Kategorien
Cybersecurity

Schutzmaßnahmen nach IT-Grundschutz

Der BSI-Standard 200-2 beschreibt eine Methodik für ein Management von Informationssicherheit und damit zur Umsetzung von IT-Grundschutz. Man kann auch sagen, der BSI-Standard 200-2 beschreibt die IT-Grundschutz-Methodik. Unterschieden werden dabei die „Standard-Absicherung“, „Basis-Absicherung“ und „Kern-Absicherung“.

Umsetzung von IT-Grundschutz

Der Prozess der Informationssicherheit

Der Bezug zu OT-Systemen

Der BSI-Standard 200-2 spricht bewusst von Informationssicherheit und nicht nur von IT-Sicherheit, wie man bei einer Methodik für den IT-Grundschutz erwarten könnte. Explizit wird in dem Standard darauf hingewiesen, dass die Aufgabe der Informationssicherheit der angemessene Schutz der Grundwerte Vertraulichkeit, Integrität (Unverfälschtheit) und Verfügbarkeit aller Informationen ist.

Dazu gehöre auch die Absicherung der Informationsverarbeitung, also insbesondere der IT, so BSI-Standard 200-2. Darüber hinaus müssten aber auch die Systeme einbezogen werden, die häufig nicht unmittelbar als IT-Systeme wahrgenommen werden, wie beispielsweise ICS- und IoT-Systeme.

Damit wird erneut deutlich, dass sich der IT-Grundschutz in vielen Teilen zur Übertragung auf OT-Systeme eignet.

Die Schritte zur Informationssicherheit

Entsprechend ist es auch für OT-Systeme angeraten, die folgenden Schritte zum Aufbau und Erhalt der Informationssicherheit anzugehen, wie im BSI-Standard 200-2 dargelegt:

  • Initiierung des Sicherheitsprozesses (Übernahme der Verantwortung durch die Leitungsebene, Konzeption und Planung des Sicherheitsprozesses, Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen, Entscheidung für eine Vorgehensweise)
  • Informationssicherheitsmanagement mit IT-Grundschutz (Erstellung der Leitlinie zur Informationssicherheit, Aufbau einer geeigneten Organisationsstruktur für das Informationssicherheitsmanagement, Erstellung einer Sicherheitskonzeption, Umsetzung der Sicherheitskonzeption)
  • Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit (Fortentwicklung des ISMS (Informationssicherheitsmanagementsystem), Erweiterung der gewählten Vorgehensweise)

Für die Konzeption der Informationssicherheit müssen im OT-Bereiche verschiedene Vorbereitungen getroffen werden:

  • Ersterfassung der Prozesse, Anwendungen und OT-Systeme (Gesamtübersicht)
  • Erfassung der relevanten Objekte (Was muss geschützt werden?)
  • Abschätzung des Sicherheitsniveaus, Erstellung eines grafischen Netzplans

Wahl der Absicherung

Der BSI-Standard 200-2 nennt drei verschiedene Vorgehensweisen oder Absicherungen, die „Standard-Absicherung“, „Basis-Absicherung“ und „Kern-Absicherung“. Diese definiert der Standard so:

  • Die Basis-Absicherung verfolgt das Ziel, als Einstieg in den IT-Grundschutz zunächst eine breite, grundlegende Erst-Absicherung über alle relevanten Geschäftsprozesse bzw. Fachverfahren einer Institution (oder speziell im OT-Bereich) hinweg zu erlangen.
  • Über die Kern-Absicherung kann eine Institution als Einstieg in den IT-Grundschutz bzw. den Sicherheitsprozess zunächst besonders gefährdete Geschäftsprozesse und OT-Assets vorrangig absichern.
  • Die Standard-Absicherung entspricht im Wesentlichen der klassischen IT-Grundschutz-Vorgehensweise. Mit der Standard-Absicherung kann eine Institution umfassend und tiefgehend abgesichert werden.

ICS-Informationssicherheitsbeauftragte (ICS-ISB)

Der BSI-Standard 200-2 nennt explizit die mögliche Rolle eines oder einer ICS-Informationssicherheitsbeauftragten (ICS-ISB). Als Aufgaben des oder der ICS-Informationssicherheitsbeauftragten nennt der Standard:

  • die allgemeingültigen Sicherheitsvorgaben der Informationssicherheitsleitlinie und weiterer Richtlinien im Bereich ICS /OT umsetzen,
  • gemeinsame Ziele aus dem Bereich der industriellen Steuerung und dem Gesamt-ISMS verfolgen und Projekte aktiv unterstützen,
  • für den ICS-/OT-Bereich Risikoanalysen durchführen, die den Vorgaben des Risikomanagements entsprechen,
  • Sicherheitsrichtlinien und Konzepte für den ICS/OT-Bereich unter Einbeziehung der Anforderungen aus Safety und Security erstellen und schulen,
  • eng mit dem Informationssicherheitsbeauftragten kooperieren,
  • als Ansprechpartner für ICS/OT-Sicherheit für die Mitarbeiter vor Ort und in der gesamten Institution dienen,
  • ICS/OT-Sicherheitsmaßnahmen erstellen und bei der Umsetzung mitwirken,
  • notwendige Dokumente zur ICS/OT-Sicherheit erstellen und diese kommunizieren,
  • Informationen über Schulungs- und Sensibilisierungsbedarf der Beschäftigten im ICS/OT-Bereich ermitteln und Aktivitäten initiieren sowie
  • Sicherheitsvorfälle im ICS/OT-Bereich zusammen mit dem Informationssicherheitsbeauftragten bearbeiten.

Offensichtlich ist die Rolle eines oder einer OT-Sicherheitsbeauftragten und die Durchführung der genannten Aufgaben entscheidend für die Definition, Umsetzung und Kontrolle der Schutzmaßnahmen im OT-Bereich unter Anlehnung an IT-Grundschutz.

BSI (Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/DE/Home/home_node.html

BSI-Standard 200-2 IT-Grundschutz-Methodik
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-2-IT-Grundschutz-Methodik/bsi-standard-200-2-it-grundschutz-methodik_node.html

IT-Grundschutz-Kompendium des BSI
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

Sie haben eine Frage an einen erfahrenen CE-Berater?

Senden Sie uns Ihre Anfrage. Im Gespräch mit Ihnen finden wir den für Sie optimalen Berater. Die Vereinbarungen mit Ihnen sind individuell auf Ihre Aufgabenstellung zugeschnitten und können von einem beratenden Telefongespräch bis hin zu einer mehrtägigen Begleitung in Ihrem Unternehmen und der vollständigen Durchführung der CE-Kennzeichnung reichen. Die Beratungskosten richten sich nach Art und Umfang Ihrer Anforderung.

Individuelle Beratung anfordern