzielle Auswirkungen

Der enthaltene Gefährdungskatalog berücksichtigt alle vorgeschriebenen Kategorien:

  • Vorsätzliche Handkungen (Gezielte IT-Angriffe, Schadsoftware, Abhören der Kommunikation uvm.)
  • Höhere Gewalt
  • Organisatorische Mängel
  • Menschliche Fehlhandlungen
  • Technisches Versagen
  • Versagen oder Beeinträchtigung anderer für die Netzsteuerung relevanter Infrastrukturen und externer Dienstleistungen
  • Ungezielte Angriffe und Irrläufer von Schadsoftware

Alle typischerweise im EVU-Umfeld zu berücksichtigten Assets sind bereits angelegt und mit den jeweils passenden Risikoszenarien verknüpft:

  • Informationen (z.B. Messwert- und Meldungsarchive, Parametrierdaten, Zählwerte...)
  • Dienstleistungen (z.B. Informationsdienste, Notfalldienste...)
  • Physische Wertre (z.B. digitale Mess- und Zählvorrichtungen, Schreibersysteme, Leittechnik- und Automatisierungskomponenten...)
  • Software (z.B. Energiemanagement- und Überwachungssysteme, Simulationssoftware, Visualisierungssysteme...)

Die Behandlung aller Risiken durch geeignete Maßnahmen nach dem Stand der Technik kann mit verinice dokumentiert und nachgewiesen werden.

Outsourcing

Werden Anwendungen, Systeme und Komponenten, die der Anwendung des Katalogs unterliegen, nicht vom Netzbetreiber selbst betrieben, sondern von Dritten – beispielsweise durch Outsourcing oder bei der Aufgabenwahrnehmung der Marktgebietsverantwortlichen im Gasbereich – ist die Anwendung und Umsetzung des Katalogs durch entsprechende Vereinbarungen sicherzustellen.

verinice ermöglicht auch die Prüfung der eigenen Dienstleister durch geeignete Prüfkataloge, z.B. über das integrierte "IS-Assessment" mit Zuordnung zu allen Controls der DIN ISO/IEC 27002:2017.

Fristen

Umsetzungsfrist ist der 31.Januar 2018. Aufgrund des Projektaufwandes sowie der notwendigen Fristen zur Anmeldung und Durchführug des Zertifizierungaudits, sollte mit der Umsetzung unmittelbar begonnen werden. verinice beschleunigt den Prozess der Risikoanalyse sowie der Dokumentation und Nachweisbarkeit des ISMS um ein Vielfaches.

Hinweis

Der Katalog enthält eine Datenbank:

  • Ein Abbildung aller Maßnahmen der DIN ISO/IEC TR 27019 (DIN SPEC 27019):2015-03 auf die Maßnahmen der Standards DIN ISO/IEC 27001:2017 und ISO/IEC 27001:2005. Dabei sind bereits alle EVU-Maßnahmen mit passenden Risikoszenarien verknüpft. Somit wird das Erstellen der von der BNetzA in jedem Fall geforderten Risikoanalyse in kürzester Zeit möglich.

Wir danken Dirk Brand und allen Kolleginnen und Kollegen der SILA-Consulting, die bei der Erstellung dieses Katalogs Beiträge geleistet haben.

Die in dieser Software wiedergegebenen technischen Regeln (DIN-, EN-, ISO- und ISO/IEC-Normen) sind urheberrechtlich geschützt und zur Nutzung im Rahmen dieser Software von der Beuth Verlag GmbH, Berlin, lizenziert. Jede Vervielfältigung der technischen Regeln außerhalb dieser Software, zum Beispiel durch Ausdruck oder Abspeichern, ist untersagt. Die technischen Regeln können bei der Beuth Verlag GmbH (www.beuth.de) erworben werden.

  

Datenschutzmanagement: 

 Das verinice. Datenschutzmodul 3 inkl. Risikokatalog unterstützt das Verzeichnis der Verarbeitungstätigkeiten mit einem Datenschutz-Beispielkatalog, vereinfacht mit den technischen und organisatorischen Maßnahmen (TOMs) eine Orientierung an den Datenschutzzielen aus Art. 32 EU-DSGVO und ermöglicht die EU-weite rechtskonforme Umsetzung der Auftragsverarbeitung. 

Die vorliegende Version 3 wurde erweitert um die Datenschutz-Folgenabschätzung (DSFA) und die Datenschutz-Risikoanalyse inklusive der Berücksichtigung von datenschutzrelevanten Szenarien. Die Erstellung des Verzeichnis der Verarbeitungstätigkeiten, die Verwaltung der technischen und organisatorischen Maßnahmen (TOM) orientiert an den Datenschutzzielen aus Art. 32 EU-DSGVO sowie die EU-weite rechtskonforme Dokumentation der Auftragsverarbeitungen werden komplettiert durch einen Datenschutz-Kurzcheck. Zur optimalen Orientierung sind zudem die Gesetzestexte von DS-GVO inklusive Erwägungsgründen und BDSG (neu) im Datenschutzmodul hinterlegt und miteinander verknüpft.

Das Datenschutzmodul 3 ISM ist verwendbar ab verinice 1.19 oder höher zum Einsatz in der ISM-Perspektive. Zur Verwendung der technischen und organisatorischen Maßnahmen (TOM) sind Inhalte aus den Originalstandards DIN ISO/IEC 27002:2017 und ISO/IEC 27005:2011, lizenziert über den Beuth Verlag, enthalten. Die hier vorliegende ISM-Variante ist geeignet für Anwender, die Synergieeffekte mit der Informationssicherheit nutzen wollen und/oder die ISO-Controls als technische und organisatorische Maßnahmen (TOM) einsetzen. Die Datenschutz-Risikoanalyse folgt dem semiquantitativen Ansatz der Risikoanalyse nach ISO 27005 in der ISM Perspektive in verinice.

(Anwender des modernisierten IT-Grundschutz verwenden die in Kürze ebenfalls verfügbare IT-Grundschutz-Variante des Datenschutzmoduls 3 und nutzen das IT-Grundschutz-Kompendium zur Abbildung der TOM. Die Datenschutz-Risikoanalyse verwendet dort die qualitative Risikoanalyse nach BSI-Standard 200-3.)

Der Lieferumfang des Pakets beinhaltet:

  • eine kurze Modul-Beschreibung
  • eine Installationsanleitung
  • eine Anleitung zum Umstieg vom bisherigen Datenschutzmodul 2
  • eine in verinice zu importierende Datei einer Beispielfirma
  • das Verzeichnis der Verarbeitungstätigkeiten der Beispielfirma
  • AVV-Controls zur Abbildung der Auftragsverarbeitung
  • einen Datenschutz-Kurzcheck
  • Reportvorlagen
  • Beispiel-Reports

Funktionen:

DS-GVO-Kurzcheck

Neueinsteiger erhalten mit den Controls des „Datenschutz-Kurzcheck“ einen ersten Überblick über den Umsetzungsstand der Anforderungen nach DS-GVO.

Gesetzliche Anforderungen

Zur besseren Orientierung innerhalb der gesetzlichen Anforderungen sind die Inhalte aus BDSG (neu), DS-GVO sowie die Erwägunsgründe enthalten und miteinander verknüpft.

Verzeichnis der Verarbeitungstätigkeiten

Bei der Erfassung von Verarbeitungstätigkeiten als zentralem Element können erforderliche Informationen zu z.B. Daten oder Datenkategorien, Betroffenen, Rechtsgrundlagen, datenschutzrelevanten Assets, Personen oder Zugriffsberechtigten dokumentiert werden. Das Datenschutzmodul 3 ISM enthält eine Beispielorganisation mit einer exemplarischen Verarbeitungstätigkeit, die kopiert und unternehmensspezifische angepasst werden kann. Die in der Verarbeitungstätigkeit angewendete Hardware, Anwendungssoftware und datenschutzrelevante Personen bzw. Personengruppen können im View Verknüpfungen eingesehen und angepasst werden.

Technische und organisatorische Maßnahmen

Als technische und organisatorische Maßnahmen (TOM) können Controls nach der Norm ISO 27001 direkt mit jeder Verarbeitungstätigkeit verknüpft werden. Sämtliche Controls sind den Datenschutzzielen aus Art. 32 DS-GVO zugeordnet, so dass sich die Nutzer schnell zurechtfinden. Für den Fall, dass Sie verinice bereits für die Implementierung eines ISMS im Einsatz haben, können die bereits vorhandenen abgehandelten oder umgesetzten Informationssicherheitscontrols oder benutzerdefinierte Maßnahmen einer oder mehreren Verarbeitungstätigkeit(en) als technische und organisatorische Maßnahmen zugewiesen werden. Diese Schnittstelle zwischen Datenschutz und Informationssicherheitsmanagement erfolgt innerhalb von verinice und stellt für die Nutzer einen beachtlichen Mehrwert dar – es werden Kosten gespart, Dokumentationsaufwand wird verringert.

Datenschutzfolgenabschätzung

Für jede Verarbeitungstätigkeit kann die Erfordernis einer Datenschutzfolgenabschätzung (DSFA) geprüft und bewertet werden. Neben der Schwellwertanalyse kann die Stellungnahme des Datenschutzbeauftragten detailliert dokumentiert werden. Das Ergebnis kann mittels Reportvorlage Datenschutzfolgenabschätzung für die Verarbeitungstätigkeit ausgegeben werden.

Datenschutz-Risikoanalyse

Ist eine Datenschutzfolgenabschätzung erforderlich, kann die Datenschutz-Risikoanalyse für eine Verarbeitungstätigkeit durchgeführt werden. Das Datenschutzmodul 3 ISM bringt dazu neu datenschutzrelevante Szenarien mit, die mit Assets verknüpft werden können. Die Datenschutz-Risikobewertung und die Datenschutz-Risikobehandlung können analog der Vorgehensweise nach ISO 27005 durchgeführt und die Ergebnisse mittels Reportvorlagen ausgegeben werden.

Auftragsverarbeitung

Das Datenschutzmodul hilft die Auftragsverarbeitung im Unternehmen EU-weit rechtskonform umzusetzen. Neben einer Übersicht über die Auftragnehmer und der jeweils übernommenen Dienstleistungen können auch Auftraggeber, mit denen ein Auftragsverarbeitungsverhältnis nach Art. 28 DS-GVO besteht, dokumentiert und auf Knopfdruck ausgeben werden. Selbstverständlich können die entsprechenden Verträge direkt im Datenschutzmodul mit eingebunden werden. Mit Hilfe der AVV-Controls bietet SerNet darüber hinaus einen Maßnahmenkatalog, der bei der Überprüfung und Dokumentation der Auftragsverarbeitung unterstützt. Die ADV-Controls können darüber hinaus für Audits von Dienstleistern als Erst- oder Folgekontrollen im Rahmen eines Auftragsverarbeitungsverhältnisses verwendet werden.

Reportvorlagen

Das Datenschutzmodul 3 ISM beinhaltet Reportvorlagen für alle im Rahmen der DS-GVO erforderlichen Dokumentationen:

  • Verzeichnis von Verarbeitungstätigkeiten
  • Datenschutzfolgenabschätzung (DSFA)
  • Datenschutz-Risikobewertung
  • Datenschutz-Risikobehandlung

Darüber hinaus bietet das Datenschutzmodul eine Reihe an zusätzlichen Übersichtsreports. Diese Reportvorlagen geben zu einem bestimmten datenschutzrelevanten Themenbereich jeweils die notwendigen Informationen aus dem gesamten Datenschutzmodell aus:

  • Umsetzungsübersicht von technischen und organisatorischen Maßnahmen
  • Übersicht von verwendeten Assets für Verarbeitungstätigkeiten
  • Übersicht über Löschfristen für Verarbeitungstätigkeiten
  • Übersicht über Verarbeitungsgruppe und Verarbeitungstätigkeit
  • Übersicht über Datenschutzvorfälle
  • Übersicht über Fachkundenachweise
  • Übersicht über Zuständigkeiten in der Verarbeitung
  • Auflistung Datentransfer
  • Übersicht über interne und externe Anfragen
  • Übersicht der Auftragnehmer mit zugehöriger Verarbeitungstätigkeit
  • Auflistung der Auftragsverarbeitungen mit zugehörigen Auftraggebern

Als tabellarische Ausgaben können diese Informationen z.B. auch in Tabellenkalkulationen weiter bearbeitet, aggregiert oder in selbst erstellten Diagrammen präsentiert werden.

Weiterführende Links zu "verinice Risikokatalog Plus (ISO 27001 / ISO 27019) inkl. Datenschutzmodul 3.0"
verinice Datenschutzmodul 3 (ISO/ISM) verinice Datenschutzmodul 3 (ISO/ISM)
ab 1.130,50 €
Netto Preis: 950,00 €
verinice Datenschutzmodul 3 (Grundschutz) verinice Datenschutzmodul 3 (Grundschutz)
ab 1.130,50 €
Netto Preis: 950,00 €