KRITIS Management-Systeme

Mit nationalen und internationalen Standards können KRITIS-Betreiber ein ISMS als vollständiges Management-System zum Schutz ihrer Kritischer Infrastrukturen aufbauen. Diese Standards umfassen KRITIS-spezifische Rahmenwerke aber auch allgemeine Standards für Informations­sicherheit und ISMS.

Standard Bereich Umfang
BSI Konkretisierung KRITIS Kontrollen
IDW PH 9.860.2 KRITIS Kontrollen
NIST CSF KRITIS Vorgehen/Funktionen
ISO 27001:2013 Informations­sicherheit ISMS, Kontrollen
ISO 27001:2022 Informations­sicherheit Kontrollen
C5:2016 Cloud Kontrollen
C5:2020 Cloud Kontrollen
BSI IT-Grundschutz Informations­sicherheit ISMS, Vorgehen, Bausteine

Neben den allgemeinen Standards gibt es spezifische Vorgaben für Branchen, Industrien und Technologien. Diese beschränken sich meist auf eine bestimmte Branche mit bestimmten Anforderungen für Sicherheits­maßnahmen für die Anlagen oder IT der Branche.

Standards

DE Mapping von Cyber Security Standards und KRITIS

Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022

Sicherheit in Kritischen Infrastrukturen

BSI Konkretisierung KRITIS

Der BSI KRITIS-Standard Konkretisierung der Anforderungen an die gemäß §8a Absatz 1 BSIG umzusetzenden Maßnahmen (PDF) definiert Sicherheits­anforderungen an Betreiber Kritischer Infrastrukturen, basierend auf dem Cloud-Sicherheits­standard C5:2016.

Die insgesamt 100 Kontrollen sind ein Anforderungs­katalog, um Betreibern und Prüfern geeignete Kriterien für die Nachweis­erbringung zur Verfügung zu stellen. Dieser Katalog ist nicht verbindlich und auch kein (normativer) Standard, kann aber eine Orientierung für den Aufbau von Sicherheits­management in KRITIS sein, der Prüfern und dem BSI bekannt ist.

Es gibt ein Mapping der BSI KRITIS-Anforderungen auf ISO 27001, C5 und NIST; die Kontrollen der BSI Konkretisierung lassen sich in folgende Gruppen zusammenfassen:

eigene Zusammenstellung, nach Konkretisierung der Anforderungen, BSI, 1.0 2020
Kategorie Beschreibung Kontrollen
ISMS Management-System für Informationssicherheit 21
BCM und Notfall-Management Business Continuity Management und IT-Notfallmanagement 4
Risiko und Assets Risiko-Management und Asset-Management 12
KRITIS KRITIS-Organisation und Meldestelle. 2
Technologie Technische Maßnahmen IT 36
Angriffserkennung Systeme zur Angriffserkennung. 13
IAM Berechtigungen 7
Gebäude Physische Sicherheit 6
Lieferanten Externe 2

up

IDW PH 9.860.2

Der Prüfhinweis PH 9.860.2 für Kritische Infrastrukturen richtet sich an Prüfungsgesellschaften für die Durchführung von KRITIS-Prüfungen. Analog zum BSI-Dokument Konkretisierung der Anforderungen basiert der PH 9.860.2 auf C5:2016, abgewandelt für Kritische Infrastrukturen.

Der Schwerpunkt vom IDW PH 9.860.2 ist der kontroll-basierte Nachweis von KRITIS-Anforderungen, der Standard beschreibt daher ein prüfbares Kontroll-Rahmenwerk das Betreiber und Prüfer für KRITIS nutzen können.

eigene Zusammenstellung, nach Prüfhinweis PH 9.860.2, IDW, 2019
Kapitel Inhalt Kontrollen
2.1 Informationssicherheitsmanagementsystem (ISMS) 4
2.2 Asset Management 8
2.3 Risikoanalysemethode 4
2.4 Continuity Management 3
2.5 Technische Informationssicherheit 36
2.6 Personelle und organisatorische Sicherheit 15
2.7 Bauliche/physische Sicherheit 6
2.8 Vorfallserkennung und -bearbeitung 6
2.9 Überprüfung im laufenden Betrieb 14
2.10 Externe Informationsversorgung und Unterstützung 3
2.11 Meldewesen 1
2.12 Externe 2

Anpassungen für C5:2020 und weitere Änderungen (wie die OH-SZA) sind in Arbeit.

up

NIST Critical Infrastructure Cybersecurity

Das NIST Cybersecurity Framework CSF (PDF) ist ein US-amerikanisches Rahmenwerk für Betreiber Kritischer Infrastrukturen. NIST CSF ist ein modular aufgebautes System und ermöglicht Organisationen unterschiedlicher Reifegrade, ihre Cyber Security aufzubauen zu verbessern. Die NIST-Methodik besteht aus drei flexiblen Komponenten:

Das aktuelle NIST Cybersecurity Framework 1.1 enthält 108 Subkategorien für IT-Sicherheit in den fünf NIST Kernfunktionen. NIST CSF kann dabei durch andere Standards konkretisiert oder ergänzt werden — die Subkategorien sind nicht sehr preskriptiv.

eigene Zusammenstellung, nach NIST CSF 1.1
Kapitel Bereich Kontrollen
ID Identify
ID.AM Asset Management 6
ID.BE Geschäftsumgebung 5
ID.GV Governance und Organisation 4
ID.RA Risiko-Bewertung 6
ID.RM Risiko-Management Strategie 3
ID.SC Lieferkette 5
PR Protect
PR.AC Identitäten und Zugangskontrolle 7
PR.AT Awareness und Training 5
PR.DS Datensicherheit 8
PR.IP Schutz von Informationen 12
PR.MA Wartung 2
PR.PT Technische Sicherheit 5
DE Detect
DE.AE Anomalien und Events 5
DE.CM Monitoring 8
DE.DP Detektions­prozesse 5
RS Respond
RS.RP Planung der Bewältigung 1
RS.CO Kommunikation im Notfall 5
RS.AN Meldungen und Analyse 5
RS.MI Behebung von Incidents 3
RS.IM Verbesserung 3
RC Recover
RC.RP Planung 1
RC.IM Verbesserung 2
RC.CO Kommunikation 3

Es gibt ein Mapping von NIST CSF auf BSI KRITIS, sowie ISO 27001, C5:2016/2020 und mehr.

up

Informations­sicherheit

ISO 27001:2013

ISO 27001 ist ein internationaler Standard für das Management von Informations­sicherheit. Der Standard ISO 27001 enthält die Definition eines Management-Systems mit Kontrollen im Annex A als normative Anforderungen für Cyber Security. Diese Kontrollen basieren auf den Best Practices des Standards ISO 27002.

Ein ISO 27001 ISMS kann eine sinnvolle Grundlage für das Management von Informations­sicherheit in KRITIS-Anlagen sein, um die einzelnen KRITIS-Anforderungen durch Kontrollen umzusetzen. Eine Zertifizierung nach ISO 27001 wiederum kann einige Schritte im Nachweis­prozess der KRITIS-Prüfungen erleichtern.

Der aktuelle Standard ISO 27001:2013 enthält im Annex A ingesamt 114 Kontrollen:

eigene Zusammenstellung, nach ISO 27001:2013
Kapitel Bereich Kontrollen
4-10 Management-System -
A.5 Security Policies 2
A.6 Sicherheits­organisation 7
A.7 Personelle Sicherheut 6
A.8 Asset Management 10
A.9 Zugriffskontrolle 14
A.10 Kryptographie 2
A.11 Physische Sicherheit 15
A.12 Sicherer Betrieb 14
A.13 Kommunikations­sicherheit 7
A.14 Entwicklung und Beschaffung 13
A.15 Zulieferer 5
A.16 Vorfallsmanagement 7
A.17 Business Continuity Management 4
A.18 Compliance 8

Es gibt ein Mapping von ISO 27001 auf die BSI KRITIS-Anforderungen, inklusive C5 2016 und 2020, NIST CSF und dem TKG Sicherheitskatalog 2.0.

ISO 27002:2022

Die Best Practices für den ISO 27001 Standard werden in der aktualisierten ISO 27002:2022 in vier Bereiche und 93 Kontrollen überarbeitet und zusammengefasst. Diese Kontrollen sollen im Laufe von 2022 als Anhang zum aktuellen Standard ISO 27001:2013 veröffentlicht werden (eine komplett überarbeitete ISO 27001 steht erst in den nächsten Jahren an).

eigene Zusammenstellung, nach ISO 27002:2022
Kapitel Bereich und Domänen Kontrollen
A.5 Organisation 37
A.6 Personelle Sicherheit 8
A.7 Physische Sicherheit 14
A.8 Technologien 34

Für Technologien wie Cloud, Telekommunikation und Energie gibt es Erweiterungen der ISO 27001 Kontrollen, in Form der ISO 2701X Standards. Die Codes of conduct wie ISO 27011, ISO 27017 und ISO 27019 können nicht eigenständig zertifiziert werden, erlauben Betreibern jedoch eine passende(re) Auswahl an Sicherheits­kontrollen.

Zum ISMS-Abgleich gibt es ein KRITIS-Mapping für ISO 27002:2022 und ISO 27001:2013, auch mit C5, NIS und TKG.

up

C5 Cloud

C5 ist ein Standard für Informations­sicherheit in Cloud Computing, herausgegeben vom BSI. Obwohl formell auf Cloud-Anbieter fokussiert, wird C5 in der Industrie häufig als genereller Sicherheits­standard eingesetzt — auch bei KRITIS-Betreibern. Sowohl die Konkretisierung der Anforderungen des BSI als auch der IDW KRITIS Prüfhinweis 9.860.2 nutzen C5-Kontrollen.

Der C5-Standard enthält vor allem Sicherheits­anforderungen in einer großen Bandbreite an Einzelthemen — definiert in 127 Kontrollen in der aktuellen Version C5:2020.

eigene Zusammenstellung, nach C5:2020
Kapitel Bereich Kontrollen
OIS Organisation 7
SP Richtlinien 3
HR Personal 6
AM Asset Management 6
PS Physische Sicherheit 7
OPS Regelbetrieb 24
IDM Identitäten und Berechtigungen 9
CRY Kryptographie 4
COS Kommunikations­sicherheit 8
PI Portabilität und Interoperabilität 3
DEV Beschaffung und Entwicklung 10
SSO Dienstleister­steuerung 5
SIM Vorfallsmanagement 5
BCM Business Continuity Management 4
COM Compliance 4
INQ Staatliche Stellen 4
PSS Produktsicherheit 12

Die BSI KRITIS-Anforderungen nutzen aktuell noch C5:2016, die aktuellen C5:2020 Kontrollen sind im Mapping KRITIS auf C5 aufgeführt, das auch ISO 27001, NIST CSF und TKG enthält.

up

BSI IT-Grundschutz

IT-Grundschutz ist ein nationaler allgemeiner Standard für Informations­sicherheit, der seit 1994 vom BSI herausgegeben wird. Entstanden im Behördenumfeld, wird der IT-Grundschutz seit jeher vor allem von öffentlichen Aufgabenträgern eingesetzt, für die das methodisch sehr stringente Vorgehen teilweise verpflichtend ist. Der Standard besteht aus mehreren Teilen:

Eine Zertifizierung nach BSI IT-Grundschutz kann wie ISO 27001 im Rahmen des Nachweis­prozesses der KRITIS-Prüfungen einige Schritte erleichtern. Es gibt weiterhin Bestrebungen, mit der Methodik vom IT-Grundschutz Gerüste für den Geltungsbereich und branchen­spezifische Referenz­architekturen von Anlagen zu entwickeln (Profile bzw. Bausteine) .

Die allgemeinen BSI IT-Grundschutz Bausteine decken sehr viele Themen ab mit jeweils noch viele Einzel- und Unter­anforderungen. Sie sind aktuell (2022) wie folgt aufgeteilt:

eigene Zusammenstellung, nach dem IT-Grundschutz-Kompendium 2022
Kapitel Bereich Kontrollen
ISMS Sicherheitsmanagement 1
ORP Organisation und Personal 5
CON Konzeption und Herangehensweise 10
OPS Betrieb 13
DER Detektion und Reaktion 7
APP Anwendungen 19
SYS IT-Systeme 22
IND Industrielle IT 7
NET Netze und Kommunikation 10
INF Infrastruktur 12

up

Weitere Informationen

Literatur

  1. KRITIS-Branchen­standards auf OpenKRITIS
  2. Mapping KRITIS auf Security Standards von OpenKRITIS
  3. Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  4. NIST Critical Infrastructure Resources, National Institute of Standards and Technology
  5. Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards, National Institute of Standards and Technology, September 2021
  6. Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß §8a Absatz 3 BSIG, FAQ, Bundesamt für Sicherheit in der Informationstechnik
  7. Broschüre Informations­sicherheit mit System - Der IT-Grundschutz des BSI", Bundesamt für Sicherheit in der Informationstechnik, 2021
  8. NIST Cybersecurity Framework, Webseite, NIST - National Institute of Standards and Technology

Quellen

  1. ISO/IEC 27001:2013/DAMD 1, Amendment 1, ISO/IEC JTC 1/SC 27, 2022
  2. ISO 27002:2022 update, Instant 27002, März 2022
  3. ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements, International Organization for Standardization
  4. BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS), Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017
  5. Kriterienkatalog Cloud Computing C5:2020, Bundesamt für Sicherheit in der Informationstechnik, Version 2020
  6. Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018
  7. Framework for Improving Critical Infrastructure Cybersecurity (Excel-Version), NIST - National Institute of Standards and Technology, Version 1.1, April 2018