1 Einleitung
ISO/IEC 27019
Der Standard ISO/IEC 27019 [1] , Information technology – Security techniques – Information security controls for the energy utility industry, erweitert die Ausführungen der ISO/IEC 27002:2013 im Hinblick auf Prozesssteuerungssysteme und Automatisierungstechnik. Dies ermöglicht es Energieversorgungsunternehmen (EVU), ein ISO/IEC-27001-konformes ISMS aufzubauen, das sich von der Geschäftsebene bis hin zur Prozesssteuerungsebene erstreckt. Die deutsche Fassung der Norm liegt als DIN ISO/IEC 27019:2018 Entwurf [2] vor.
Der Standard ISO/IEC 27019 [1] , Information technology – Security techniques – Information security controls for the energy utility industry, erweitert die Ausführungen der ISO/IEC 27002:2013 im Hinblick auf Prozesssteuerungssysteme und Automatisierungstechnik. Dies ermöglicht es Energieversorgungsunternehmen (EVU), ein ISO/IEC-27001-konformes ISMS aufzubauen, das sich von der Geschäftsebene bis hin zur Prozesssteuerungsebene erstreckt. Die deutsche Fassung der Norm liegt als DIN ISO/IEC 27019:2018 Entwurf [2] vor.
Die Anfangskapitel des Standards gehen nach der Einleitung wie üblich auf den Geltungsbereich des Standards sowie normative Referenzen ein und enthalten Begriffe und deren Definition. An das Kapitel mit Informationen zur Struktur des Standards schließen sich die folgenden Kapitel an:
• | Informationssicherheitsrichtlinien |
• | Organisation der Informationssicherheit |
• | Personalsicherheit |
• | Verwaltung der Werte (Asset Management) |
• | Zugangssteuerung |
• | Kryptografie |
• | Physische und umgebungsbezogene Sicherheit |
• | Betriebssicherheit |
• | Kommunikationssicherheit |
• | Anschaffung, Entwicklung und Instandhaltung von Systemen |
• | Lieferantenbeziehungen |
• | Handhabung von Informationssicherheitsvorfällen |
• | Informationssicherheitsaspekte beim Business Continuity Management |
• | Compliance |
• | Anhang A: Energieversorgungsspezifische Referenzmaßnahmenziele und Maßnahmen |
• | Literaturhinweise |
2 Überblick
Prozesssteuerungssysteme
Bei der Versorgung mit Energie in Form von Elektrizität, Gas, Öl oder Wärme kommen Prozesssteuerungssysteme zum Einsatz. Diese können zur kritischen Infrastruktur gehören. Prozesssteuerungssysteme sammeln und verarbeiten Daten, überwachen Prozesse und steuern Aktoren. Daher ist eine angemessene Informationssicherheit durch ein ISMS, das mit der ISO/IEC 27001:2013 übereinstimmt, wesentlich.
Bei der Versorgung mit Energie in Form von Elektrizität, Gas, Öl oder Wärme kommen Prozesssteuerungssysteme zum Einsatz. Diese können zur kritischen Infrastruktur gehören. Prozesssteuerungssysteme sammeln und verarbeiten Daten, überwachen Prozesse und steuern Aktoren. Daher ist eine angemessene Informationssicherheit durch ein ISMS, das mit der ISO/IEC 27001:2013 übereinstimmt, wesentlich.