verinice. ISO 27019 Katalog - Grundschutz Edition

999,60 €

Preise inkl. gesetzlicher MwSt.

Netto Preis: 840,00 €

Versandkostenfreie Lieferung!

Als Download verfügbar

Laufzeit:

  • EVU-DE-ITGS.1
Der verinice. Risikokatalog PLUS 27019  ist eine direkt in verinice importierbare Datei,... mehr
Produktinformationen "verinice. ISO 27019 Katalog - Grundschutz Edition"

Der verinice. Risikokatalog PLUS 27019 ist eine direkt in verinice importierbare Datei, die einen umfangreichen Katalog von generischen aber dennoch detaillierten Bedrohungen, Schwachstellen und Risikoszenarien liefert. Sie beschleunigt die Risikoanalyse erheblich und enthält dazu einen Maßnahmenkatalog nach DIN ISO/IEC TR 27019. Ebenfalls enthalten ist eine Liste von Beispiel-Assets und Prozessen, die als Grundlage für die eigene Risikobetrachtung dienen können.

Der Katalog enthält Inhalte aus den Original-Standards ISO 27002 und ISO 27005, lizenziert über den Beuth Verlag. Siehe dazu auch den Copyright-Hinweis am Ende dieses Textes. Der Preis der hier im Shop verkauften Lizenz berechnet sich nach Laufzeit in Jahren und Anzahl der Benutzer: Für die hier im Shop erhältliche Einzelplatzversion "verinice Client" ist die Benutzerzahl natürlich "1", für die Mehrplatz-Version "verinice.PRO" muss die Anzahl der gleichzeitig zugreifenden Nutzer angegeben werden.

Der hier ebenfalls enthaltene Maßnahmenkatalog nach DIN ISO/IEC TR 27019 beinhaltet alles Notwendige, um mit verinice die Anforderungen des IT-Sicherheitskatalog der Bundesnetzagentur gem. §11 Absatz 1a zu erfüllen.

verinice löst speziell das Problem, dass die DIN SPEC 27019 noch auf die inzwischen veraltete Version DIN ISO/IEC 27002:2005 verweist, der Katalog aber auch den Nachweis in der geltenden Fassung DIN ISO/IEC 27002:2015 fordert. Durch geeignete Zuordnung sind alle Controls der alten Fassung sowie der aktuelle Standard passend verbunden. Die Umsetzung aller notwendigen Maßnahmen lässt sich so mit geringstmöglichem Aufwand sicherstellen und nachweisen. Die Anwendung des PDCA-Zyklus für alle Prozesse des ISMS lässt sich mit verinice konsequent umsetzen und nachweisen.

Die Subskription von verinice.PRO beinhaltet bereits diesen Katalog, die Benutzeranleitung und andere Inhalte.

Geltungsbereich

verinice ermöglicht das Erfassen aller für die Zertifizierung und Risikoanalyse (s.u.) zwingend zu berücksichtigenden Informationswerte (Assets). Vorgegeben sind in diesem Katalog schon alle Assets gem. Anhang D IT-Sicherheitskatalog:

  • Messsysteme zu netzbetrieblichen Zwecken,
  • TK-Systeme zur Netzsteuerung,
  • EDV-Systeme zur Netzsteuerung,
  • Messeinrichtungen an Trafo- oder Netzkoppelstationen
  • et al.

Risikoanalyse

Betreibt ein Strom- oder Gasnetzbetreiber keine vom IT-Sicherheitskatalog erfassten Systeme in seinem Netz und lässt diese auch nicht von einem externen Dienstleister betreiben, besteht keine Umsetzungspflicht für die Sicherheitsanforderungen des IT-Sicherheitskatalogs. Es bedarf dann auch keiner Zertifizierung.

Dies ist jedoch zu begründen und durch geeignete Nachweise zu belegen. Die Telekommunikations- und elektronischen Datenverarbeitungssysteme eines Netzbetreibers, die für einen sicheren Netzbetrieb notwendig sind, sind lt. IT-Sicherheitskatalog durch die geforderte Risikoeinschätzung zu ermitteln. Somit ist eine Risikoanalyse in jedem Fall zu erstellen.

Die in verinice implementierte Methode zur Risikoanlayse entspricht den lt. IT-Sicherheitskatalog der Bundesnetzagentur gem. §11 Absatz 1a vorgegebenen zugrundeliegenden Standards.

Dabei werden alle Schadenskategorien für Netzbetreiber explizit berücksichtigt:

  • Beeinträchtigung der Versorgungssicherheit
  • Einschränkung des Energieflusses
  • Betroffener Bevölkerungsanteil
  • Gefährdung für Leib und Leben
  • Auswirkungen auf weitere Infrastrukturen (z. B.  vor- und nachgelagerte Netzbetreiber, Wasserversorgung)
  • Gefährdung für Datensicherheit und Datenschutz durch Offenlegung oder
  • Manipulation
  • Finanzielle Auswirkungen

Der enthaltene Gefährdungskatalog berücksichtigt alle vorgeschriebenen Kategorien:

  • Vorsätzliche Handkungen (Gezielte IT-Angriffe, Schadsoftware, Abhören der Kommunikation uvm.)
  • Höhere Gewalt
  • Organisatorische Mängel
  • Menschliche Fehlhandlungen
  • Technisches Versagen
  • Versagen oder Beeinträchtigung anderer für die Netzsteuerung relevanter Infrastrukturen und externer Dienstleistungen
  • Ungezielte Angriffe und Irrläufer von Schadsoftware

Alle typischerweise im EVU-Umfeld zu berücksichtigten Assets sind bereits angelegt und mit den jeweils passenden Risikoszenarien verknüpft:

  • Informationen (z.B. Messwert- und Meldungsarchive, Parametrierdaten, Zählwerte...)
  • Dienstleistungen (z.B. Informationsdienste, Notfalldienste...)
  • Physische Wertre (z.B. digitale Mess- und Zählvorrichtungen, Schreibersysteme, Leittechnik- und Automatisierungskomponenten...)
  • Software (z.B. Energiemanagement- und Überwachungssysteme, Simulationssoftware, Visualisierungssysteme...)

Die Behandlung aller Risiken durch geeignete Maßnahmen nach dem Stand der Technik kann mit verinice dokumentiert und nachgewiesen werden.

Outsourcing

Werden Anwendungen, Systeme und Komponenten, die der Anwendung des Katalogs unterliegen, nicht vom Netzbetreiber selbst betrieben, sondern von Dritten – beispielsweise durch Outsourcing oder bei der Aufgabenwahrnehmung der Marktgebietsverantwortlichen im Gasbereich – ist die Anwendung und Umsetzung des Katalogs durch entsprechende Vereinbarungen sicherzustellen.

verinice ermöglicht auch die Prüfung der eigenen Dienstleister durch geeignete Prüfkataloge, z.B. über das integrierte "IS-Assessment" mit Zuordnung zu allen Controls der ISO 27002:2013.

Fristen

Umsetzungsfrist ist der 31.Januar 2018. Aufgrund des Projektaufwandes sowie der notwendigen Fristen zur Anmeldung und Durchführug des Zertifizierungaudits, sollte mit der Umsetzung unmittelbar begonnen werden. verinice beschleunigt den Prozess der Risikoanalyse sowie der Dokumentation und Nachweisbarkeit des ISMS um ein Vielfaches.

Hinweis

Der Katalog enthält zwei Datenbanken:

  1. Eine vollständige Abbildung aller Maßnahmen der DIN ISO/IEC TR 27019 als zusätzliche Bausteine im Grundschutz Modell. Die Anforderungen der TR können somit erfüllt werden, indem Sie die detailliert beschriebenen Grundschutzmaßnahmen Schritt für Schritt umsetzen.
  2. Ein Abbildung aller Maßnahmen der DIN ISO/IEC TR 27019 auf die Maßnahmen der Standards ISO 27001:2013 und ISO 27001:2005. Dabei sind bereits alle EVU-Maßnahmen mit passenden Risikoszenarien verknüpft. Somit wird das Erstellen der von der BNetzA in jedem Fall geforderten Risikoanalyse in kürzester Zeit möglich.

Wir danken Dirk Brand und allen Kolleginnen und Kollegen der SILA-Consulting, die bei der Erstellung dieses Katalogs Beiträge geleistet haben.

Die in dieser Software wiedergegebenen technischen Regeln (DIN-, EN-, ISO- und ISO/IEC-Normen) sind urheberrechtlich geschützt und zur Nutzung im Rahmen dieser Software von der Beuth Verlag GmbH, Berlin, lizenziert. Jede Vervielfältigung der technischen Regeln außerhalb dieser Software, zum Beispiel durch Ausdruck oder Abspeichern, ist untersagt. Die technischen Regeln können bei der Beuth Verlag GmbH (www.beuth.de) erworben werden.

Weiterführende Links zu "verinice. ISO 27019 Katalog - Grundschutz Edition"
verinice. ISO 27019 Katalog - ISM Edition verinice. ISO 27019 Katalog - ISM Edition
ab 999,60 €
Netto Preis: 840,00 €
verinice. ISO 27005 Katalog verinice. ISO 27005 Katalog
ab 499,80 €
Netto Preis: 420,00 €