KRITIS Management-Systeme
Mit nationalen und internationalen Standards können KRITIS-Betreiber ein ISMS, ein vollständiges Management-System zum Schutz ihrer Kritischer Infrastrukturen aufbauen, das Prozesse, Governance und Kontrollen enthält. Neben Standards für Management-Systeme gibt es auch KRITIS- und sektorspezifische Standards.
- Management von Informationssicherheit: Umfassende Standards, die ein allgemeines Managementsystem zum Umgang mit Risiken und Informationssicherheit definieren — in der Regel mit verbindlicher Methodik und Struktur.
- Branchen, Industrien und Technologien: Standards, die sich meist auf eine bestimmte Branche beschränken und dort spezifische Vorgaben für Sicherheitsmaßnahmen für die Anlagen oder IT der Branche definieren.
Im Folgenden sind KRITIS-Standards und Cyber Security Standards aufgeführt — BSI KRITIS und NIST CSF und für allgemeines Management ISO 27001, BSI IT-Grundschutz und C5.
DE Mapping von Cyber Security Standards und KRITIS
Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙
OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022
Sicherheit in Kritischen Infrastrukturen
BSI Konkretisierung KRITIS
Das vom BSI herausgegebene Dokument Konkretisierung der Anforderungen an die gemäß §8a Absatz 1 BSIG umzusetzenden Maßnahmen (PDF) definiert Sicherheitsanforderungen an Betreiber Kritischer Infrastrukturen, basierend auf dem Sicherheitsstandard C5:2016.
Die insgesamt 100 Kontrollen sind ein Anforderungskatalog
, um Betreibern und Prüfern geeignete Kriterien
für die Nachweiserbringung zur Verfügung zu stellen.
Dieser Katalog ist nicht verbindlich und auch kein (normativer) Standard, kann aber eine Orientierung für den Aufbau von Sicherheitsmanagement in KRITIS sein, der Prüfern und dem BSI bekannt ist.
Es gibt ein Mapping der BSI KRITIS-Anforderungen auf ISO 27001, C5 und NIST.
PS: Der IDW-Prüfstandard für das IT-Sicherheitsgesetz PH 9.860.2 ist der BSI Konkretisierung der Anforderungen sehr ähnlich, beide orientieren sich an denselben 100 C5-Anforderungen.
NIST Critical Infrastructure Cybersecurity
Das NIST Cybersecurity Framework CSF (PDF) ist ein US-amerikanisches Rahmenwerk für Betreiber Kritischer Infrastrukturen. NIST CSF ist ein modular aufgebautes System und ermöglicht Organisationen unterschiedlicher Reifegrade, ihre Cyber Security aufzubauen zu verbessern. Die NIST-Methodik besteht aus drei flexiblen Komponenten:
- Framework Core: Die fünf NIST-Kernfunktionen Identify (ID), Protect (PR), Detect (DE), Respond (RS), Recover (RC) mit einzelnen Sicherheitsanforderungen für das Business
- Implementation Tiers: Definiert zur Implementierung von NIST in vier Reifegraden (Tiers) den Kontext und die Vorgehensweise der Organisation
- Framework Profile: Beschreibt ein risikoorientiertes Vorgehen mit Ist- und Zielprofilen, das Organisationen zur Selbsteinschätzung und Zieldefinition nutzen sollen
NIST CSF Kontrollen
Das aktuelle NIST Cybersecurity Framework 1.1 enthält 108 Subkategorien für IT-Sicherheit in den fünf NIST Kernfunktionen. NIST CSF kann dabei durch andere Standards konkretisiert oder ergänzt werden — die Subkategorien sind nicht sehr preskriptiv.
| Kapitel | Bereich | Kontrollen |
|---|---|---|
| ID | Identify | |
| ID.AM | Asset Management | 6 |
| ID.BE | Geschäftsumgebung | 5 |
| ID.GV | Governance und Organisation | 4 |
| ID.RA | Risiko-Bewertung | 6 |
| ID.RM | Risiko-Management Strategie | 3 |
| ID.SC | Lieferkette | 5 |
| PR | Protect | |
| PR.AC | Identitäten und Zugangskontrolle | 7 |
| PR.AT | Awareness und Training | 5 |
| PR.DS | Datensicherheit | 8 |
| PR.IP | Schutz von Informationen | 12 |
| PR.MA | Wartung | 2 |
| PR.PT | Technische Sicherheit | 5 |
| DE | Detect | |
| DE.AE | Anomalien und Events | 5 |
| DE.CM | Monitoring | 8 |
| DE.DP | Detektionsprozesse | 5 |
| RS | Respond | |
| RS.RP | Planung der Bewältigung | 1 |
| RS.CO | Kommunikation im Notfall | 5 |
| RS.AN | Meldungen und Analyse | 5 |
| RS.MI | Behebung von Incidents | 3 |
| RS.IM | Verbesserung | 3 |
| RC | Recover | |
| RC.RP | Planung | 1 |
| RC.IM | Verbesserung | 2 |
| RC.CO | Kommunikation | 3 |
Mapping zu KRITIS
Es gibt ein Mapping von NIST CSF auf die BSI KRITIS-Anforderungen, inklusive ISO 27001, C5 2016 und 2020 und dem TKG Sicherheitskatalog 2.0.
Informationssicherheit
ISO 27001
ISO 27001 ist ein internationaler Standard für das Management von Informationssicherheit. Der Standard ISO 27001 enthält die Definition eines Management-Systems mit Kontrollen im Annex A als normative Anforderungen für Cyber Security. Diese Kontrollen basieren auf den Best Practices des Standards ISO 27002.
Ein ISO 27001 ISMS kann eine sinnvolle Grundlage für das Management von Informationssicherheit in KRITIS-Anlagen sein, um die einzelnen KRITIS-Anforderungen durch Kontrollen umzusetzen. Eine Zertifizierung nach ISO 27001 wiederum kann einige Schritte im Nachweisprozess der KRITIS-Prüfungen erleichtern.
ISO 27001:2013
Der aktuelle Standard ISO 27001:2013 enthält im Annex A ingesamt 114 Kontrollen:
| Kapitel | Bereich | Kontrollen |
|---|---|---|
| 4-10 | Management-System | - |
| A.5 | Security Policies | 2 |
| A.6 | Sicherheitsorganisation | 7 |
| A.7 | Personelle Sicherheut | 6 |
| A.8 | Asset Management | 10 |
| A.9 | Zugriffskontrolle | 14 |
| A.10 | Kryptographie | 2 |
| A.11 | Physische Sicherheit | 15 |
| A.12 | Sicherer Betrieb | 14 |
| A.13 | Kommunikationssicherheit | 7 |
| A.14 | Entwicklung und Beschaffung | 13 |
| A.15 | Zulieferer | 5 |
| A.16 | Vorfallsmanagement | 7 |
| A.17 | Business Continuity Management | 4 |
| A.18 | Compliance | 8 |
ISO 27001:2022
Die Best Practices wurden in ISO 27002:2022 in vier Bereiche und 93 Kontrollen überarbeitet und zusammengefasst. Diese Kontrollen sollen im Laufe von 2022 als Anhang zum aktuellen Standard ISO 27001:2013 veröffentlicht werden (eine komplett überarbeitete ISO 27001 steht erst in den nächsten Jahren an).
| Kapitel | Bereich und Domänen | Kontrollen |
|---|---|---|
| A.5 | Organisation | 37 |
| A.6 | Personelle Sicherheit | 8 |
| A.7 | Physische Sicherheit | 14 |
| A.8 | Technologien | 34 |
Mapping zu KRITIS
Es gibt ein Mapping von ISO 27001 auf die BSI KRITIS-Anforderungen, inklusive C5 2016 und 2020, NIST CSF und dem TKG Sicherheitskatalog 2.0.
ISO 2701X Erweiterungen
Für Technologien wie Cloud, Telekommunikation und Energie gibt es Erweiterungen der ISO 27001 Kontrollen, in Form der ISO 2701X Standards. Die Codes of conduct wie ISO 27011, ISO 27017 und ISO 27019 können nicht eigenständig zertifiziert werden, erlauben Betreibern jedoch eine passende(re) Auswahl an Sicherheitskontrollen.
C5 Cloud
C5 ist ein Standard für Informationssicherheit in Cloud Computing, herausgegeben vom BSI. Obwohl formell auf Cloud-Anbieter fokussiert, wird C5 in der Industrie häufig als genereller Sicherheitsstandard eingesetzt — auch bei KRITIS-Betreibern. Sowohl die Konkretisierung der Anforderungen des BSI als auch der IDW KRITIS Prüfhinweis 9.860.2 nutzen C5-Kontrollen.
Der C5-Standard enthält vor allem Sicherheitsanforderungen in einer großen Bandbreite an Einzelthemen — definiert in 127 Kontrollen in der aktuellen Version C5:2020.
| Kapitel | Bereich | Kontrollen |
|---|---|---|
| OIS | Organisation | 7 |
| SP | Richtlinien | 3 |
| HR | Personal | 6 |
| AM | Asset Management | 6 |
| PS | Physische Sicherheit | 7 |
| OPS | Regelbetrieb | 24 |
| IDM | Identitäten und Berechtigungen | 9 |
| CRY | Kryptographie | 4 |
| COS | Kommunikationssicherheit | 8 |
| PI | Portabilität und Interoperabilität | 3 |
| DEV | Beschaffung und Entwicklung | 10 |
| SSO | Dienstleistersteuerung | 5 |
| SIM | Vorfallsmanagement | 5 |
| BCM | Business Continuity Management | 4 |
| COM | Compliance | 4 |
| INQ | Staatliche Stellen | 4 |
| PSS | Produktsicherheit | 12 |
Die BSI KRITIS-Anforderungen nutzen aktuell noch C5:2016, die aktuellen C5:2020 Kontrollen sind im Mapping KRITIS auf C5 aufgeführt, das auch ISO 27001, NIST CSF und TKG enthält.
BSI IT-Grundschutz
IT-Grundschutz ist ein nationaler allgemeiner Standard für Informationssicherheit, der seit 1994 vom BSI herausgegeben wird. Entstanden im Behördenumfeld, wird der IT-Grundschutz seit jeher vor allem von öffentlichen Aufgabenträgern eingesetzt, für die das methodisch sehr stringente Vorgehen teilweise verpflichtend ist. Der Standard besteht aus mehreren Teilen:
- BSI-Standard 200-1: Management-System für Informationssicherheit (ISMS)
- BSI-Standard 200-2: Methodik zum Aufbau des ISMS und Anwendung von Grundschutz
- BSI-Standard 200-3: Risikomanagement und Analyse-Vorgehen
- BSI-Standard 200-4 (Draft): Management-System für Business Continuity (BCM)
- Grundschutz-Bausteine: Die Bausteine definieren die Sicherheitsanforderungen in einzelnen Themengebieten, Umgebungen und Sicherheitsniveaus. Nicht alle Bausteine sind verpflichtend.
- Grundschutz-Kompendium: Das Kompendium, vormals die Kataloge (mit ca. 3000 Seiten), enthält die Grundschutz-Bausteine, Gefährdungen und Struktur zum Vorgehen.
- Elementargefährdungen: 47 zusammengefasste elementare Gefährdungen für die Risikoanalyse.
Eine Zertifizierung nach BSI IT-Grundschutz kann wie ISO 27001 im Rahmen des Nachweisprozesses der KRITIS-Prüfungen einige Schritte erleichtern.
Es gibt weiterhin Bestrebungen, mit der Methodik vom IT-Grundschutz Gerüste für den Geltungsbereich und branchenspezifische Referenzarchitekturen
von Anlagen zu entwickeln (Profile bzw. Bausteine) .
Die allgemeinen BSI IT-Grundschutz Bausteine decken sehr viele Themen ab mit jeweils noch viele Einzel- und Unteranforderungen. Sie sind aktuell (2022) wie folgt aufgeteilt:
| Kapitel | Bereich | Kontrollen |
|---|---|---|
| ISMS | Sicherheitsmanagement | 1 |
| ORP | Organisation und Personal | 5 |
| CON | Konzeption und Herangehensweise | 10 |
| OPS | Betrieb | 13 |
| DER | Detektion und Reaktion | 7 |
| APP | Anwendungen | 19 |
| SYS | IT-Systeme | 22 |
| IND | Industrielle IT | 7 |
| NET | Netze und Kommunikation | 10 |
| INF | Infrastruktur | 12 |
Weitere Informationen
Literatur
- KRITIS-Branchenstandards auf OpenKRITIS
- Mapping KRITIS auf Security Standards von OpenKRITIS
- Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- NIST Critical Infrastructure Resources, National Institute of Standards and Technology
- Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards, National Institute of Standards and Technology, September 2021
- Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß §8a Absatz 3 BSIG, FAQ, Bundesamt für Sicherheit in der Informationstechnik
- Broschüre Informationssicherheit mit System - Der IT-Grundschutz des BSI", Bundesamt für Sicherheit in der Informationstechnik, 2021
- NIST Cybersecurity Framework, Webseite, NIST - National Institute of Standards and Technology
Quellen
- ISO/IEC 27001:2013/DAMD 1, Amendment 1, ISO/IEC JTC 1/SC 27, 2022
- ISO 27002:2022 update, Instant 27002, März 2022
- ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements, International Organization for Standardization
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS), Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017
- Kriterienkatalog Cloud Computing C5:2020, Bundesamt für Sicherheit in der Informationstechnik, Version 2020
- Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018
- Framework for Improving Critical Infrastructure Cybersecurity (Excel-Version), NIST - National Institute of Standards and Technology, Version 1.1, April 2018