Sysadmin > SecurityAndPentests > SecurityFrameworksMerged

Security Frameworks merged

I like to merge security frameworks as a groundwork for a security concept. I this case I start with NIST CSF and map ISO 27001 and KRITIS.

Legend

  • Main and first sub clause of the NIST CSF
  • leaf clause of the NIST CSF
  • mapped ISO/IEC 27001:2013 Controls and clauses
  • BSI KRITIS Maßnahmen
  • Comments for a security outline or concept
  • Other stuff

IDENTIFY (ID)

XXX Hier wird der Betrachtungsgegenstand festgelegt; denn man kann nur schützen was man kennt. Das geht über eine (Hardware-)Assetliste hinaus.
  • Festlegen der Business-Prozesse, mit denen man Geld verdient und die Rolle des Betrachtungsgegenstandes in diesen Prozessen.
  • ALLE Assets die dafür wichtig sind. Das kann Hardware, Software, (Kunden-)Daten und Personen und Dienstleister sein.
  • Die verantwortlichkeiten für diese Assets und notwendige Rollen
  • Anforderungen von Aussen, Rechtliche Rahmenbedingungen


Asset Management (ID.AM): The data, personnel, devices, systems, and facilities that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to organizational objectives and the organization’s risk strategy.

Inventar. Daten, Personal, Geräte, Systeme und Einrichtungen die einer Organisation ermöglichen ihre Aufaben/Geschäftsprozess zu erfüllen, sind bekannt und werden gemäß ihrer Wichtigkeit für die Geschäftsziele und gemäß der Risikostrategie verwaltet.

ID.AM-1: Physical devices and systems within the organization are inventoried

ISO/IEC 27001:2013 A.8.1.1 Inventory of assets

Assets associated with information and information processing facilities shall be identified and an inventory of these assets shall be drawn up and maintained.

ISO/IEC 27001:2013 A.8.1.2 Ownership of assets

Assets maintained in the inventory shall be owned.

BSI-5 Asset Inventar

Die zur Erbringung der kritischen Dienstleistung eingesetzten IT-Systeme und Komponenten (Assets) wie z. B. PCs, Peripheriegeräte, Telefone, Netzwerkkomponenten, Server, Installationsdokumentationen, Verfahrensanweisungen, IT-Anwendungen u. Werkzeuge sind identifiziert und inventarisiert. Durch angemessene Vorkehrungen und Maßnahmen wird sichergestellt, dass dieses Inventar vollständig, richtig, aktuell und konsistent bleibt. Änderungen an den Einträgen im Inventar werden nachvollziehbar historisiert. Soweit hierzu keine wirksamen Automatismen eingerichtet sind, wird dies durch regelmäßig stattfindende manuelle Überprüfung der Inventardaten des Assets sichergestellt.

Physiche Geräte und Systeme werden inventorisiert. (incl. Virtuelle Systeme)

Im SK wird beschrieben wo physische Assets inventarisiert werden, welche Informationen hinterlegt sind (Serialnummer, Typ, Supportstaus, Verantwortlicher Ansprechpartner, IP), wie zeitnah die Assets dokumentiert werden (monatlicher Excelimport ist keine Option) und ob und welche API es gibt.

ID.AM-2: Software platforms and applications within the organization are inventoried

ISO/IEC 27001:2013 A.8.1.1 Inventory of assets

Assets associated with information and information processing facilities shall be identified and an inventory of these assets shall be drawn up and maintained.

ISO/IEC 27001:2013 A.8.1.2 Ownership of assets

Assets maintained in the inventory shall be owned.

ISO/IEC 27001:2013 A.12.5.1 Installation of software on operational systems

Procedures shall be implemented to control the installation of software on operational systems.

BSI-5 Asset Inventar

Die zur Erbringung der kritischen Dienstleistung eingesetzten IT-Systeme und Komponenten (Assets) wie z. B. PCs, Peripheriegeräte, Telefone, Netzwerkkomponenten, Server, Installationsdokumentationen, Verfahrensanweisungen, IT-Anwendungen u. Werkzeuge sind identifiziert und inventarisiert. Durch angemessene Vorkehrungen und Maßnahmen wird sichergestellt, dass dieses Inventar vollständig, richtig, aktuell und konsistent bleibt. Änderungen an den Einträgen im Inventar werden nachvollziehbar historisiert. Soweit hierzu keine wirksamen Automatismen eingerichtet sind, wird dies durch regelmäßig stattfindende manuelle Überprüfung der Inventardaten des Assets sichergestellt.

Software Platformen und Programme werden innerhalb der Organisation inventarisiert. (incl. Open Source)

ID.AM-3: Organizational communication and data flows are mapped

ISO/IEC 27001:2013 A.13.2.1 Information transfer policies and procedures

Formal transfer policies, procedures and controls shall be in place to protect the transfer of information through the use of all types of communication facilities.

ISO/IEC 27001:2013 A.13.2.2 Agreements on information transfer

Agreements shall address the secure transfer of business informa­ tion between the organization and external parties.

BSI-42 Vertraulichkeitserklärung

Die mit internen Mitarbeitern, externen Dienstleistern sowie Lieferanten des KRITIS- Betreibers zu schließenden Geheimhaltungs- oder Vertraulichkeitserklärungen basieren auf den Anforderungen des KRITIS-Betreibers zum Schutz vertraulicher Daten und betrieblicher Details. Die Anforderungen sind zu identifizieren, dokumentieren und in regelmäßigen Abständen (mindestens jährlich) zu überprüfen. Soweit sich aus der Überprüfung ergibt, dass die Anforderungen anzupassen sind, werden mit den internen Mitarbeitern, den externen Dienstleistern sowie den Lieferanten des KRITIS-Betreibers neue Geheimhaltungs- oder Vertraulichkeitserklärungen abgeschlossen. Die Geheimhaltungs- oder Vertraulichkeitserklärungen sind vor Beginn des Vertragsverhältnisses bzw. vor Erteilung des Zugriffs auf Daten des KRITIS-Betreibers durch interne Mitarbeiter, externe Dienstleister oder Lieferanten des KRITIS-Betreibers zu unterzeichnen. Soweit sich aus der Überprüfung Anpassungen an die Geheimhaltungs- oder Vertraulichkeitserklärungen ergeben, sind die internen und externen Mitarbeiter des Betreibers der Kritischen Infrastrukturen darüber in Kenntnis zu setzen und neue Bestätigungen einzuholen.

Die Kommunikation innerhalb der Organisation und der Datenfluß ist dokumentiert bzw. kartographiert. Insbesondere die Weitergabe von Informationen ist beschrieben und geregelt (Geheimhaltungs- oder Vertraulichkeitserklärungen, NDA, ggf Verschlüsselung).

ID.AM-4: External information systems are catalogued

ISO/IEC 27001:2013 A.11.2.6 Security of equipment and assets off­premises

Security shall be applied to off-site assets taking into account the different risks of working outside the organization’s premises.

Externe Informationssysteme (Dienstleister, Zulieferer, Cloud, Services, Accounts bei ...) sind dokumentiert. (Auch Teleworking?)

ID.AM-5: Resources (e.g., hardware, devices, data, time, personnel, and software) are prioritized based on their classification, criticality, and business value

ISO/IEC 27001:2013 A.8.2.1 Classification of information

Information shall be classified in terms of legal requirements, value, criticality and sensitivity to unauthorised disclosue or modification.

BSI-9 Klassifikation von Informationen

Der Betreiber der kritischen Dienstleistung verwendet eine einheitliche Klassifizierung von Informationen und Assets, die für die Entwicklung und Erbringung der kritischen Dienstleistung relevant sind. Das Klassifizierungsschema basiert auf einer Risikoanalyse und Folgeabschätzung (4.4.3).

Der Schutzbedarf der der einzelnen Ressourcen (auch Personen und Zeit) ist gemäß der Geschäftsprozesse festgelegt und priorisiert (Das Klassifizierungsschema basiert auf einer Risikoanalyse).

ID.AM-6: Cybersecurity roles and responsibilities for the entire workforce and third-party stakeholders (e.g., suppliers, customers, partners) are established

ISO/IEC 27001:2013 A.6.1.1 Information Security Roles and Responsibilities

All information security responsibilities shall be defined and allocated.

BSI-6 Zuweisung von Asset Verantwortlichen

Sämtliche inventarisierten Assets mit Relevanz für die Erbringung der kritischen Dienstleistung sind einem Verantwortlichen auf Seiten des Betreibers der kritischen Dienstleistung zugewiesen. Die Verantwortlichen des Betreibers sind über den kompletten Lebenszyklus der Assets dafür zuständig, dass diese vollständig inventarisiert und richtig klassifiziert sind.

BSI-3 Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit

Die Verantwortlichkeiten, Pflichten sowie die Schnittstellen zum Melden von Sicherheitsvorfällen und Störungen sind definiert, dokumentiert, zugewiesen und an alle betroffenen internen und externen Parteien (z. B. Unterauftragnehmer des KRITIS- Betreibers der kritischen Dienstleistung) kommuniziert. Seitens des KRITIS-Betreibers sind mindestens die folgenden Rollen (oder vergleichbare äquivalente) in der Informationssicherheitsleitlinie oder zugehörigen Richtlinien beschrieben und entsprechende Verantwortlichkeiten zugewiesen: • IT-Leiter (CIO) • IT-Sicherheitsbeauftragter (CISO) • Beauftragter für die Behandlung von IT-Sicherheitsvorfällen (z. B. CERT-Leiter). Veränderungen an Verantwortlichkeiten und Schnittstellen werden intern und extern so zeitnah kommuniziert, dass alle mit organisatorischen und technischen Maßnahmen betroffenen internen und externen Parteien angemessen darauf reagieren können, bevor die Änderungen wirksam werden. Der KRITIS-Betreiber identifiziert sämtliche Risiken im Zusammenhang mit überlappenden oder inkompatiblen Zuständigkeiten und Verantwortungen.

Rollen und Verantwortlichkeiten für die IT-Sicherheit sind geklärt und zugeordnet (auch Zulieferer und Dienstleister).

Im Rahmen des Sicherheitskonzepts müssen für eine effektive Umsetzung der Sicherheitsmaßnahmen verschiedene Rollen mit unterschiedlichen Rechten und Verantwortlichkeiten definiert werden. Dabei müssen Anforderungen aus verschiedenen Standards wie NIST CSF (ID.AM-6), KRITIS (BSI-6, BSI-7) und ISO/IEC 27001:2013 (A.6.1.1) berücksichtigt werden.

Zu den Rollen gehören in der Regel der Systemadministrator, der für die Einrichtung, Konfiguration und Wartung der IT-Infrastruktur verantwortlich ist. Der Netzwerkadministrator ist für die Konfiguration und Wartung des Netzwerks zuständig. Der Informationssicherheitsbeauftragte (ISB) ist für die Planung, Umsetzung und Überwachung der Informationssicherheit verantwortlich. Der Datenschutzbeauftragte (DSB) ist für die Überwachung und Implementierung von Datenschutzmaßnahmen zuständig. Die Endbenutzer haben in der Regel beschränkte Rechte und Zugriff auf bestimmte Ressourcen.

Es ist auch wichtig, Kunden und Zulieferer in die Sicherheitsprozesse einzubeziehen. Hier sollten die Rollen und Verantwortlichkeiten klar definiert sein, um sicherzustellen, dass die Sicherheitsanforderungen eingehalten werden. Kunden sollten über die Richtlinien und Verfahren für den Zugriff auf Systeme und Ressourcen informiert werden und Zulieferer sollten angemessen autorisiert und überwacht werden, um sicherzustellen, dass sie die notwendigen Sicherheitsstandards einhalten.

"Business Environment (ID.BE): The organization’s mission, objectives, stakeholders, and activities are understood and prioritized; this information is used to inform cybersecurity roles, responsibilities, and risk management decisions."

Das betriebliche Umfeld, mit ihren Zielen, Aufgaben, Teilnehmern ist bekannt und priorisiert. Daraus sind die Cybersecurity-Rollen, die Verantwortlichkeiten und Entscheidungen für Risikomanagement abgeleitet

ID.BE-1: The organization’s role in the supply chain is identified and communicated

ISO/IEC 27001:2013 A.15.1.1 Information security policy for supplier relationships

Information security requirements for mitigating the risks associated with supplier’s access to the organization’s assets shall be agreed with the supplier and documented.

ISO/IEC 27001:2013 A.15.1.2 Addressing security within supplier agreements

All relevant information security requirements shall be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization’s information.

ISO/IEC 27001:2013 A.15.1.3 Information and communications technology supply chain

Agreements with suppliers shall include requirements to address the information security risks associated with information and communications technology services and product supply chain.

ISO/IEC 27001:2013 A.15.2.1 Monitoring and review of supplier services

Organizations shall regularly monitor, review and audit supplier service delivery.

ISO/IEC 27001:2013 A.15.2.2 Managing changes to supplier services

Changes to the provision of services by suppliers, including maintaining and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business information, systems and processes involved and re-assessment of risks.

BSI-15 Richtlinien zur Folgeabschätzung

Richtlinien und Anweisungen zum Ermitteln von Auswirkungen etwaiger Störungen der kritischen Dienstleistung sind dokumentiert, kommuniziert und bereitgestellt. Mindestens die folgenden Aspekte werden dabei berücksichtigt: • Analysen in Bezug auf Komponenten, deren Ausfall den Ausfall der gesamten Anlage auslösen kann („Single Point of Failure“) • Berücksichtigung einer Änderung der allgemeinen und branchenspezifischen Gefährdungslage • Mögliche Szenarien basierend auf einer Risikoanalyse (z. B. Ausfall von Personal, Gebäude, Infrastruktur und Dienstleister) • Identifizierung von Richtlinien und Anweisungen zu notwendigen Produkten und Dienstleistungen • Identifizierung von Abhängigkeiten, einschließlich der Prozesse (inkl. dafür benötigter Ressourcen), Anwendungen, Geschäftspartner und Dritter • Erfassung von Bedrohungen gegenüber der kritischen Dienstleistung • Ermittlung von Auswirkungen resultierend aus geplanten und ungeplanten Störungen und den Veränderungen im Laufe der Zeit auf die kritische Dienstleistung • Feststellung der maximal vertretbaren Dauer von Störungen bevor die Mindestqualität der kritischen Dienstleistung erreicht ist • Feststellung der Prioritäten zur Wiederherstellung • Feststellung zeitlicher Zielvorgaben zur Wiederaufnahme der kritischen Dienstleistung innerhalb des maximal vertretbaren Zeitraums (RTO) • Feststellung zeitlicher Vorgaben zum maximal vertretbaren Zeitraum, in dem Daten verloren und nicht wiederhergestellt werden können (RPO) • Abschätzung der zur Wiederaufnahme benötigten Ressourcen.

Die Rolle der Organisation und seine Abhängigkeit von und für Andere Teilnehmer innerhalb und außerhalb des Unternehmens sind identifiziert und kommuniziert.

ID.BE-2: The organization’s place in critical infrastructure and its industry sector is identified and communicated

ISO/IEC 27001:2013 Clause 4.1 Understanding the organization and its context

The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3 of ISO 31000:2009[5].

BSI-1 Managementsystem für Informationssicherheit

Die Unternehmensleitung initiiert, steuert und überwacht ein Managementsystem zur Informationssicherheit (ISMS), das sich an etablierten Standards orientiert. Bei Anwendung der ISO 2700x-Reihe muss die Erklärung zur Anwendbarkeit (Statement of Applicability) die IT-Prozesse zu Entwicklung und Betrieb der kritischen Dienstleistung umfassen. Die hierzu eingesetzten Grundsätze, Verfahren und Maßnahmen ermöglichen eine nachvollziehbare Lenkung der folgenden Aufgaben und Aktivitäten zur dauerhaften Aufrechterhaltung der organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu Entwicklung und Betrieb der kritischen Dienstleistung und umfasst: • die Planung und Durchführung des Vorhabens, • Erfolgskontrolle bzw. Überwachung der Zielerreichung und • Beseitigung von erkannten Mängeln und Schwächen sowie kontinuierliche Verbesserung.

Die Rolle der Organisation in einer kritische Infrastruktur ist identifiziert und kommuniziert

ID.BE-3: Priorities for organizational mission, objectives, and activities are established and communicated

BSI-2 Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitung

Eine Informationssicherheitsleitlinie mit Sicherheitszielen und strategischen Vorgaben, wie diese Ziele erreicht werden sollen, ist dokumentiert. Die Sicherheitsziele leiten sich von den Unternehmenszielen und Geschäftsprozessen, relevanten Gesetzen und Verordnungen sowie der aktuellen und zukünftig erwarteten Bedrohungsumgebung in Bezug auf Informationssicherheit ab. Die strategischen Vorgaben stellen grundlegende Rahmenbedingungen dar, die in weiteren Richtlinien und Anweisungen näher spezifiziert werden. Die Informationssicherheitsleitlinie wird von der Unternehmensleitung verabschiedet und an alle betroffenen internen und externen Parteien der kritischen Dienstleistung kommuniziert.

Die Strategische Vorgaben zur Informationssicherheit ist bekannt (Informationssicherheitsleitlinie). Die davon abgeleiteten Prioritäten und Ressourcen sind kommuniziert und etabliert.

ID.BE-4: Dependencies and critical functions for delivery of critical services are established

ISO/IEC 27001:2013 A.11.2.2 Supporting utilities

Equipment shall be protected from power failures and other disruptions caused by failures in supporting utilities.

ISO/IEC 27001:2013 A.11.2.3 Cabling security

Power and telecommunications cabeling carrying data or supporting information services shall be protected from interception, interferences or damage.

ISO/IEC 27001:2013 A.12.1.3 Capacity management

The use of resources shall be monitored, tuned and projections made of future capacity requirements to ensure the required system performance.

BSI-18 Planung der Betriebskontinuität

Basierend auf der Folgeabschätzung wird ein verbindliches Rahmenwerk zur Planung der Kontinuität der für die kritische Dienstleistung notwendigen IT-Systeme (einschließlich von Notfallplänen) eingeführt, dokumentiert und angewendet, das eine konsistente Vorgehensweise (z. B. an verschiedenen Standorten der Anlagen) sicherstellt. Diese Planung berücksichtigt etablierte Standards, die in einem „Statement of Applicability“ nachvollziehbar festgelegt sind. Pläne zur Kontinuität der kritischen Dienstleistung berücksichtigen dabei folgende Aspekte: • Definierter Zweck und Umfang unter Beachtung der relevanten Abhängigkeiten • Zugänglichkeit und Verständlichkeit der Pläne für Personen, die danach handeln sollen • Eigentümerschaft durch mindestens eine benannte Person, die für die Überprüfung, Aktualisierung und Genehmigung zuständig ist • Festgelegte Kommunikationswege, Rollen und Verantwortlichkeiten • Wiederherstellungsverfahren, manuelle Übergangslösungen und Referenzinformationen (unter Berücksichtigung der Priorisierung bei der Wiederherstellung der kritischen Dienstleistung • Methoden zur Inkraftsetzung der Pläne • Kontinuierlicher Verbesserungsprozess der Pläne • Schnittstellen zum Security Incident Management.

Abhängigkeiten und kritische Funktionen für kritische Services werden bereitgestellt.

ID.BE-5: Resilience requirements to support delivery of critical services are established for all operating states (e.g. under duress/attack, during recovery, normal operations)

ISO/IEC 27001:2013 A.11.1.4 Protecting against external and environmental threats

- Physical protection against natural disasters, malicious attack or accidents shall be designed and applied.

ISO/IEC 27001:2013 A.17.1.1 Planning information security continuity

The organization shall determine its requirements for information security and the continuity of information security management in adverse situations, e.g. during a crisis or disaster.

ISO/IEC 27001:2013 A.17.1.2 Implementing information security continuity

The organization shall establish, document, implement and maintain processes, procedures and controls to ensure the required level of continuity for information security during an adverse situation.

ISO/IEC 27001:2013 A.17.2.1 Availability of information processing facilities

Information processing facilities shall be implemented with redundancy sufficient to meet availability requirements.

BSI-74 Schutz vor Bedrohungen von außen

Räumlichkeiten oder Gebäude, die sensible oder kritische Informationen, Informationssysteme oder sonstige Netzwerkinfrastruktur für die kritische Dienstleistung beherbergen, sind durch bauliche, technische und organisatorische Maßnahmen vor Feuer, Wasser, Erdbeben, Explosionen, zivile Unruhen und andere Formen natürlicher und von Menschen verursachter Bedrohungen geschützt. An zwei georedundanten Standorten sind mindestens die folgenden Maßnahmen getroffen: Bauliche Maßnahmen: • Einrichtung eines eigenen Brandabschnitts für das Rechenzentrum • Verwendung feuerbeständiger Materialien gemäß DIN 4102-1 oder EN 13501 (Feuerwiderstandsdauer von mindestens 90 Minuten). Technische Maßnahmen: • Sensoren zum Überwachen von Temperatur und Luftfeuchtigkeit • Aufschalten des Gebäudes an einer Brandmeldeanlage mit Meldung an die örtliche Feuerwehr • Brandfrüherkennungsund Löschanlage. Organisatorische Maßnahmen: • Regelmäßige Brandschutzübungen und Brandschutzbegehungen, um die Einhaltung der Brandschutzmaßnahmen zu prüfen. Es findet eine Überwachung der Umgebungsparameter statt. Bei Verlassen des zulässigen Regelbereichs werden Alarmmeldungen generiert und an die dafür zuständigen Stellen weitergeleitet.

Maßnahmen für die Widerstandfähigkeit und die Vorsorge gegen Einwirkungen von außen sind berücksichtigt. (Brandschutz, Zugangsschutz, Sensoren für Temperatur und Feuchtigkeit)

Die Prozesse zur Einhaltung von Rechtlichen Vorgaben und Anforderungen sind etabliert und geben dem Management die nötigen Informationen zur IT-Sicherheit.

ID.GV-1: Organizational cybersecurity policy is established and communicated

ISO/IEC 27001:2013 A.5.1.1 Policies for Information Security

A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties.

BSI-2 Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitung

Eine Informationssicherheitsleitlinie mit Sicherheitszielen und strategischen Vorgaben, wie diese Ziele erreicht werden sollen, ist dokumentiert. Die Sicherheitsziele leiten sich von den Unternehmenszielen und Geschäftsprozessen, relevanten Gesetzen und Verordnungen sowie der aktuellen und zukünftig erwarteten Bedrohungsumgebung in Bezug auf Informationssicherheit ab. Die strategischen Vorgaben stellen grundlegende Rahmenbedingungen dar, die in weiteren Richtlinien und Anweisungen näher spezifiziert werden. Die Informationssicherheitsleitlinie wird von der Unternehmensleitung verabschiedet und an alle betroffenen internen und externen Parteien der kritischen Dienstleistung kommuniziert.

Eine Informationssicherheitsleitlinie mit Sicherheitszielen und strategischen Vorgaben, wie diese Ziele erreicht werden sollen, ist dokumentiert.

ID.GV-2: Cybersecurity roles and responsibilities are coordinated and aligned with internal roles and external partners

ISO/IEC 27001:2013 A.6.1.1 Information Security Roles and Responsibilities

All information security responsibilities shall be defined and allocated.

ISO/IEC 27001:2013 A.7.2.1 Management responsibilities

Management shall require all employees and contractors to apply information security in accordance with the established policies and procedures of the organization.

ISO/IEC 27001:2013 A.5.1.1 Policies for Information Security

A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties.

BSI-3 Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit

Die Verantwortlichkeiten, Pflichten sowie die Schnittstellen zum Melden von Sicherheitsvorfällen und Störungen sind definiert, dokumentiert, zugewiesen und an alle betroffenen internen und externen Parteien (z. B. Unterauftragnehmer des KRITIS- Betreibers der kritischen Dienstleistung) kommuniziert. Seitens des KRITIS-Betreibers sind mindestens die folgenden Rollen (oder vergleichbare Äquivalente) in der Informationssicherheitsleitlinie oder zugehörigen Richtlinien beschrieben und entsprechende Verantwortlichkeiten zugewiesen: • IT-Leiter (CIO) • IT-Sicherheitsbeauftragter (CISO) • Beauftragter für die Behandlung von IT-Sicherheitsvorfällen (z. B. CERT-Leiter). Veränderungen an Verantwortlichkeiten und Schnittstellen werden intern und extern so zeitnah kommuniziert, dass alle mit organisatorischen und technischen Maßnahmen betroffenen internen und externen Parteien angemessen darauf reagieren können, bevor die Änderungen wirksam werden. Der KRITIS-Betreiber identifiziert sämtliche Risiken im Zusammenhang mit überlappenden oder inkompatiblen Zuständigkeiten und Verantwortungen.

Die Security-Rollen und Verantwortlichkeiten sind bekannt und realen Zuständigkeiten zugeordnet (incl. externer Dienstleister und Zulieferer)

ISO/IEC 27001:2013 A.18.1.1 Identification of applicable legislation and contractual requirements

All relevant legislative statutory, regulatory, contractual requirements and the organization’s approach to meet these requirements shall be explicitly identified, documented and kept up to date for each information system and the organization.

ISO/IEC 27001:2013 A.18.1.2 Intellectual propery rights

Appropriate procedures shall be implemented to ensure compli- ance with legislative, regulatory and contractual requirements related to intellectual property rights and use of proprietary software products.

ISO/IEC 27001:2013 A.18.1.3 Protection of records

Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release, in accordance with legislatory, regulatory, contractual and business requirements.

ISO/IEC 27001:2013 A.18.1.4 Privacy and protection of personally identifiable information

Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable.

ISO/IEC 27001:2013 A.18.1.5 Regulation of cryptographic controls

Cryptographic controls shall be used in compliance with all relevant agreements, legislation and regulations.

BSI-65 Festlegung notwendiger Kompetenzen (Betrieb und IT-Sicherheit)

Von der Sicherheitsleitlinie abgeleitete Richtlinien und Anweisungen zur Informationssicherheit oder verwandter Themen sind nach einer einheitlichen Struktur dokumentiert. Sie werden sach- und bedarfsgerecht an alle relevanten Stakeholder kommuniziert und bereitgestellt. Sicherheitsleitlinien werden versioniert und von der Unternehmensleitung freigegeben. Die Richtlinien und Anweisungen beschreiben mindestens die folgenden Aspekte: • Ziele • Geltungsbereiche • Rollen und Verantwortlichkeiten einschließlich Anforderungen an die Qualifikaütion des Personals und das Einrichten von Vertretungsregelungen • die Koordination unterschiedlicher Unternehmensbereiche • Sicherheitsarchitektur und -maßnahmen zum Schutz von Daten, IT-Anwendunügen und IT-Infrastrukturen, die durch den Betreiber der kritischen Dienstleistung oder von Dritten verwaltet werden sowie • Maßnahmen zur Einhaltung rechtlicher und regulatorischer Anforderungen (Compliance).

Rechtliche Vorgaben sind verstanden und behandelt. (Bisher gehen wir von ISO 27k/Richtlinien, KRITIS aus)

ID.GV-4: Governance and risk management processes address cybersecurity risks

ISO/IEC 27001:2013 Clause 6 Planing

6.1 Actions to address risks and opportunities
6.1.1 General
When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:
  1. ensure the information security management system can achieve its intended outcome(s);
  2. prevent, or reduce, undesired effects; and
  3. achieve continual improvement.
    The organization shall plan:
  4. actions to address these risks and opportunities; and
  5. how to
    1. integrate and implement these actions into its information security management system processes; and
    2. evaluate the effectiveness of these actions.

6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:
  1. establishes and maintains information security risk criteria that include:
    1. the risk acceptance criteria; and
    2. criteria for performing information security risk assessments;
  2. ensures that repeated information security risk assessments produce consistent, valid and comparable results;
  3. identifies the information security risks:
    1. apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
    2. identify the risk owners;
  4. analyses the information security risks:
    1. assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize;
    2. assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and
    3. determine the levels of risk;
  5. evaluates the information security risks:
    1. compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
    2. prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.

6.1.3 Information security risk treatment
The organization shall define and apply an information security risk treatment process to:
  1. select appropriate information security risk treatment options, taking account of the risk assessment results;
  2. determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
    NOTE Organizations can design controls as required, or identify them from any source.
  3. compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;
    NOTE 1 Annex A contains a comprehensive list of control objectives and controls. Users of this International Standard are directed to Annex A to ensure that no necessary controls are overlooked.
    NOTE 2 Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.
  4. produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;
  5. formulate an information security risk treatment plan; and
  6. obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000[5].

6.2 Information security objectives and plans to achieve them
The organization shall establish information security objectives at relevant functions and levels.
The information security objectives shall:
  1. be consistent with the information security policy;
  2. be measurable (if practicable);
  3. take into account applicable information security requirements, and risk assessment and risk treatment results;
  4. be communicated; and
  5. be updated as appropriate.
    The organization shall retain documented information on the information security objectives.
    When planning how to achieve its information security objectives, the organization shall determine:
  6. what will be done;
  7. what resources will be required;
  8. who will be responsible;
  9. when it will be completed; and
  10. how the results will be evaluated.

BSI-13 Richtlinie für die Organisation des Risikomanagements

Richtlinien und Anweisungen über das grundsätzliche Verfahren zur Identifikation, Analyse, Beurteilung und Behandlung von Risiken und insb. IT-Risiken, die zu Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der für die Erbringung der kritischen Dienstleistung notwendigen informationstechnischen Systeme führen, sind dokumentiert, kommuniziert und bereitgestellt.

BSI-14 Maßnahmenableitung

Es sind Richtlinien definiert, die die Ableitung von Maßnahmen und deren Überwachung regeln. Dies beinhaltet, dass die identifizierten IT-Risiken im Zusammenhang mit der kritischen Dienstleistung gemäß den Vorgaben des Risikomanagements nachvollziehbar mit Maßnahmen versehen werden, um die IT-Risiken zu reduzieren. Dabei ist zu berücksichtigen, dass gegenüber allgemeinen Risikomanagementansätzen ein unbehandeltes Risiko durch eigenständige dauerhafte Risikoakzeptanz durch den Betreiber oder Versicherung gegen Risiken in der Regel keine zulässige Option im Sinne des BSIG ist. Der Status der Maßnahmenumsetzung und der damit einhergehenden Veränderung der Risikobewertung wird überwacht und regelmäßig an die relevanten Stakeholder berichtet. Auch bei Outsourcing o. Ä. verbleibt die volle Verantwortung für eine geeignete Risikobehandlung beim Betreiber.

Ein Risikomanagement mit Risikoanlyse ist etabliert. (Bedrohung trifft Schachstelle mit einer Wahrscheinlichkeit; daraus ergibt sich ein Risiko mit Kosten; dass durch Maßnahmen behandelt werden kann)

Risk Assessment (ID.RA): The organization understands the cybersecurity risk to organizational operations (including mission, functions, image, or reputation), organizational assets, and individuals.

Die IT-Security-Risiken werden in der Organisation adressiert und behandelt (oder akzeptiert)

ID.RA-1: Asset vulnerabilities are identified and documented

ISO/IEC 27001:2013 A.12.6.1 Management of systems audit controls

Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.

ISO/IEC 27001:2013 A.18.2.3 Technical compliance review

Information systems shall be regularly reviewed for compliance with the organization’s information security policies and standards.

BSI-96 Umgang mit Schwachstellen, Störungen und Fehlern – Integration mit Änderungs- und Incident-Management

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen für den Umgang mit kritischen Schwachstellen sind gemäß SA-01 dokumentiert, kommuniziert und bereitgestellt. Die Maßnahmen sind mit den Aktivitäten des Änderungsverfahrens (Change Management) und der Störungs- und Fehlerbehebung (Incident Management) abgestimmt.

BSI-83 Anlassbezogene Prüfungen – Konzept

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um das zeitnahe Identifizieren und Adressieren von Schwachstellen aller KRITIS- relevanten IT-Systeme, die unter Verantwortung des KRITIS-Betreibers stehen, zu gewährleisten. Die Maßnahmen umfassen unter anderem: • Regelmäßiges Identifizieren und Analysieren von Schwachstellen (Vulnerabilities) • Regelmäßiges Nachhalten von Maßnahmen zum Adressieren identifizierter Maßnahmen (z. B. Einspielen von Sicherheitsaktualisierungen gemäß interner Zielvorgaben).

BSI-87 Prüfungen in anderen, anderweitig vorgegebenen Prüfzyklen – interne IT- Prüfungen

Qualifiziertes Personal (z. B. Interne Revision) des KRITIS-Betreibers oder durch den KRITIS-Betreiber beauftragte sachverständige Dritte überprüfen mindestens jährlich die Compliance der IT-Systeme, soweit diese ganz oder teilweise im Verantwortungsbereich des KRITIS-Betreibers liegen und für die Entwicklung oder den Betrieb der kritischen Dienstleistung relevant sind, mit den entsprechenden internen Richtlinien und Standards sowie der für die kritischen Dienstleistungen relevanten rechtlichen, regulativen und gesetzlich vorgeschriebenen Anforderungen. Die identifizierten Abweichungen werden priorisiert und in Abhängigkeit ihrer Kritikalität werden Maßnahmen zur Behebung zeitnah definiert, nachverfolgt und umgesetzt. Der KRITIS-Betreiber verpflichtet seine Unterauftragnehmer zu solchen Prüfungen und lässt sich die Prüfberichte im gleichen Turnus vorlegen und verwertet sie bei seinen Überprüfungen.

Schwachstellen werden erkannt und dokumentiert. (Mapping von verwendeten Versionsständen zu CVE/Schwachstellen -> "Es gibt einen Exploit für eine Version, die bei uns im Einsatz ist: wir müssen updaten")

ID.RA-2: Cyber threat intelligence is received from information sharing forums and sources

ISO/IEC 27001:2013 A.6.1.4 Contact with special interest groups

Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained.

BSI-97 Kontakt zu relevanten Behörden und Interessenverbänden

Angemessene und für den Anbieter der kritischen Dienstleistung relevante Kontakte zu Behörden und Interessenverbänden sind etabliert, um stets über aktuelle Bedrohungslagen und Gegenmaßnahmen informiert zu sein und zeitnah und angemessen darauf zu reagieren. Es sind Verfahren definiert und dokumentiert, um die erhaltenen Informationen an die internen und externen Mitarbeiter des Anbieters der kritischen Dienstleistung zu kommunizieren und zeitnah und angemessen darauf zu reagieren.

Die Risikoanalyse wird mit Hilfe von externen Quellen und Recherche kontinuierlich untermauert bzw. hinterfragt.

ID.RA-3: Threats, both internal and external, are identified and documented

ISO/IEC 27001:2013 Clause 6.1.2 Information security risk assessment

The organization shall define and apply an information security risk assessment process that:
  1. establishes and maintains information security risk criteria that include:
    1. the risk acceptance criteria; and
    2. criteria for performing information security risk assessments;
  2. ensures that repeated information security risk assessments produce consistent, valid and comparable results;
  3. identifies the information security risks:
    1. apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
    2. identify the risk owners;
  4. analyses the information security risks:
    1. assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize;
    2. assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and
    3. determine the levels of risk;
  5. evaluates the information security risks:
    1. compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
    2. prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.

BSI-83 Anlassbezogene Prüfungen – Konzept

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um das zeitnahe Identifizieren und Adressieren von Schwachstellen aller KRITIS- relevanten IT-Systeme, die unter Verantwortung des KRITIS-Betreibers stehen, zu gewährleisten. Die Maßnahmen umfassen unter anderem: • Regelmäßiges Identifizieren und Analysieren von Schwachstellen (Vulnerabilities) • Regelmäßiges Nachhalten von Maßnahmen zum Adressieren identifizierter Maßnahmen (z. B. Einspielen von Sicherheitsaktualisierungen gemäß interner Zielvorgaben).

Externe und Interne Bedrohungen werden recherchiert und dokumentiert. (intern wie?)

ID.RA-4: Potential business impacts and likelihoods are identified

ISO/IEC 27001:2013 A.16.1.6 Learning from information security incidents

Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.

ISO/IEC 27001:2013 Clause 6.1.2 Information security risk assessment

The organization shall define and apply an information security risk assessment process that:
  1. establishes and maintains information security risk criteria that include:
    1. the risk acceptance criteria; and
    2. criteria for performing information security risk assessments;
  2. ensures that repeated information security risk assessments produce consistent, valid and comparable results;
  3. identifies the information security risks:
    1. apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
    2. identify the risk owners;
  4. analyses the information security risks:
    1. assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize;
    2. assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and
    3. determine the levels of risk;
  5. evaluates the information security risks:
    1. compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
    2. prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.

BSI-17 Verantwortung der gesetzlichen Vertreter des Betreibers der Kritischen Infrastruktur

Die gesetzlichen Vertreter des Betreibers der Kritischen Infrastruktur haben einen Prozessverantwortlichen (bspw. ein Mitglied der Unternehmensleitung) für Kontinuitäts- und Notfallmanagement benannt, der für die Etablierung der Prozesse und die Einhaltung der Leitlinien verantwortlich ist. Von dieser Verantwortung ist umfasst, dass ausreichende Ressourcen für einen geordneten Betrieb bereitgestellt werden. Personen in der Unternehmensleitung und anderen relevanten Führungspositionen demonstrieren Führung und Engagement in Bezug auf dieses Thema, indem sie beispielsweise die Mitarbeiter dazu auffordern beziehungsweise ermutigen, zu der Effektivität des Kontinuitäts- und Notfallmanagements aktiv beizutragen.

Potentielle Auswirkungen auf den Betrieb und ihre Eintrittswahrscheinlichkeiten werden analysiert und identifiziert.

ID.RA-5: Threats, vulnerabilities, likelihoods, and impacts are used to determine risk

ISO/IEC 27001:2013 A.12.6.1 Management of systems audit controls

Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.

BSI-15 Richtlinien zur Folgeabschätzung

Richtlinien und Anweisungen zum Ermitteln von Auswirkungen etwaiger Störungen der kritischen Dienstleistung sind dokumentiert, kommuniziert und bereitgestellt. Mindestens die folgenden Aspekte werden dabei berücksichtigt: • Analysen in Bezug auf Komponenten, deren Ausfall den Ausfall der gesamten Anlage auslösen kann („Single Point of Failure“) • Berücksichtigung einer Änderung der allgemeinen und branchenspezifischen Gefährdungslage • Mögliche Szenarien basierend auf einer Risikoanalyse (z. B. Ausfall von Personal, Gebäude, Infrastruktur und Dienstleister) • Identifizierung von Richtlinien und Anweisungen zu notwendigen Produkten und Dienstleistungen • Identifizierung von Abhängigkeiten, einschließlich der Prozesse (inkl. dafür benötigter Ressourcen), Anwendungen, Geschäftspartner und Dritter • Erfassung von Bedrohungen gegenüber der kritischen Dienstleistung • Ermittlung von Auswirkungen resultierend aus geplanten und ungeplanten Störungen und den Veränderungen im Laufe der Zeit auf die kritische Dienstleistung • Feststellung der maximal vertretbaren Dauer von Störungen bevor die Mindestqualität der kritischen Dienstleistung erreicht ist • Feststellung der Prioritäten zur Wiederherstellung • Feststellung zeitlicher Zielvorgaben zur Wiederaufnahme der kritischen Dienstleistung innerhalb des maximal vertretbaren Zeitraums (RTO) • Feststellung zeitlicher Vorgaben zum maximal vertretbaren Zeitraum, in dem Daten verloren und nicht wiederhergestellt werden können (RPO) • Abschätzung der zur Wiederaufnahme benötigten Ressourcen.

Grobe Idee: Risiken (Bedrohung, Schwachstelle, Wahrscheinlichkeit, Auswirkung) werden erkannt und gemäß den Leitlinien behandelt. (oder nächster Punkt?)

AIQuery: Schreibe einen Absatz als Teil eines Sicherheitskonzepts, der eine Methodik der Risikoanalyse beschreibt, mit der als Folge von Bedrohung, Schwachstelle, Eintrittswahrscheinlichkeit ein Risiko identifiziert und mittels einer Risikomatrix klassifiziert werden kann. Versuche Anforderungen aus NIST CSF (ID.RA-5: Threats, vulnerabilities, likelihoods, and impacts are used to determine risk), KRITIS (BSI-15 Richtlinien zur Folgeabschätzung) und ISO/IEC 27001:2013 (A.12.6.1 Management of systems audit controls) zu berücksichtigen.

ChatGPT (Review erforderlich/unzuverlässig): Eine effektive Risikoanalyse-Methodik sollte Bedrohungen, Schwachstellen und Eintrittswahrscheinlichkeiten identifizieren und Risiken auf der Basis von Eintrittswahrscheinlichkeit und Auswirkungen bewerten. Hierbei müssen Anforderungen aus NIST CSF (ID.RA-5), KRITIS (BSI-15 Richtlinien zur Folgeabschätzung) und ISO/IEC 27001:2013 (A.12.6.1 Management of systems audit controls) berücksichtigt werden.

Die Risikoanalyse sollte durch eine systematische Bewertung von Bedrohungen und Schwachstellen erfolgen. Die Bedrohungen werden hierbei anhand ihrer Auswirkungen, Eintrittswahrscheinlichkeiten und der bereits implementierten Sicherheitsmaßnahmen bewertet. Schwachstellen werden anhand ihrer kritischenity, Eintrittswahrscheinlichkeit und der potentiellen Auswirkungen auf die Sicherheit bewertet. Die Bewertung der Eintrittswahrscheinlichkeit sollte dabei auf der Basis von quantitativen und qualitativen Faktoren erfolgen, um eine möglichst genaue Einschätzung der Risiken zu erlangen.

Die Auswirkungen der Risiken sollten anhand von vordefinierten Kriterien bewertet werden, um eine Risikomatrix zu erstellen, die die Risiken in verschiedenen Kategorien einordnet. Anschließend sollten geeignete Sicherheitsmaßnahmen entwickelt und implementiert werden, um die Risiken zu reduzieren oder zu eliminieren. Eine regelmäßige Überwachung der Risiken und der implementierten Sicherheitsmaßnahmen ist ebenfalls erforderlich, um sicherzustellen, dass die Risiken auf einem akzeptablen Niveau gehalten werden.

ID.RA-6: Risk responses are identified and prioritized

ISO/IEC 27001:2013 Clause 6.1.3 Information security risk treatment

The organization shall define and apply an information security risk treatment process to:
  1. select appropriate information security risk treatment options, taking account of the risk assessment results;
  2. determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
    NOTE Organizations can design controls as required, or identify them from any source.
  3. compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;
    NOTE 1 Annex A contains a comprehensive list of control objectives and controls. Users of this International Standard are directed to Annex A to ensure that no necessary controls are overlooked.
    NOTE 2 Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.
  4. produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;
  5. formulate an information security risk treatment plan; and
  6. obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000[5].

BSI-15 Richtlinien zur Folgeabschätzung

Richtlinien und Anweisungen zum Ermitteln von Auswirkungen etwaiger Störungen der kritischen Dienstleistung sind dokumentiert, kommuniziert und bereitgestellt. Mindestens die folgenden Aspekte werden dabei berücksichtigt: • Analysen in Bezug auf Komponenten, deren Ausfall den Ausfall der gesamten Anlage auslösen kann („Single Point of Failure“) • Berücksichtigung einer Änderung der allgemeinen und branchenspezifischen Gefährdungslage • Mögliche Szenarien basierend auf einer Risikoanalyse (z. B. Ausfall von Personal, Gebäude, Infrastruktur und Dienstleister) • Identifizierung von Richtlinien und Anweisungen zu notwendigen Produkten und Dienstleistungen • Identifizierung von Abhängigkeiten, einschließlich der Prozesse (inkl. dafür benötigter Ressourcen), Anwendungen, Geschäftspartner und Dritter • Erfassung von Bedrohungen gegenüber der kritischen Dienstleistung • Ermittlung von Auswirkungen resultierend aus geplanten und ungeplanten Störungen und den Veränderungen im Laufe der Zeit auf die kritische Dienstleistung • Feststellung der maximal vertretbaren Dauer von Störungen bevor die Mindestqualität der kritischen Dienstleistung erreicht ist • Feststellung der Prioritäten zur Wiederherstellung • Feststellung zeitlicher Zielvorgaben zur Wiederaufnahme der kritischen Dienstleistung innerhalb des maximal vertretbaren Zeitraums (RTO) • Feststellung zeitlicher Vorgaben zum maximal vertretbaren Zeitraum, in dem Daten verloren und nicht wiederhergestellt werden können (RPO) • Abschätzung der zur Wiederaufnahme benötigten Ressourcen.

Anhand der Risiken werden Maßnahmen abgeleitet und priorisiert.

Risk Management Strategy (ID.RM): The organization’s priorities, constraints, risk tolerances, and assumptions are established and used to support operational risk decisions.

Die Risikomanagement-Strategie ist etabliert und unterstützt bei Entscheidungen. (Strategische Sicherheitskonzeption)

ID.RM-1: Risk management processes are established, managed, and agreed to by organizational stakeholders

ISO/IEC 27001:2013 Clause 6.1.3 Information security risk treatment

The organization shall define and apply an information security risk treatment process to:
  1. select appropriate information security risk treatment options, taking account of the risk assessment results;
  2. determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
    NOTE Organizations can design controls as required, or identify them from any source.
  3. compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;
    NOTE 1 Annex A contains a comprehensive list of control objectives and controls. Users of this International Standard are directed to Annex A to ensure that no necessary controls are overlooked.
    NOTE 2 Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.
  4. produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;
  5. formulate an information security risk treatment plan; and
  6. obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000[5].

ISO/IEC 27001:2013 Clause 8.3 Information security risk treatment

The organization shall implement the information security risk treatment plan.
The organization shall retain documented information of the results of the information security risk treatment.

ISO/IEC 27001:2013 Clause 9.3 Management review

Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
The management review shall include consideration of:
  1. the status of actions from previous management reviews;
  2. changes in external and internal issues that are relevant to the information security management system;
  3. feedback on the information security performance, including trends in:
    1. nonconformities and corrective actions;
    2. monitoring and measurement results;
    3. audit results; and
    4. fulfilment of information security objectives;
  4. feedback from interested parties;
  5. results of risk assessment and status of risk treatment plan; and
  6. opportunities for continual improvement.
The outputs of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.
The organization shall retain documented information as evidence of the results of management reviews.

BSI-13 Richtlinie für die Organisation des Risikomanagements

Richtlinien und Anweisungen über das grundsätzliche Verfahren zur Identifikation, Analyse, Beurteilung und Behandlung von Risiken und insb. IT-Risiken, die zu Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der für die Erbringung der kritischen Dienstleistung notwendigen informationstechnischen Systeme führen, sind dokumentiert, kommuniziert und bereitgestellt.

Die Risikomanagement-Prozesse sind bestimmt und von allen Akteuren mitgetragen. (Risikomethodik)

ID.RM-2: Organizational risk tolerance is determined and clearly expressed

ISO/IEC 27001:2013 Clause 6.1.3 Information security risk treatment

The organization shall define and apply an information security risk treatment process to:
  1. select appropriate information security risk treatment options, taking account of the risk assessment results;
  2. determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
    NOTE Organizations can design controls as required, or identify them from any source.
  3. compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;
    NOTE 1 Annex A contains a comprehensive list of control objectives and controls. Users of this International Standard are directed to Annex A to ensure that no necessary controls are overlooked.
    NOTE 2 Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.
  4. produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;
  5. formulate an information security risk treatment plan; and
  6. obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000[5].

ISO/IEC 27001:2013 Clause 8.3 Information security risk treatment

The organization shall implement the information security risk treatment plan.
The organization shall retain documented information of the results of the information security risk treatment.

BSI-14 Maßnahmenableitung

Es sind Richtlinien definiert, die die Ableitung von Maßnahmen und deren Überwachung regeln. Dies beinhaltet, dass die identifizierten IT-Risiken im Zusammenhang mit der kritischen Dienstleistung gemäß den Vorgaben des Risikomanagements nachvollziehbar mit Maßnahmen versehen werden, um die IT-Risiken zu reduzieren. Dabei ist zu berücksichtigen, dass gegenüber allgemeinen Risikomanagementansätzen ein unbehandeltes Risiko durch eigenständige dauerhafte Risikoakzeptanz durch den Betreiber oder Versicherung gegen Risiken in der Regel keine zulässige Option im Sinne des BSIG ist. Der Status der Maßnahmenumsetzung und der damit einhergehenden Veränderung der Risikobewertung wird überwacht und regelmäßig an die relevanten Stakeholder berichtet. Auch bei Outsourcing o. Ä. verbleibt die volle Verantwortung für eine geeignete Risikobehandlung beim Betreiber.

Der Risikoappetit der Organisation ist bestimmt und klar formuliert. (Risikometrik)

ID.RM-3: The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis

ISO/IEC 27001:2013 Clause 6.1.3 Information security risk treatment

The organization shall define and apply an information security risk treatment process to:
  1. select appropriate information security risk treatment options, taking account of the risk assessment results;
  2. determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
    NOTE Organizations can design controls as required, or identify them from any source.
  3. compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;
    NOTE 1 Annex A contains a comprehensive list of control objectives and controls. Users of this International Standard are directed to Annex A to ensure that no necessary controls are overlooked.
    NOTE 2 Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.
  4. produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;
  5. formulate an information security risk treatment plan; and
  6. obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000[5].

ISO/IEC 27001:2013 Clause 8.3 Information security risk treatment

The organization shall implement the information security risk treatment plan.
The organization shall retain documented information of the results of the information security risk treatment.

BSI-16 Maßnahmenableitung

Es sind Richtlinien definiert, die die Ableitung von Maßnahmen und deren Überwachung regeln. Dies beinhaltet, dass die identifizierten IT-Risiken im Zusammenhang mit der kritischen Dienstleistung gemäß den Vorgaben des Risikomanagements nachvollziehbar mit Maßnahmen versehen werden, um die IT-Risiken zu reduzieren. Dabei ist zu berücksichtigen, dass gegenüber allgemeinen Risikomanagementansätzen ein unbehandeltes Risiko durch eigenständige dauerhafte Risikoakzeptanz durch den Betreiber oder Versicherung gegen Risiken in der Regel keine zulässige Option im Sinne des BSIG ist. Der Status der Maßnahmenumsetzung und der damit einhergehenden Veränderung der Risikobewertung wird überwacht und regelmäßig an die relevanten Stakeholder berichtet. Auch bei Outsourcing o. Ä. verbleibt die volle Verantwortung für eine geeignete Risikobehandlung beim Betreiber.

Es ist ein Risikomanagement etabliert mit dem die Risiken behandelt werden und aus dem sich Maßnahmen ableiten lassen. Die Risikobehandlung ist konform mit der Unternehmensstrategie. Die Risiken werden kontinuierlich nachgehalten und auf Veränderungen wird entsprechend reagiert. (Risikokommunikation)

"Supply Chain Risk Management (ID.SC): The organization’s priorities, constraints, risk tolerances, and assumptions are established and used to support risk decisions associated with managing supply chain risk. The organization has established and implemented the processes to identify, assess and manage supply chain risks."

Es existiert auch ein Risikomangement für Dienstleister, Zulieferer und sonstige externe Schnittstellen. (Daraus folgt z.B. Dual Vendor Strategie)

ID.SC-1: Cyber supply chain risk management processes are identified, established, assessed, managed, and agreed to by organizational stakeholders

ISO/IEC 27001:2013 A.15.1.1 Information security policy for supplier relationships

Information security requirements for mitigating the risks associated with supplier’s access to the organization’s assets shall be agreed with the supplier and documented.

ISO/IEC 27001:2013 A.15.1.2 Addressing security within supplier agreements

All relevant information security requirements shall be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization’s information.

ISO/IEC 27001:2013 A.15.1.3 Information and communications technology supply chain

Agreements with suppliers shall include requirements to address the information security risks associated with information and communications technology services and product supply chain.

ISO/IEC 27001:2013 A.15.2.1 Monitoring and review of supplier services

Organizations shall regularly monitor, review and audit supplier service delivery.

ISO/IEC 27001:2013 A.15.2.2 Managing changes to supplier services

Changes to the provision of services by suppliers, including maintaining and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business information, systems and processes involved and re-assessment of risks.

BSI-98 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister des KRITIS-Betreibers

Richtlinien und Anweisungen zur Sicherstellung des Schutzes von Informationen (insb. deren Verfügbarkeit) auf sonstige Dritte (z. B. Dienstleister bzw. Lieferanten des KRITIS- Betreibers), die wesentliche Teile für den Betrieb der kritischen Dienstleistung beitragen, sind gemäß IT-Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. Die Vorgaben dienen der Reduzierung von Risiken, die durch die Auslagerung von IT-Systemen entstehen können. Dabei werden mindestens die folgenden Aspekte berücksichtigt: • Definition und Beschreibung von Mindest-Sicherheitsanforderungen in Bezug auf die verarbeiteten Informationen, die sich an etablierten Informationssicherheitsstandards orientieren • Anforderungen an das Incident- und Vulnerability-Management (insb. Benachrichtigungen und Kollaborationen während einer Störungsbehebung) • Weitergabe und vertragliche Verpflichtung auf die Mindest-Sicherheitsanforderungen auch an Unterauftragnehmer, wenn diese nicht nur unwesentliche Teile zu Entwicklung oder Betrieb der kritischen Dienstleistung (z. B. RZ-Dienstleister) beitragen • die Definition der Anforderungen ist in das Risikomanagement des KRITIS- Betreibers eingebunden. Diese müssen regelmäßig auf ihre Angemessenheit hin überprüft werden. (vgl. Nr. 14)

Cybersecurity Prozesse für Zulieferer und Dienstleister sind Prozesse identifiziert, etabliert, zugewiesen und von den Betroffenen akzeptiert.

ID.SC-2: Suppliers and third party partners of information systems, components, and services are identified, prioritized, and assessed using a cyber supply chain risk assessment process

ISO/IEC 27001:2013 A.15.2.1 Monitoring and review of supplier services

Organizations shall regularly monitor, review and audit supplier service delivery.

ISO/IEC 27001:2013 A.15.2.2 Managing changes to supplier services

Changes to the provision of services by suppliers, including maintaining and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business information, systems and processes involved and re-assessment of risks.

BSI-14 Maßnahmenableitung

Es sind Richtlinien definiert, die die Ableitung von Maßnahmen und deren Überwachung regeln. Dies beinhaltet, dass die identifizierten IT-Risiken im Zusammenhang mit der kritischen Dienstleistung gemäß den Vorgaben des Risikomanagements nachvollziehbar mit Maßnahmen versehen werden, um die IT-Risiken zu reduzieren. Dabei ist zu berücksichtigen, dass gegenüber allgemeinen Risikomanagementansätzen ein unbehandeltes Risiko durch eigenständige dauerhafte Risikoakzeptanz durch den Betreiber oder Versicherung gegen Risiken in der Regel keine zulässige Option im Sinne des BSIG ist. Der Status der Maßnahmenumsetzung und der damit einhergehenden Veränderung der Risikobewertung wird überwacht und regelmäßig an die relevanten Stakeholder berichtet. Auch bei Outsourcing o. Ä. verbleibt die volle Verantwortung für eine geeignete Risikobehandlung beim Betreiber.

Der Betrachtungsgegenstand ist auch für externe Zulieferer und Dienstleister bestimmt und von Zulieferer Risikomanagementprozess erfasst.

ID.SC-3: Contracts with suppliers and third-party partners are used to implement appropriate measures designed to meet the objectives of an organization’s cybersecurity program and Cyber Supply Chain Risk Management Plan.

ISO/IEC 27001:2013 A.15.1.1 Information security policy for supplier relationships

Information security requirements for mitigating the risks associated with supplier’s access to the organization’s assets shall be agreed with the supplier and documented.

ISO/IEC 27001:2013 A.15.1.2 Addressing security within supplier agreements

All relevant information security requirements shall be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization’s information.

ISO/IEC 27001:2013 A.15.1.3 Information and communications technology supply chain

Agreements with suppliers shall include requirements to address the information security risks associated with information and communications technology services and product supply chain.

BSI-98 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister des KRITIS-Betreibers

Richtlinien und Anweisungen zur Sicherstellung des Schutzes von Informationen (insb. deren Verfügbarkeit) auf sonstige Dritte (z. B. Dienstleister bzw. Lieferanten des KRITIS- Betreibers), die wesentliche Teile für den Betrieb der kritischen Dienstleistung beitragen, sind gemäß IT-Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. Die Vorgaben dienen der Reduzierung von Risiken, die durch die Auslagerung von IT-Systemen entstehen können. Dabei werden mindestens die folgenden Aspekte berücksichtigt: • Definition und Beschreibung von Mindest-Sicherheitsanforderungen in Bezug auf die verarbeiteten Informationen, die sich an etablierten Informationssicherheitsstandards orientieren • Anforderungen an das Incident- und Vulnerability-Management (insb. Benachrichtigungen und Kollaborationen während einer Störungsbehebung) • Weitergabe und vertragliche Verpflichtung auf die Mindest-Sicherheitsanforderungen auch an Unterauftragnehmer, wenn diese nicht nur unwesentliche Teile zu Entwicklung oder Betrieb der kritischen Dienstleistung (z. B. RZ-Dienstleister) beitragen • die Definition der Anforderungen ist in das Risikomanagement des KRITIS- Betreibers eingebunden. Diese müssen regelmäßig auf ihre Angemessenheit hin überprüft werden. (vgl. Nr. 14)

Die Anforderungen der Organisation an die IT-Sicherheit werden auch von den Dienstleistern und Zulieferern vertraglich eingefordert.

ID.SC-4: Suppliers and third-party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations.

ISO/IEC 27001:2013 A.15.2.1 Monitoring and review of supplier services

Organizations shall regularly monitor, review and audit supplier service delivery.

ISO/IEC 27001:2013 A.15.2.2 Managing changes to supplier services

Changes to the provision of services by suppliers, including maintaining and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business information, systems and processes involved and re-assessment of risks.

BSI-19 Verifizierung, Aktualisierung und Test der Betriebskontinuität

Die Folgeabschätzung sowie die Pläne zur Kontinuität der kritischen Dienstleistung und Notfallpläne werden regelmäßig (mindestens jährlich) oder nach wesentlichen organisatorischen oder umgebungsbedingten Veränderungen überprüft, aktualisiert und getestet. Tests beziehen betroffene relevante Dritte (z. B. kritische Lieferanten) mit ein z. B. in Form von: • Internen Übungen und Systemtests • Übungen mit externen Partnern, insb. aus dem Kontext der kritischen Dienstleistung • Übungen im Rahmen des Notfallmanagements • Kommunikationsübungen • Planübungen, Krisenübungen, Training seltener Ereignisse. Die Tests werden dokumentiert und Ergebnisse werden für zukünftige Maßnahmen der Kontinuität der kritischen Dienstleistung berücksichtigt.

BSI-99 Kontrolle der Leistungserbringung und der Sicherheitsanforderungen an Dienstleister und Lieferanten des KRITIS-Betreibers

Verfahren zur regelmäßigen Überwachung und Überprüfung der vereinbarten Leistungen und Sicherheitsanforderungen von Dritten (z. B. Dienstleister bzw. Lieferanten des KRITIS-Betreibers), die wesentliche Teile für den Betrieb der kritischen Dienstleistung beitragen, sind implementiert. Die Maßnahmen umfassen mindestens: • Regelmäßige Kontrolle von Dienstleistungsberichten (z. B. SLA-Reportings), soweit diese von Dritten erbracht werden • Überprüfung von sicherheitsrelevanten Vorfällen, Betriebsstörungen oder Ausfällen und Unterbrechungen, die mit der Dienstleistung zusammenhängen • außerplanmäßige Überprüfungen nach wesentlichen Änderungen der Anforderungen oder des Umfelds. Die Notwendigkeit für außerplanmäßige Überprüfungen ist durch den KRITIS-Betreiber zu beurteilen und nachvollziehbar zu dokumentieren. Festgestellte Abweichungen werden gemäß der Anforderung OIS-07 (vgl. Nr. 14) einer Risikoanalyse unterzogen, um diese zeitgerecht durch mitigierende Maßnahmen wirksam zu adressieren.

Die Anforderungen werden regelmässig verifiziert und geprüft. Das Prüfungsergebnis ist nachvollziehbar dokumentiert.

ID.SC-5: Response and recovery planning and testing are conducted with suppliers and third-party providers

ISO/IEC 27001:2013 A.17.1.3 Verify, review and evaluate information security continuitiy

The organization shall verify the established and implemented information security continuity controls at regular intervals in order to ensure that they are valid and effective during adverse situations.

In die Notfallpläne für eine Reaktion auf einen Securityvorfall und die Wiederherstellung sind die Zulieferer mit eingebunden.

PROTECT (PR)

(Technischer) Schutz

Identity Management, Authentication and Access Control (PR.AC): Access to physical and logical assets and associated facilities is limited to authorized users, processes, and devices, and is managed consistent with the assessed risk of unauthorized access to authorized activities and transactions.

Identitäten, Authentifizierung und Zugangskontrolle zu physischen oder logischen Einheiten ist auf dafür vorgesehenen Benutzer, Prozesse und Geräte so beschränkt, gemäß der Risiken, die aus dem unauthorisierten Zugriff ergeben. (Identität und Zugriff IAM)

PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes

ISO/IEC 27001:2013 A.9.2.1 User registration and de-registration

A formal user registration and de-registration process shall be implemented to enable assignment of access rights.

ISO/IEC 27001:2013 A.9.2.2 User access provisioning

A formal user access provisioning process shall be implemented to assign or revoke access rights for all user types to all systems and services.

ISO/IEC 27001:2013 A.9.2.3 Management of privileged access right

The allocation and use of privileged access rights shall be restricted and controlled.

ISO/IEC 27001:2013 A.9.2.4 Management of secret authentication information of users

The allocation of secret authentication information shall be controlled through a formal management process.

ISO/IEC 27001:2013 A.9.2.6 Removal or adjustment of access rights

The access rights of all employees and external party users to information and information processing facilities shall be removed upon termination of their employment, contract or agreement, or adjusted upon change.

ISO/IEC 27001:2013 A.9.3.1 Use of secret authentication information

Users shall be required to follow the organisation's practices in the use of secret authentication information.

ISO/IEC 27001:2013 A.9.4.2 Secure log-on procedures

Where required by the access control policy, access to systems and applications shall be controlled by a secure log-on procedure.

ISO/IEC 27001:2013 A.9.4.3 Password management system

Password management systems shall be interactive and shall ensure quality passwords.

BSI-60 Identitäts- und Berechtigungsmanagement – Zugriffsberechtigung

Vergabe und Änderung von Zugriffsberechtigungen für Benutzer unter Verantwortung des KRITIS-Betreibers erfolgen gemäß der Richtlinie zur Verwaltung von Zugangs- und Zugriffsberechtigungen. Organisatorische und/oder technische Maßnahmen stellen sicher, dass die vergebenen Zugriffe die folgenden Anforderungen erfüllen: • Zugriffsberechtigungen entsprechen dem Prinzip der geringsten Berechtigung („Least-Privilege-Prinzip“) • Zugriffsberechtigungen werden nur so vergeben, wie es für die Aufgabenwahrnehmung notwendig ist („Need-to-know-Prinzip“) • die formalen Genehmigungen erfolgen durch eine autorisierte Person, bevor die Zugriffsberechtigungen eingerichtet werden (d. h. bevor der Benutzer auf die Systeme der kritischen Dienstleistung oder Komponenten der geteilten IT- Infrastruktur zugreifen kann) • die technisch zugewiesenen Zugriffsberechtigungen dürfen die formalen Genehmigungen nicht übersteigen.

BSI-61 Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen

Zugriffsberechtigungen von Benutzern unter Verantwortung des KRITIS-Betreibers (interne und externe Mitarbeiter) werden bei Änderungen im Beschäftigungsverhältnis (Kündigung, Versetzung, längerer Abwesenheit/Sabbatical/Elternzeit) zeitnah, spätestens aber 30 Tage nach Inkrafttreten entzogen bzw. vorübergehend ruhe stellend gesetzt. Zugänge werden vollständig deaktiviert, sobald das Beschäftigungsverhältnis erlischt.

BSI-62 Identitäts- und Berechtigungsmanagement – Überprüfungen

Zugriffsberechtigungen von Benutzern unter Verantwortung des KRITIS-Betreibers (interne und externe Mitarbeiter) werden mindestens jährlich überprüft, um diese zeitnah auf Änderungen im Beschäftigungsverhältnis (Kündigung, Versetzung, längerer Abwesenheit/Sabbatical/Elternzeit) anzupassen. Die Überprüfung erfolgt durch hierzu autorisierte Personen aus den Unternehmensbereichen des KRITIS-Betreibers, die aufgrund ihres Wissens über die Zuständigkeiten die Angemessenheit der vergebenen Berechtigungen überprüfen können. Die Überprüfung sowie die sich daraus ergebenden Berechtigungsanpassungen werden nachvollziehbar dokumentiert. Administrative Berechtigungen werden regelmäßig (mind. jährlich) überprüft.

BSI-64 Identitäts- und Berechtigungsmanagement – Notfallbenutzer

Die Verwendung von Notfallbenutzern (für Aktivitäten, die mit personalisierten, administrativen Benutzern nicht durchgeführt werden können) ist dokumentiert, zu begründen und bedarf der Genehmigung durch eine autorisierte Person, die unter Berücksichtigung des Prinzips der Funktionstrennung zu erfolgen hat. Die Freischaltung des Notfallbenutzers erfolgt nur solange, wie es für die Aufgabenwahrnehmung notwendig ist. Mindestens jährlich wird ein manueller Abgleich zwischen den erfolgten Freischaltungen der Notfallbenutzer und den entsprechenden Genehmigungen durchgeführt. Auffälligkeiten werden untersucht, um Missbrauch dieser Benutzer festzustellen und zukünftig zu verhindern. Die Aktivitäten der Notfallbenutzer werden revisionssicher protokolliert. Die Protokollierung ist hinreichend detailliert, um es einem sachverständigen Dritten zu ermöglichen, die Aktivitäten nachzuvollziehen.

BSI-27 Sichere Anmeldeverfahren

Die Vertraulichkeit der Anmeldeinformationen von internen und externen Benutzern unter Verantwortung des KRITIS-Betreibers sind durch die folgenden Maßnahmen geschützt: • Identitätsprüfung durch vertrauenswürdige Verfahren • Verwendung anerkannter Industriestandards zur Authentifizierung und Autorisierung (z. B. Multi-Faktor-Authentifizierung, keine Verwendung von gemeinsam genutzten Authentifizierungsinformationen, automatischer Ablauf) • Multi-Faktor-Authentifizierung für Administratoren des KRITIS-Betreibers (z. B. durch Smart Card oder biometrische Merkmale) ist zwingend erforderlich, sofern ein Zugriff über öffentliche Netze erfolgt.

Identitäten und ihre entsprechenden digitale Verkörperung (Login, Passwort, Token, Certifikat, Key) werden für Benutzer, Prozesse und Geräte verwaltet, ausgegeben, eingezogen und kontrolliert.

PR.AC-2: Physical access to assets is managed and protected

ISO/IEC 27001:2013 A.11.1.1 Physical security perimeter

Security perimeters shall be defined and used to protect areas that contain either sensitive or critical information and information processing facilities.

ISO/IEC 27001:2013 A.11.1.2 Physical entry controls

Secure areas shall be protected by appropriate entry controls to ensure that only authorized personnel are allowed access.

ISO/IEC 27001:2013 A.11.1.3 Securing offices, rooms and facilities

Physical security for offices, rooms and facilities shall be designed and applied.

ISO/IEC 27001:2013 A.11.1.4 Protecting against external and environmental threats

- Physical protection against natural disasters, malicious attack or accidents shall be designed and applied.

ISO/IEC 27001:2013 A.11.1.5 Working in secure areas

Procedures for working in secure areas shall be designed and applied.

ISO/IEC 27001:2013 A.11.1.6 Delivery and loading areas

Access points such as delivery and loading areas and other points where unauthorized persons could enter the premises shall be controlled and, if possible, isolated from information processing facilities to avoid unauthorized access.

ISO/IEC 27001:2013 A.11.2.1 Equipment siting and protection

Equipment shall be sited and protected to reduce the risks from environmental threats and hazards, and opportunities for unauthorized access.

ISO/IEC 27001:2013 A.11.2.3 Cabling security

Power and telecommunications cabeling carrying data or supporting information services shall be protected from interception, interferences or damage.

ISO/IEC 27001:2013 A.11.2.5 Removal of assets

Equipment, information or software shall not be taken off-site without prior authorization.

ISO/IEC 27001:2013 A.11.2.6 Security of equipment and assets off-premises

Security shall be applied to off-site assets taking into account the different risks of working outside the organization’s premises.

ISO/IEC 27001:2013 A.11.2.7 Secure disposal or re-use of equipment

All items of equipment containing storage media shall be verified to ensure that any sensitive data and licensed software has been removed or securely overwritten prior to disposal or re-use.

ISO/IEC 27001:2013 A.11.2.8 Unattended user equipment

Users shall ensure that unattended equipment has appropriate protection.

BSI-59 Identitäts- und Berechtigungsmanagement – Benutzerregistrierung

Zugangsberechtigungen für Benutzer unter Verantwortung des KRITIS-Betreibers (interne und externe Mitarbeiter) werden in einem formalen Verfahren erteilt. Organisatorische und/oder technische Maßnahmen stellen sicher, dass eindeutige Benutzerkennungen vergeben werden, die jeden Benutzer eindeutig identifizieren.

BSI-63 Identitäts- und Berechtigungsmanagement – Administratoren

Vergabe und Änderung von Zugriffsberechtigungen für interne und externe Benutzer mit administrativen oder weitreichenden Berechtigungen unter Verantwortung des KRITIS-Betreibers erfolgen gemäß der Richtlinie zur Verwaltung von Zugangs- und Zugriffsberechtigungen. Die Zuweisung erfolgt personalisiert und wie es für die Aufgabenwahrnehmung notwendig ist („Need-to-know-Prinzip“). Organisatorische und/oder technische Maßnahmen stellen sicher, dass durch die Vergabe dieser Berechtigungen keine ungewollten, kritischen Kombinationen entstehen, die gegen das Prinzip der Funktionstrennung verstoßen (z. B. Zuweisen von Berechtigungen zur Administration der Datenbank wie auch des Betriebssystems). Soweit dies in ausgewählten Fällen nicht möglich ist, sind angemessene, kompensierende Kontrollen eingerichtet, um einen Missbrauch dieser Berechtigungen zu identifizieren (z. B. Protokollierung und Überwachung durch eine SIEM-Lösung (Security Information and Event Management)).

Der physische Zugriff/Zutritt wird verwaltet und wirksam umgesetzt. (Auch Kabel, Entwenden, Aussonderung, Anlieferung und Versand; Benutzerregistrierung und Adminzugang)

PR.AC-3: Remote access is managed

ISO/IEC 27001:2013 A.6.2.1 Mobile device policy

A policy and supporting security measures shall be adopted to manage the risks introduced by using mobile devices.

ISO/IEC 27001:2013 A.6.2.2 Teleworking

A policy and supporting security measures shall be implemented to protect information accessed, processed or stored at teleworking sites.

ISO/IEC 27001:2013 A.11.2.6 Security of equipment and assets off-premises

Security shall be applied to off-site assets taking into account the different risks of working outside the organization’s premises.

ISO/IEC 27001:2013 A.13.1.1 Network controls

Networks shall be managed and controlled to protect information in systems and applications.

ISO/IEC 27001:2013 A.13.2.1 Information transfer policies and procedures

Formal transfer policies, procedures and controls shall be in place to protect the transfer of information through the use of all types of communication facilities.

BSI-36 Technische Schutzmaßnahmen

Basierend auf den Ergebnissen einer durchgeführten Risiko-Analyse, hat der KRITIS- Betreiber technische Schutzmaßnahmen implementiert, die geeignet sind, um netzwerkbasierte Angriffe auf Basis anomaler Eingangs- oder Ausgangs-Traffic-Muster (z. B. durch MAC-Spoofing und ARP-Poisoning-Angriffe) und/oder Distributed-Denial-of- Service (DDoS)-Angriffe zeitnah zu erkennen und darauf zu reagieren. Zusätzlich werden, wo notwendig bzw. sinnvoll, Intrusion Detection- und Intrusion Prevention- Systeme (IDS und IPS) eingesetzt.

Auch der Remotezugriff wird ebenso verwaltet. (Mobile-Geräte, Remoteeinwahl, Informationsfluß)

PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties

ISO/IEC 27001:2013 A.6.1.2 Segregation of duties

Conflicting duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.

ISO/IEC 27001:2013 A.9.1.2 Access of networks and network services

Users shall only be provided with access to the network and network services that they have been specifically authorized to use.

ISO/IEC 27001:2013 A.9.2.3 Management of privileged access right

The allocation and use of privileged access rights shall be restricted and controlled.

ISO/IEC 27001:2013 A.9.4.1 Information access restriction

Access to information and application system functions shall be restricted in accordance with the access control policy.

ISO/IEC 27001:2013 A.9.4.4 Use of privileged utility programs

The use of utility programs that might be capable of overriding system and application controls shall be restricted and tightly controlled.

ISO/IEC 27001:2013 A.9.4.5 Access control to program source code

Access to program source code shall be restricted.

BSI-4 Funktionstrennung

Es existieren angemessene Vorgaben und Anweisungen zu organisatorischen und technischen Kontrollen, um die Trennung von Rollen und Verantwortlichkeiten („Separation of Duties“/Funktionstrennung), die hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen im Zusammenhang mit der kritischen Dienstleistung nicht miteinander vereinbar sind, zu gewährleisten (z. B. in Stellenbeschreibungen, Prozessbeschreibungen, SOD-Matrizen, etc.). Die Vorgaben adressieren insb. die folgenden Bereiche (Beispiele): • Administration von Rollen, Genehmigung und Zuweisung von Zugriffsberechtigungen für Benutzer unter Verantwortung des KRITIS-Betreibers • die Entwicklung und Implementierung von Änderungen an der kritischen Dienstleistung sowie die Wartung der für die kritische Dienstleistung relevanten physischen und logischen IT-Infrastruktur (Netzwerke, Betriebssysteme, Datenbanken) und der IT-Anwendungen • den Betrieb und die Überwachung des Betriebs der kritischen Dienstleistungen. Operative und kontrollierende Funktionen sollten nicht von einer Person gleichzeitig wahrgenommen werden dürfen. Kann aus organisatorischen oder technischen Gründen keine Funktionstrennung erreicht werden, sind angemessene kompensierende Kontrollen eingerichtet, um missbräuchliche Aktivitäten zu verhindern oder aufzudecken. Vorhandene Funktionstrennungskonflikte und die dazu eingerichteten kompensierenden Kontrollen nachvollziehbar dokumentiert (z. B. in einem Rollen- und Rechtekonzept), um eine Beurteilung über die Angemessenheit und Wirksamkeit dieser Kontrollen zu ermöglichen.

BSI-58 Rollenzuweisung und Vieraugenprinzip oder Funktionstrennung

Ein auf den Geschäfts- und Sicherheitsanforderungen des KRITIS-Betreibers basierendes Rollen- und Rechtekonzept sowie eine Richtlinie zur Verwaltung von Zugangs- und Zugriffsberechtigungen sind dokumentiert, kommuniziert und bereitgestellt und adressieren die folgenden Bereiche: • Die Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen auf Basis des Prinzips der geringsten Berechtigung („Least Privilege Prinzip“) und wie es für die Aufgabenwahrnehmung notwendig ist („Need to know Prinzip“) • Funktionstrennung zwischen operativen und kontrollierenden Funktionen („Separation of Duties“) • Funktionstrennung in der Administration von Rollen, Genehmigung und Zuweisung von Zugriffsberechtigungen • regelmäßige Überprüfung vergebener Berechtigungen • Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses Anforderungen an Genehmigung und Dokumentation der Verwaltung von Zugangs- und Zugriffsberechtigungen.

BSI-63 Identitäts- und Berechtigungsmanagement – Administratoren

Vergabe und Änderung von Zugriffsberechtigungen für interne und externe Benutzer mit administrativen oder weitreichenden Berechtigungen unter Verantwortung des KRITIS-Betreibers erfolgen gemäß der Richtlinie zur Verwaltung von Zugangs- und Zugriffsberechtigungen. Die Zuweisung erfolgt personalisiert und wie es für die Aufgabenwahrnehmung notwendig ist („Need-to-know-Prinzip“). Organisatorische und/oder technische Maßnahmen stellen sicher, dass durch die Vergabe dieser Berechtigungen keine ungewollten, kritischen Kombinationen entstehen, die gegen das Prinzip der Funktionstrennung verstoßen (z. B. Zuweisen von Berechtigungen zur Administration der Datenbank wie auch des Betriebssystems). Soweit dies in ausgewählten Fällen nicht möglich ist, sind angemessene, kompensierende Kontrollen eingerichtet, um einen Missbrauch dieser Berechtigungen zu identifizieren (z. B. Protokollierung und Überwachung durch eine SIEM-Lösung (Security Information and Event Management)).

Die entsprechenden Zugriffsrechte werden nach dem Prinzip (so wenig wie möglich, so viel wie nötig) und unter Trennung der Rollen verwaltet.

PR.AC-5: Network integrity is protected (e.g., network segregation, network segmentation)

ISO/IEC 27001:2013 A.13.1.1 Network controls

Networks shall be managed and controlled to protect information in systems and applications.

ISO/IEC 27001:2013 A.13.1.3 Segregation in networks

Groups of information services, users and information systems shall be segregated on networks.

ISO/IEC 27001:2013 A.13.2.1 Information transfer policies and procedures

Formal transfer policies, procedures and controls shall be in place to protect the transfer of information through the use of all types of communication facilities.

ISO/IEC 27001:2013 A.14.1.2 Securing application services on public networks

Information involved in application services passing over public networks shall be protected from fraudulent activity, contract dispute and unauthorized disclosure and modification.

ISO/IEC 27001:2013 A.14.1.3 Protecting application services transactions

Information involved in application service transactions shall be protected to prevent incomplete transmission, misrouting, unauhorized message alteration, unauthorized disclosure, unauthorized message duplication or replay.

BSI-39 Netzwerke zur Administration

Es existieren gesonderte Netzwerke zur administrativen Verwaltung der Infrastruktur und für den Betrieb von Managementkonsolen, die logisch oder physisch vom Netzwerk des KRITIS-Betreibers getrennt und durch Multi-Faktor-Authentifizierung vor unberechtigten Zugriffen geschützt sind. Netzwerke, die zum Zwecke der Migration oder dem Erzeugen von virtuellen Maschinen dienen, sind ebenfalls physisch oder logisch von anderen Netzwerken zu separieren.

BSI-40 Dokumentation der Netztopologie

Die Architektur des Netzwerks ist nachvollziehbar und aktuell dokumentiert (z. B. in Form von Diagrammen), um im Wirkbetrieb Fehler in der Verwaltung zu vermeiden und um im Schadensfall eine zeitgerechte Wiederherstellung gemäß den vertraglichen Verpflichtungen zu gewährleisten. Aus der Dokumentation gehen die unterschiedlichen Umgebungen (z. B. Administrations-Netzwerk und geteilte Netzwerksegmente) und Datenflüsse hervor.

BSI-41 Richtlinien zur Datenübertragung

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen zum Schutz der Datenübertragung vor unbefugtem Abfangen, Manipulieren, Kopieren, Modifizieren, Umleiten oder Vernichten (z. B. Einsatz von Verschlüsselung) sind gemäß IT-Sicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. Die Vorgaben stellen einen Bezug zur Klassifikation von Informationen her (vgl. Nr. 9).

BSI-36 Technische Schutzmaßnahmen

Basierend auf den Ergebnissen einer durchgeführten Risiko-Analyse, hat der KRITIS- Betreiber technische Schutzmaßnahmen implementiert, die geeignet sind, um netzwerkbasierte Angriffe auf Basis anomaler Eingangs- oder Ausgangs-Traffic-Muster (z. B. durch MAC-Spoofing und ARP-Poisoning-Angriffe) und/oder Distributed-Denial-of- Service (DDoS)-Angriffe zeitnah zu erkennen und darauf zu reagieren. Zusätzlich werden, wo notwendig bzw. sinnvoll, Intrusion Detection- und Intrusion Prevention- Systeme (IDS und IPS) eingesetzt.

Netze werden gemäß der Informationssicherheit getrennt und separiert und sicher betrieben. (Netzmonitoring, Schnittstellenvereinbarung, Verschlüsselung, Protokollschutz MAC-Spoofing, ARP-Poisoning, DDOS, IDS/IPS)

PR.AC-6: Identities are proofed and bound to credentials and asserted in interactions

ISO/IEC 27001:2013 A.7.1.1 Screening

Background verification checks on all candidates for employment shall be carried out in accordance with relevant laws, regulations and ethics and shall be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.

ISO/IEC 27001:2013 A.9.2.1 User registration and de-registration

A formal user registration and de-registration process shall be implemented to enable assignment of access rights.

BSI-56 Einstellung und Sicherheitsüberprüfung

Die Vergangenheit aller internen und externen Mitarbeiter des KRITIS-Betreibers mit Zugriff auf die für die Erbringung der kritischen Dienstleistung notwendigen informationstechnischen Systeme, Komponenten und Prozesse wird vor Beginn des Beschäftigungsverhältnisses gemäß der lokalen Gesetzgebung und Regulierung durch den KRITIS-Betreiber überprüft. Besondere Genehmigungsverfahren im Einstellungsprozess für Mitarbeiter und Positionen, bei denen Zugriff auf besonders sensible Informationen besteht, sind etabliert. Soweit rechtlich zulässig, umfasst die Überprüfung folgende Bereiche: • Verifikation der Person durch Personalausweis • Verifikation des Lebenslaufs • Verifikation von akademischen Titeln und Abschlüssen • Anfrage eines polizeilichen Führungszeugnisses bei sensiblen Positionen im Unternehmen. Besondere Genehmigungsverfahren im Einstellungsprozess für Mitarbeiter und Positionen, bei denen Zugriff auf besonders sensible Informationen besteht, sind etabliert.

Identitäten sind geprüft, mit digitalen Anmeldedaten verknüpft und werden interaktiv verifiziert.

PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multi-factor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks)

ISO/IEC 27001:2013 A.9.2.1 User registration and de-registration

A formal user registration and de-registration process shall be implemented to enable assignment of access rights.

ISO/IEC 27001:2013 A.9.2.4 Management of secret authentication information of users

The allocation of secret authentication information shall be controlled through a formal management process.

ISO/IEC 27001:2013 A.9.3.1 Use of secret authentication information

Users shall be required to follow the organisation's practices in the use of secret authentication information.

ISO/IEC 27001:2013 A.9.4.2 Secure log-on procedures

Where required by the access control policy, access to systems and applications shall be controlled by a secure log-on procedure.

ISO/IEC 27001:2013 A.9.4.3 Password management system

Password management systems shall be interactive and shall ensure quality passwords.

ISO/IEC 27001:2013 A.18.1.4 Privacy and protection of personally identifiable information

Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable.

BSI-29 Passwortanforderungen und Validierungsparameter (Für eine Anforderung viel zu detailiert!)

Sicherheits-Parameter auf Netzwerk,- Betriebssystem- (Host und Gast), Datenbank-, und Anwendungsebene (soweit für die kritische Dienstleistung relevant) sind angemessen konfiguriert, um unautorisierte Zugriffe zu verhindern. Soweit keine Zwei-Faktor- Authentifizierung oder die Verwendung von Einmalpasswörtern möglich ist, wird die Verwendung sicherer Passwörter auf allen Ebenen und Geräten (einschließlich mobilen Endgeräten) unter Verantwortung des KRITIS-Betreibers technisch erzwungen oder in einer Passwort-Richtlinie organisatorisch gefordert. Die Vorgaben müssen mindestens die folgenden Anforderungen erfüllen: • Minimale Passwortlänge von 8 Zeichen • Mindestens zwei der folgenden Zeichentypen müssen enthalten sein: Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen • Maximale Gültigkeit von 90 Tagen, minimale Gültigkeit von 1 Tag • Passworthistorie von 6 • Übertragung und Speicherung der Passwörter in einem verschlüsselten Verfahren, das dem aktuellen Stand der Technik entspricht.

Benutzer, Geräte und andere Assets werden authentifiziert entsprechend dem damit verbundenen Risiko (z.B. Passwort-Policy und 2FA bei höherer Sicherheit).

Awareness und Sicherheitsbewußtsein.

PR.AT-1: All users are informed and trained

ISO/IEC 27001:2013 A.7.2.2 Information security awareness, education and training

All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.

ISO/IEC 27001:2013 A.12.2.1 Controls against malware

Detection, prevention and recovery controls to protect against malware shall be implemented, combined with appropriate user awareness.

BSI-68 Schulungen und Awareness

Ein Programm zur zielgruppenorientierten Sicherheitsausbildung und Sensibilisierung zum Thema Informationssicherheit existiert und ist verpflichtend für alle internen und externen Mitarbeiter des KRITIS-Betreibers. Das Programm wird regelmäßig in Bezug auf die gültigen Richtlinien und Anweisungen, den zugewiesenen Rollen und Verantwortlichkeiten sowie den bekannten Bedrohungen aktualisiert und ist dann erneut zu durchlaufen. Das Programm umfasst mindestens die folgenden Inhalte: • Die regelmäßige und dokumentierte Unterweisung hinsichtlich der sicheren Konfiguration und des sicheren Betriebs der für die kritische Dienstleistung erforderlichen IT-Anwendungen und IT-Infrastruktur, einschließlich mobiler Endgeräte • die regelmäßige und dokumentierte Unterrichtung über bekannte Bedrohungen und • das regelmäßige und dokumentierte Training des Verhaltens beim Auftreten sicherheitsrelevanter Ereignisse. Externe Dienstleister und Lieferanten des KRITIS-Betreibers, die zum Betrieb der kritischen Dienstleistung beitragen, werden vertraglich verpflichtet, ihre Mitarbeiter und Unterauftragnehmer auf die spezifischen Sicherheitsanforderungen des KRITIS-Betreibers hinzuweisen und ihre Mitarbeiter allgemein zum Thema Informationssicherheit zu schulen. Das Programm berücksichtigt verschiedene Profile und umfasst weiterführende Informationen für Positionen und Mitarbeiter, die umfangreiche Berechtigungen oder Zugriff auf sensible Daten haben. Externe Mitarbeiter von Dienstleistern und Lieferanten des KRITIS-Betreibers, die zum Betrieb der kritischen Dienstleistung beitragen, werden in den spezifischen Sicherheitsanforderungen des Betreibers der kritischen Infrastrukturen sowie allgemein zum Thema Informationssicherheit unterwiesen.

Alle Benutzer sind informiert und trainiert.

PR.AT-2: Privileged users understand their roles and responsibilities

ISO/IEC 27001:2013 A.6.1.1 Information Security Roles and Responsibilities

All information security responsibilities shall be defined and allocated.

ISO/IEC 27001:2013 A.7.2.2 Information security awareness, education and training

All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.

BSI-68 Schulungen und Awareness

Ein Programm zur zielgruppenorientierten Sicherheitsausbildung und Sensibilisierung zum Thema Informationssicherheit existiert und ist verpflichtend für alle internen und externen Mitarbeiter des KRITIS-Betreibers. Das Programm wird regelmäßig in Bezug auf die gültigen Richtlinien und Anweisungen, den zugewiesenen Rollen und Verantwortlichkeiten sowie den bekannten Bedrohungen aktualisiert und ist dann erneut zu durchlaufen. Das Programm umfasst mindestens die folgenden Inhalte: • Die regelmäßige und dokumentierte Unterweisung hinsichtlich der sicheren Konfiguration und des sicheren Betriebs der für die kritische Dienstleistung erforderlichen IT-Anwendungen und IT-Infrastruktur, einschließlich mobiler Endgeräte • die regelmäßige und dokumentierte Unterrichtung über bekannte Bedrohungen und • das regelmäßige und dokumentierte Training des Verhaltens beim Auftreten sicherheitsrelevanter Ereignisse. Externe Dienstleister und Lieferanten des KRITIS-Betreibers, die zum Betrieb der kritischen Dienstleistung beitragen, werden vertraglich verpflichtet, ihre Mitarbeiter und Unterauftragnehmer auf die spezifischen Sicherheitsanforderungen des KRITIS-Betreibers hinzuweisen und ihre Mitarbeiter allgemein zum Thema Informationssicherheit zu schulen. Das Programm berücksichtigt verschiedene Profile und umfasst weiterführende Informationen für Positionen und Mitarbeiter, die umfangreiche Berechtigungen oder Zugriff auf sensible Daten haben. Externe Mitarbeiter von Dienstleistern und Lieferanten des KRITIS-Betreibers, die zum Betrieb der kritischen Dienstleistung beitragen, werden in den spezifischen Sicherheitsanforderungen des Betreibers der kritischen Infrastrukturen sowie allgemein zum Thema Informationssicherheit unterwiesen.

Privilegierte Benutzer kennen ihre Rolle und Verantwortung.

PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities

ISO/IEC 27001:2013 A.6.1.1 Information Security Roles and Responsibilities

All information security responsibilities shall be defined and allocated.

ISO/IEC 27001:2013 A.7.2.1 Management responsibilities

Management shall require all employees and contractors to apply information security in accordance with the established policies and procedures of the organization.

ISO/IEC 27001:2013 A.7.2.2 Information security awareness, education and training

All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.

BSI-98 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister des KRITIS-Betreibers

Richtlinien und Anweisungen zur Sicherstellung des Schutzes von Informationen (insb. deren Verfügbarkeit) auf sonstige Dritte (z. B. Dienstleister bzw. Lieferanten des KRITIS- Betreibers), die wesentliche Teile für den Betrieb der kritischen Dienstleistung beitragen, sind gemäß IT-Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. Die Vorgaben dienen der Reduzierung von Risiken, die durch die Auslagerung von IT-Systemen entstehen können. Dabei werden mindestens die folgenden Aspekte berücksichtigt: • Definition und Beschreibung von Mindest-Sicherheitsanforderungen in Bezug auf die verarbeiteten Informationen, die sich an etablierten Informationssicherheitsstandards orientieren • Anforderungen an das Incident- und Vulnerability-Management (insb. Benachrichtigungen und Kollaborationen während einer Störungsbehebung) • Weitergabe und vertragliche Verpflichtung auf die Mindest-Sicherheitsanforderungen auch an Unterauftragnehmer, wenn diese nicht nur unwesentliche Teile zu Entwicklung oder Betrieb der kritischen Dienstleistung (z. B. RZ-Dienstleister) beitragen • die Definition der Anforderungen ist in das Risikomanagement des KRITIS- Betreibers eingebunden. Diese müssen regelmäßig auf ihre Angemessenheit hin überprüft werden. (vgl. Nr. 14)

Zulieferer, Dienstleiter und andere Partner kennen ihre Rolle und Verantwortung.

PR.AT-4: Senior executives understand their roles and responsibilities

ISO/IEC 27001:2013 A.6.1.1 Information Security Roles and Responsibilities

All information security responsibilities shall be defined and allocated.

ISO/IEC 27001:2013 A.7.2.2 Information security awareness, education and training

All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.

BSI-2 Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitung

Eine Informationssicherheitsleitlinie mit Sicherheitszielen und strategischen Vorgaben, wie diese Ziele erreicht werden sollen, ist dokumentiert. Die Sicherheitsziele leiten sich von den Unternehmenszielen und Geschäftsprozessen, relevanten Gesetzen und Verordnungen sowie der aktuellen und zukünftig erwarteten Bedrohungsumgebung in Bezug auf Informationssicherheit ab. Die strategischen Vorgaben stellen grundlegende Rahmenbedingungen dar, die in weiteren Richtlinien und Anweisungen näher spezifiziert werden. Die Informationssicherheitsleitlinie wird von der Unternehmensleitung verabschiedet und an alle betroffenen internen und externen Parteien der kritischen Dienstleistung kommuniziert.

Die Leitungsebene kennt ihre Rolle und Verantwortung.

PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities

ISO/IEC 27001:2013 A.6.1.1 Information Security Roles and Responsibilities

All information security responsibilities shall be defined and allocated.

ISO/IEC 27001:2013 A.7.2.2 Information security awareness, education and training

All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.

BSI-68 Schulungen und Awareness

Ein Programm zur zielgruppenorientierten Sicherheitsausbildung und Sensibilisierung zum Thema Informationssicherheit existiert und ist verpflichtend für alle internen und externen Mitarbeiter des KRITIS-Betreibers. Das Programm wird regelmäßig in Bezug auf die gültigen Richtlinien und Anweisungen, den zugewiesenen Rollen und Verantwortlichkeiten sowie den bekannten Bedrohungen aktualisiert und ist dann erneut zu durchlaufen. Das Programm umfasst mindestens die folgenden Inhalte: • Die regelmäßige und dokumentierte Unterweisung hinsichtlich der sicheren Konfiguration und des sicheren Betriebs der für die kritische Dienstleistung erforderlichen IT-Anwendungen und IT-Infrastruktur, einschließlich mobiler Endgeräte • die regelmäßige und dokumentierte Unterrichtung über bekannte Bedrohungen und • das regelmäßige und dokumentierte Training des Verhaltens beim Auftreten sicherheitsrelevanter Ereignisse. Externe Dienstleister und Lieferanten des KRITIS-Betreibers, die zum Betrieb der kritischen Dienstleistung beitragen, werden vertraglich verpflichtet, ihre Mitarbeiter und Unterauftragnehmer auf die spezifischen Sicherheitsanforderungen des KRITIS-Betreibers hinzuweisen und ihre Mitarbeiter allgemein zum Thema Informationssicherheit zu schulen. Das Programm berücksichtigt verschiedene Profile und umfasst weiterführende Informationen für Positionen und Mitarbeiter, die umfangreiche Berechtigungen oder Zugriff auf sensible Daten haben. Externe Mitarbeiter von Dienstleistern und Lieferanten des KRITIS-Betreibers, die zum Betrieb der kritischen Dienstleistung beitragen, werden in den spezifischen Sicherheitsanforderungen des Betreibers der kritischen Infrastrukturen sowie allgemein zum Thema Informationssicherheit unterwiesen.

Sicherheits- und Cyber-Security-Personal kennt seine Rollen und Verantwortlichkeiten.

Data Security (PR.DS): Information and records (data) are managed consistent with the organization’s risk strategy to protect the confidentiality, integrity, and availability of information.

Informations- und Datensicherheit wird konsistent und gemäß der Sicherheitsstrategie verwaltet (confidentiality, integrity, and availability).

PR.DS-1: Data-at-rest is protected

ISO/IEC 27001:2013 A.8.2.3 Handling of assets

Procedures for handling assets shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

BSI-34 Verschlüsselung von sensiblen Daten bei der Speicherung

Verfahren und technische Maßnahmen zur Verschlüsselung sensibler Daten der kritischen Dienstleistung bei der Speicherung sind etabliert. Ausnahmen gelten für Daten, die für die Erbringung der kritischen Dienstleistung funktionsbedingt nicht verschlüsselt sein können. Die für die Verschlüsselung verwendeten privaten Schlüssel sind ausschließlich dem dafür vorgesehenen Empfänger nach geltenden rechtlichen und regulatorischen Verpflichtungen und Anforderungen bekannt. Ausnahmen (z. B. Verwendung eines Generalschlüssels durch den KRITIS-Betreiber) folgen einem geregelten Verfahren.

Schutz ruhender Daten. (Umgang mit Geräten, Festplattenverschlüsselung, gute Hashes, HSM)

PR.DS-2: Data-in-transit is protected

ISO/IEC 27001:2013 A.8.2.3 Handling of assets

Procedures for handling assets shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

ISO/IEC 27001:2013 A.13.1.1 Network controls

Networks shall be managed and controlled to protect information in systems and applications.

ISO/IEC 27001:2013 A.13.2.1 Information transfer policies and procedures

Formal transfer policies, procedures and controls shall be in place to protect the transfer of information through the use of all types of communication facilities.

ISO/IEC 27001:2013 A.13.2.3 Electronic messaging

Information involved in electronic messaging shall be appropriately protected.

ISO/IEC 27001:2013 A.14.1.2 Securing application services on public networks

Information involved in application services passing over public networks shall be protected from fraudulent activity, contract dispute and unauthorized disclosure and modification.

ISO/IEC 27001:2013 A.14.1.3 Protecting application services transactions

Information involved in application service transactions shall be protected to prevent incomplete transmission, misrouting, unauhorized message alteration, unauthorized disclosure, unauthorized message duplication or replay.

BSI-33 Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung)

Verfahren und technische Maßnahmen zur starken Verschlüsselung und Authentifizierung bei der Übertragung von Daten der kritischen Dienstleistung (z. B. über öffentliche Netze transportierte elektronische Nachrichten) sind etabliert.

Schutz von transportierten/übertragenen Daten.(Transport von Geräten, Netzwerkkontrolle, Transportverschlüsselung)

PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition

ISO/IEC 27001:2013 A.8.2.3 Handling of assets

Procedures for handling assets shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

ISO/IEC 27001:2013 A.8.3.1 Management of removable media

Procedures shall be implemented for the management of removable media in accordance with the classification scheme adopted by the organization.

ISO/IEC 27001:2013 A.8.3.2 Disposal of media

Media shall be disposed of securely when no longer required, using formal procedures.

ISO/IEC 27001:2013 A.8.3.3 Physical media transfer

Media containing information shall be protected against unauthor- ized access, misuse or corruption during transportation.

ISO/IEC 27001:2013 A.11.2.5 Removal of assets

Equipment, information or software shall not be taken off-site without prior authorization.

ISO/IEC 27001:2013 A.11.2.7 Secure disposal or re-use of equipment

All items of equipment containing storage media shall be verified to ensure that any sensitive data and licensed software has been removed or securely overwritten prior to disposal or re-use.

BSI-7 Nutzungsanweisungen für Assets

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen für den ordnungsgemäßen Umgang mit Assets, die für die Erbringung der kritischen Dienstleistung relevant sind und gemäß der Informationssicherheitsrichtlinie dokumentiert, kommuniziert und in der jeweils aktuellsten Version bereitgestellt werden.

BSI-10 Kennzeichnung von Informationen und Handhabung von Assets

Zu dem umgesetzten Klassifizierungsschema von Informationen und Assets existieren Arbeitsanweisungen und Prozesse, um die Kennzeichnung von Informationen, sowie die entsprechende Behandlung von Assets zu gewährleisten.

BSI-12 Überführung und Entfernung von Assets

Geräte, Hardware, Software oder Daten dürfen nur nach erfolgter Genehmigung durch autorisierte Gremien oder Stellen des Betreibers der Kritischen Infrastruktur in externe Räumlichkeiten überführt werden. Die Überführung findet auf sicherem Wege statt, entsprechend der Art des zu überführenden Assets.

Assets werden angemessen verwaltet (Einführung, Lagerung, Transport, Wieder/Weiterverwendung, Entsorgung)

PR.DS-4: Adequate capacity to ensure availability is maintained

ISO/IEC 27001:2013 A.12.1.3 Capacity management

The use of resources shall be monitored, tuned and projections made of future capacity requirements to ensure the required system performance.

ISO/IEC 27001:2013 A.17.2.1 Availability of information processing facilities

Information processing facilities shall be implemented with redundancy sufficient to meet availability requirements.

BSI-20 Notwendige/ausreichende Personal- und IT-Ressourcen (Betrieb und IT-Sicherheit)

Die Planung von Kapazitäten und Ressourcen (Personal und IT-Ressourcen) folgt einem etablierten Verfahren, um mögliche Kapazitätsengpässe zu vermeiden. Die Verfahren umfassen Prognosen von zukünftigen Kapazitätsanforderungen, um Nutzungstrends zu identifizieren und Risiken der Systemüberlastung zu beherrschen. Technische und organisatorische Maßnahmen zur Überwachung und Provisionierung bzw. De-Provisionierung bei KRITIS-Betreiber sind definiert. Dadurch stellt der Betreiber sicher, dass Ressourcen bereitgestellt bzw. Leistungen gemäß der vertraglichen Vereinbarung erbracht werden und die Einhaltung der Dienstgütevereinbarungen sichergestellt ist.

Anpassung der Kapazitäten, um die Verfügbarkeit zu gewährleisten. (Auch Personal, Auslastung(sprognosen), Beschaffung)

PR.DS-5: Protections against data leaks are implemented

ISO/IEC 27001:2013 A.6.1.2 Segregation of duties

Conflicting duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.

ISO/IEC 27001:2013 A.7.1.1 Screening

Background verification checks on all candidates for employment shall be carried out in accordance with relevant laws, regulations and ethics and shall be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.

ISO/IEC 27001:2013 A.7.1.2 Terms and conditions of employment

The contractual agreements with employees and contractors shall state their and the organization’s responsibilities for information security.

ISO/IEC 27001:2013 A.7.3.1 Termination or change of employment responsibilities

Information security responsibilities and duties that remain valid after termination or change of employment shall be defined, communicated to the employee or contractor and enforced.

ISO/IEC 27001:2013 A.8.2.2 Labeling of information

An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

ISO/IEC 27001:2013 A.8.2.3 Handling of assets

Procedures for handling assets shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

ISO/IEC 27001:2013 A.9.1.1 Access control policy

An access control policy shall be established, documented and reviewed based on business and information security requirements.

ISO/IEC 27001:2013 A.9.1.2 Access of networks and network services

Users shall only be provided with access to the network and network services that they have been specifically authorized to use.

ISO/IEC 27001:2013 A.9.2.3 Management of privileged access right

The allocation and use of privileged access rights shall be restricted and controlled.

ISO/IEC 27001:2013 A.9.4.1 Information access restriction

Access to information and application system functions shall be restricted in accordance with the access control policy.

ISO/IEC 27001:2013 A.9.4.4 Use of privileged utility programs

The use of utility programs that might be capable of overriding system and application controls shall be restricted and tightly controlled.

ISO/IEC 27001:2013 A.9.4.5 Access control to program source code

Access to program source code shall be restricted.

ISO/IEC 27001:2013 A.10.1.1 Policy on the use of cryptographic controls

A policy on the use of cryptographic controls for protection of information shall be developed and implemented.

ISO/IEC 27001:2013 A.11.1.4 Protecting against external and environmental threats

- Physical protection against natural disasters, malicious attack or accidents shall be designed and applied.

ISO/IEC 27001:2013 A.11.1.5 Working in secure areas

Procedures for working in secure areas shall be designed and applied.

ISO/IEC 27001:2013 A.11.2.1 Equipment siting and protection

Equipment shall be sited and protected to reduce the risks from environmental threats and hazards, and opportunities for unauthorized access.

ISO/IEC 27001:2013 A.13.1.1 Network controls

Networks shall be managed and controlled to protect information in systems and applications.

ISO/IEC 27001:2013 A.13.1.3 Segregation in networks

Groups of information services, users and information systems shall be segregated on networks.

ISO/IEC 27001:2013 A.13.2.1 Information transfer policies and procedures

Formal transfer policies, procedures and controls shall be in place to protect the transfer of information through the use of all types of communication facilities.

ISO/IEC 27001:2013 A.13.2.3 Electronic messaging

Information involved in electronic messaging shall be appropriately protected.

ISO/IEC 27001:2013 A.13.2.4 Confidentiality or non-disclosure agreements

Requirements for confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information shall be identified, regularly reviewed and documented.

ISO/IEC 27001:2013 A.14.1.2 Securing application services on public networks

Information involved in application services passing over public networks shall be protected from fraudulent activity, contract dispute and unauthorized disclosure and modification.

ISO/IEC 27001:2013 A.14.1.3 Protecting application services transactions

Information involved in application service transactions shall be protected to prevent incomplete transmission, misrouting, unauhorized message alteration, unauthorized disclosure, unauthorized message duplication or replay.

BSI-10 Kennzeichnung von Informationen und Handhabung von Assets

Zu dem umgesetzten Klassifizierungsschema von Informationen und Assets existieren Arbeitsanweisungen und Prozesse, um die Kennzeichnung von Informationen, sowie die entsprechende Behandlung von Assets zu gewährleisten.

BSI-32 Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen für Verschlüsselungsverfahren und Schlüsselverwaltung sind gemäß IT-Sicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, in denen die folgenden Aspekte beschrieben sind: • Das Nutzen von starken Verschlüsselungsverfahren (z. B. AES) und die Verwendung von sicheren Netzwerkprotokollen, die dem Stand der Technik entsprechen (z. B. TLS, IPsec, SSH) • risikobasierte Vorschriften für den Einsatz von Verschlüsselung, die mit Schemata zur Informationsklassifikation abgeglichen sind und den Kommunikationskanal, Art, Stärke und Qualität der Verschlüsselung berücksichtigen • Anforderungen für das sichere Erzeugen, Speichern, Archivieren, Abrufen, Verteilen, Entziehen und Löschen der Schlüssel • Berücksichtigung der relevanten rechtlichen und regulatorischen Verpflichtungen und Anforderungen.

BSI-35 Sichere Schlüsselverwaltung

Verfahren und technische Maßnahmen zur sicheren Schlüsselverwaltung beinhalten mindestens die folgenden Aspekte: • Schlüsselgenerierung für unterschiedliche kryptografische Systeme und Applikationen • Ausstellung und Einholung von Public-Key-Zertifikaten • Provisionierung und Aktivierung von Schlüsseln für beteiligte Dritte • Sicheres Speichern eigener Schlüssel (sonstiger Dritter) einschließlich der Beschreibung, wie autorisierte Nutzer den Zugriff erhalten • Ändern oder Aktualisieren von kryptografischen Schlüsseln einschließlich Richtlinien, die festlegen, unter welchen Bedingungen und auf welche Weise die Änderungen bzw. Aktualisierungen zu realisieren sind • Umgang mit kompromittiertem Schlüssel • Entzug und Löschen von Schlüsseln, bspw. im Falle von Kompromittierung oder Mitarbeiterveränderungen.

Schutz von abfließenden Daten.

PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity

ISO/IEC 27001:2013 A.12.2.1 Controls against malware

Detection, prevention and recovery controls to protect against malware shall be implemented, combined with appropriate user awareness.

ISO/IEC 27001:2013 A.12.5.1 Installation of software on operational systems

Procedures shall be implemented to control the installation of software on operational systems.

ISO/IEC 27001:2013 A.14.1.2 Securing application services on public networks

Information involved in application services passing over public networks shall be protected from fraudulent activity, contract dispute and unauthorized disclosure and modification.

ISO/IEC 27001:2013 A.14.1.3 Protecting application services transactions

Information involved in application service transactions shall be protected to prevent incomplete transmission, misrouting, unauhorized message alteration, unauthorized disclosure, unauthorized message duplication or replay.

ISO/IEC 27001:2013 A.14.2.4 Restrictions on changes to software packages

Modifications to software packages shall be discouraged, limited to necessary changes and all changes shall be strictly controlled.

BSI-25 Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung

Systemkomponenten, welche für die Erbringung der kritischen Dienstleistung verwendet werden, sind gemäß allgemein etablierter und akzeptierter Industriestandards gehärtet. Die herangezogenen Härtungsanleitungen werden ebenso wie der Umsetzungsstatus dokumentiert.

Mechanismen zum Schutz der Integrität sind implementiert (Checksum von Firmware, sichere Quellen, HTTPS, Hardening?BSI)

PR.DS-7: The development and testing environment(s) are separate from the production environment

ISO/IEC 27001:2013 A.12.1.4 Seperation of development, testing and operational environments

Development, testing, and operational environments shall be separated to reduce the risks of unauthorized access or changes to the operational environment.

BSI-53 Systemlandschaft

Produktivumgebungen sind von Nicht-Produktivumgebungen physisch oder logisch getrennt, um unbefugten Zugriff oder Änderungen an Produktivdaten zu vermeiden. Produktivdaten werden nur im Rahmen von definierten Vorgaben in Test- oder Entwicklungsumgebungen repliziert, um deren Vertraulichkeit zu wahren.

BSI-54 Funktionstrennung

Verfahren zum Change Management beinhalten rollenbasierte Autorisierungen, um eine angemessene Funktionstrennung bei Entwicklung, Freigabe und Migration von Änderungen zwischen den Umgebungen sicherzustellen.

Test und Entwicklungsumgebungen sind von der Produktivumgebung getrennt.

PR.DS-8: Integrity checking mechanisms are used to verify hardware integrity

ISO/IEC 27001:2013 A.11.2.4 Equipment maintenance

Equipment shall be correctly maintained to ensure its continued availability and integrity.

BSI-75 Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken

Dem Ausfall von Versorgungsleistungen wie Strom, Kühlung oder Netzanbindungen für Anlagen der kritischen Dienstleistung wird durch geeignete Maßnahmen und Redundanzen, in Abstimmung mit den Maßnahmen zur Betriebssicherheit, vorgebeugt. Versorgungsleistungen für Strom und Telekommunikation, welche Daten transportieren oder Informationssysteme versorgen, sind vor Abhören und Beschädigung geschützt. Es findet eine Überwachung der Versorgungsleistungen statt. Bei Verlassen des zulässigen Regelbereichs werden Alarmmeldungen generiert und an die dafür zuständigen Stellen weitergeleitet. Der Betreiber der kritischen Dienstleistung ermittelt und kommuniziert die Autark- Zeiten, die durch die getroffenen Maßnahmen bei Ausfall der Versorgungsleistungen oder beim Eintritt von außergewöhnlichen Ereignissen (z. B. Hitzeperioden, länger anhaltender Stromausfall) erreicht werden sowie die maximal tolerierbaren Zeiten für einen Ausfall der Versorgungsleistungen. Verträge für die Aufrechterhaltung der Notfallversorgung mit entsprechenden Dienstleistern sind abgeschlossen (z. B. für den Treibstoff der Notstromversorgung).

Mechanismen zum Schutz der Integrität der Hardware sind implementiert. (Stromausfall, Kühlung, Lüfter/Filter entstauben, Secure Boot?)

Information Protection Processes and Procedures (PR.IP): Security policies (that address purpose, scope, roles, responsibilities, management commitment, and coordination among organizational entities), processes, and procedures are maintained and used to manage protection of information systems and assets.

Informationssicherheit, Prozesse, Rollen und Verantwortlichkeiten.

PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)

ISO/IEC 27001:2013 A.12.1.2 Change management

Changes to the organization, business processes, information processing facilities and systems that affect information security shall be controlled.

ISO/IEC 27001:2013 A.12.5.1 Installation of software on operational systems

Procedures shall be implemented to control the installation of software on operational systems.

ISO/IEC 27001:2013 A.12.6.2 Restrictions on software installation

Rules governing the installation of software by users shall be established and implemented.

ISO/IEC 27001:2013 A.14.2.2 System changes control procedures

Changes to systems within the development lifecycle shall be controlled by the use of formal change control procedures.

ISO/IEC 27001:2013 A.14.2.3 Technical review of applications after operating platform changes

When operating platforms are changed, business critical applications shall be reviewed and tested to ensure there is no adverse impact on organizational operations or security.

ISO/IEC 27001:2013 A.14.2.4 Restrictions on changes to software packages

Modifications to software packages shall be discouraged, limited to necessary changes and all changes shall be strictly controlled.

BSI-25 Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung

Systemkomponenten, welche für die Erbringung der kritischen Dienstleistung verwendet werden, sind gemäß allgemein etablierter und akzeptierter Industriestandards gehärtet. Die herangezogenen Härtungsanleitungen werden ebenso wie der Umsetzungsstatus dokumentiert.

Basismaßnahmen zur Informtionssicherheit. (Software wird nicht irgendwie installiert, Minimale Konfigurationsanpassungen, Changemanagement, Härtungen) (Diese Maßnahmen werden aus den Best Practices der Frameworks übernommen und müssen nicht nochmal durch eine Risikoanalyse begründet werden)

PR.IP-2: A System Development Life Cycle to manage systems is implemented

ISO/IEC 27001:2013 A.6.1.5 Information security in project management

Information security shall be addressed in project management, regardless of the type of the project.

ISO/IEC 27001:2013 A.14.1.1 Information security requirements analysis and specification

The information security related requirements shall be included in the requirements for new information systems or enhancements to existing information systems.

ISO/IEC 27001:2013 A.14.2.1 Secure development policy

Rules for the development of software and systems shall be estabished and applied to developments within the organization.

ISO/IEC 27001:2013 A.14.2.5 Secure system engineering principles

Principles for engineering secure systems shall be established, documented, maintained and applied to any information system implementation efforts.

BSI-43 Richtlinien zur Entwicklung/Beschaffung von Informationssystemen

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen für die ordnungsgemäße Entwicklung und/oder Beschaffung von Informationssystemen für die Entwicklung oder den Betrieb der kritischen Dienstleistung, einschließlich Anwendungen, Middleware, Datenbanken, Betriebssystemen und Netzwerkkomponenten sind gemäß IT-Sicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. In den Richtlinien und Anweisungen sind mindestens die folgenden Aspekte beschrieben: • Sicherheit in der Softwareentwicklungsmethodik in Übereinstimmung mit in der Industrie etablierten Sicherheitsstandards (z. B. OWASP für Webapplikationen) • Sicherheit der Entwicklungsumgebung (z. B. getrennte Entwicklungs-/Test-/Produktivumgebungen) • Programmierrichtlinien für jede verwendete Programmiersprache (z. B. bzgl. Buffer Overflows, Verbergen interner Objektreferenzen gegenüber Benutzern) • Sicherheit in der Versionskontrolle.

Ein IT-System-Beschaffungs- und Software-Entwicklungs-Prozess ist etabliert.

PR.IP-3: Configuration change control processes are in place

ISO/IEC 27001:2013 A.12.1.2 Change management

Changes to the organization, business processes, information processing facilities and systems that affect information security shall be controlled.

ISO/IEC 27001:2013 A.12.5.1 Installation of software on operational systems

Procedures shall be implemented to control the installation of software on operational systems.

ISO/IEC 27001:2013 A.12.6.2 Restrictions on software installation

Rules governing the installation of software by users shall be established and implemented.

ISO/IEC 27001:2013 A.14.2.2 System changes control procedures

Changes to systems within the development lifecycle shall be controlled by the use of formal change control procedures.

ISO/IEC 27001:2013 A.14.2.3 Technical review of applications after operating platform changes

When operating platforms are changed, business critical applications shall be reviewed and tested to ensure there is no adverse impact on organizational operations or security.

ISO/IEC 27001:2013 A.14.2.4 Restrictions on changes to software packages

Modifications to software packages shall be discouraged, limited to necessary changes and all changes shall be strictly controlled.

BSI-45 Richtlinien zur Änderung von Informationssystemen

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen für eine ordnungsgemäße Verwaltung von Änderungen (Change Management) an Informationssystemen für die Entwicklung oder den Betrieb der kritischen Dienstleistung, einschließlich Anwendungen, Middleware, Datenbanken, Betriebssystemen und Netzwerkkomponenten sind gemäß IT-Sicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. Mindestens die folgenden Aspekte sind dabei zu berücksichtigen: . Risikobeurteilung . Kriterien zur Kategorisierung und Priorisierung von Änderungen und damit verbundene Anforderungen an Art und Umfang durchzuführender Tests und einzuholender Genehmigungen . Anforderungen zur Benachrichtigung betroffener Stakeholder gemäß den vertraglichen Vereinbarungen . Anforderungen an die Dokumentation von Tests sowie zur Beantragung und Genehmigung von Änderungen . Anforderungen an die Durchführung von Roll-Backs . Anforderungen an die Dokumentation von Änderungen in der System-, Betriebs- und Benutzerdokumentation . Anforderungen an die Durchführung von Notfalländerungen . Anforderungen an die System- und Funktionstrennung.

BSI-46 Risikobewertung der Änderungen

Der Auftraggeber einer Änderung von Informationssystemen führt zuvor eine Risikobewertung durch. Alle möglicherweise von der Änderung betroffenen Konfigurationsobjekte werden auf potenzielle Auswirkungen hin bewertet. Das Ergebnis der Risikobewertung ist angemessen und nachvollziehbar zu dokumentieren.

BSI-47 Kategorisierung der Änderungen

Alle Änderungen von Informationssystemen werden basierend auf einer Risikobewertung kategorisiert (z. B. als geringfügige, erhebliche oder weitreichende Folgen), um eine angemessene Autorisierung vor Bereitstellung der Änderung in der Produktivumgebung einzuholen.

BSI-48 Priorisierung der Änderungen

Alle Änderungen werden basierend auf einer Risikobewertung priorisiert (z. B. als niedrig, normal, hoch, Notfall), um eine angemessene Autorisierung vor Bereitstellung der Änderung in der Produktivumgebung einzuholen.

BSI-49 Testen der Änderungen

Alle Änderungen an der kritischen Dienstleistung werden Tests (z. B. auf Integration, Regression, Sicherheit und Benutzerakzeptanz) während der Entwicklung und vor der Bereitstellung in der Produktivumgebung unterzogen. Die Tests werden von angemessen qualifiziertem Personal des KRITIS-Betreibers durchgeführt.

BSI-50 Zurückrollen der Änderungen

Es sind Abläufe definiert, um erforderliche Änderungen in Folge von Fehlern oder Sicherheitsbedenken zurückrollen zu können und betroffene Systeme oder Dienste im vorherigen Zustand wiederherzustellen.

BSI-51 Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung

Bevor eine Änderung in der Produktivumgebung veröffentlicht wird (Release), ist diese durch eine hierzu autorisierte Stelle oder ein entsprechendes Gremium dahingehend zu überprüfen, ob die geplanten Tests erfolgreich abgeschlossen und die erforderlichen Genehmigungen erteilt sind. Für eine angemessene Zufallsstichprobe von Änderungen in der Produktivumgebung wird in einem risikoorientierten Ansatz überprüft, ob die internen Anforderungen in Bezug auf ordnungsgemäße Klassifizierung, Test und Genehmigung von Änderungen eingehalten wurden.

BSI-52 Notfalländerungen

Notfalländerungen sind als solche von dem Änderungsmanager zu klassifizieren, der die Änderungsdokumentation vor Übertragung der Änderung in die Produktivumgebung erstellt. Anschließend (z. B. innerhalb von 5 Werktagen) fügt der Änderungsmanager Begründung und Ergebnis der Übertragung der Notfalländerung zu der Änderungsdokumentation hinzu. Aus der Begründung muss hervorgehen, warum der reguläre Änderungsprozess nicht durchlaufen werden konnte und was die Folgen einer Verzögerung durch Einhaltung des regulären Prozesses gewesen wären.

Konfigurationsänderungen sind verwaltet und passieren strukturiert und nachvollziehbar. (Auch Softwareinstallation, Tests, nur notwendige Konfigurationsänderungen, kein nice, Rollbackprozess, Genehmingungsprozess, Möglichkeit von Notfalländerungen)

PR.IP-4: Backups of information are conducted, maintained, and tested

ISO/IEC 27001:2013 A.12.3.1 Information backup

Backup copies of information, software and system images shall be taken and tested regularly in accordance with an agreed backup policy.

ISO/IEC 27001:2013 A.17.1.2 Implementing information security continuity

The organization shall establish, document, implement and maintain processes, procedures and controls to ensure the required level of continuity for information security during an adverse situation.

ISO/IEC 27001:2013 A.17.1.3 Verify, review and evaluate information security continuitiy

The organization shall verify the established and implemented information security continuity controls at regular intervals in order to ensure that they are valid and effective during adverse situations.

ISO/IEC 27001:2013 A.18.1.3 Protection of records

Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release, in accordance with legislatory, regulatory, contractual and business requirements.

BSI-22 Datensicherung und Wiederherstellung

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen zum Vermeiden von Datenverlusten sind gemäß IT-Sicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. Diese sehen zuverlässige Verfahren für die regelmäßige Sicherung (Backup sowie ggf. Snapshots) und Wiederherstellung von Daten (Restore) vor. Umfang, Häufigkeit und Dauer der Aufbewahrung entsprechen den Anforderungen der kritischen Dienstleistung. Der Zugriff auf die gesicherten Daten ist auf autorisiertes Personal beschränkt. Wiederherstellungsprozeduren beinhalten Kontrollmechanismen, die sicherstellen, dass Wiederherstellungen ausschließlich nach Genehmigung durch hierfür autorisierte Personen gemäß den internen Richtlinien erfolgen.

BSI-24 Datensicherung und Wiederherstellung – Regelmäßige Tests

Sicherungsdatenträger und Wiederherstellungsverfahren sind von qualifizierten Mitarbeitern regelmäßig mit dedizierten Testmedien zu prüfen. Die Tests sind so gestaltet, dass die Verlässlichkeit der Sicherungsdatenträger und die Wiederherstellungszeit mit hinreichender Sicherheit überprüft werden kann. Die Tests werden durch qualifizierte Mitarbeiter durchgeführt und die Ergebnisse nachvollziehbar dokumentiert. Auftretende Fehler werden zeitnah behoben.

Daten-Backups werden gemacht, ordentlich verwaltet und auch getestet.

PR.IP-5: Policy and regulations regarding the physical operating environment for organizational assets are met

ISO/IEC 27001:2013 A.11.1.4 Protecting against external and environmental threats

- Physical protection against natural disasters, malicious attack or accidents shall be designed and applied.

ISO/IEC 27001:2013 A.11.2.1 Equipment siting and protection

Equipment shall be sited and protected to reduce the risks from environmental threats and hazards, and opportunities for unauthorized access.

ISO/IEC 27001:2013 A.11.2.2 Supporting utilities

Equipment shall be protected from power failures and other disruptions caused by failures in supporting utilities.

ISO/IEC 27001:2013 A.11.2.3 Cabling security

Power and telecommunications cabeling carrying data or supporting information services shall be protected from interception, interferences or damage.

BSI-72 Perimeterschutz

Es ist ein geeigneter Rahmen für die bauliche und physische Sicherheit, die zum sicheren Betrieb einer kritischen Dienstleistung notwendig ist, zu setzen. Die Begrenzungen von Räumlichkeiten oder Gebäuden, die sensible oder kritische Informationen, Informationssysteme oder sonstige Netzwerkinfrastruktur beherbergen, sind physisch solide und durch angemessene Sicherheitsmaßnahmen geschützt, die dem Stand der Technik entsprechen. Das Sicherheitskonzept beinhaltet die Einrichtung von verschiedenen Sicherheitszonen, die durch Sicherheitslinien als überwachte und gesicherte Übergänge zwischen den Zonen getrennt sind, wenn dies für den Schutz der kritischen Dienstleistung notwendig ist.

BSI-75 Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken

Dem Ausfall von Versorgungsleistungen wie Strom, Kühlung oder Netzanbindungen für Anlagen der kritischen Dienstleistung wird durch geeignete Maßnahmen und Redundanzen, in Abstimmung mit den Maßnahmen zur Betriebssicherheit, vorgebeugt. Versorgungsleistungen für Strom und Telekommunikation, welche Daten transportieren oder Informationssysteme versorgen, sind vor Abhören und Beschädigung geschützt. Es findet eine Überwachung der Versorgungsleistungen statt. Bei Verlassen des zulässigen Regelbereichs werden Alarmmeldungen generiert und an die dafür zuständigen Stellen weitergeleitet. Der Betreiber der kritischen Dienstleistung ermittelt und kommuniziert die Autark- Zeiten, die durch die getroffenen Maßnahmen bei Ausfall der Versorgungsleistungen oder beim Eintritt von außergewöhnlichen Ereignissen (z. B. Hitzeperioden, länger anhaltender Stromausfall) erreicht werden sowie die maximal tolerierbaren Zeiten für einen Ausfall der Versorgungsleistungen. Verträge für die Aufrechterhaltung der Notfallversorgung mit entsprechenden Dienstleistern sind abgeschlossen (z. B. für den Treibstoff der Notstromversorgung).

Die Anforderungen und Vorgaben zu physichen Umgebungsparametern werden eingehalten (Strom, Klima, Netz, Knoten-und-Kanten-Disjunkt)

PR.IP-6: Data is destroyed according to policy

ISO/IEC 27001:2013 A.8.2.3 Handling of assets

Procedures for handling assets shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

ISO/IEC 27001:2013 A.8.3.1 Management of removable media

Procedures shall be implemented for the management of removable media in accordance with the classification scheme adopted by the organization.

ISO/IEC 27001:2013 A.8.3.2 Disposal of media

Media shall be disposed of securely when no longer required, using formal procedures.

ISO/IEC 27001:2013 A.11.2.7 Secure disposal or re-use of equipment

All items of equipment containing storage media shall be verified to ensure that any sensitive data and licensed software has been removed or securely overwritten prior to disposal or re-use.

BSI-8 Ab- und Rückgabe von Assets

Alle internen und externen Mitarbeiter des Betreibers der kritischen Dienstleistung sind verpflichtet, sämtliche Assets, die Ihnen in Bezug auf die kritische Dienstleistung ausgehändigt wurden bzw. für die sie verantwortlich sind, zurückzugeben oder unwiderruflich zu löschen sobald das Beschäftigungsverhältnis beendet ist.

Aussonderung erfolgt gemäß Vorgaben. (Geräte werden entsorgt, Konfig wird gelöscht, Festplatten geschräddert, es gibt einen Prozess)

PR.IP-7: Protection processes are improved

ISO/IEC 27001:2013 A.16.1.6 Learning from information security incidents

Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.

ISO/IEC 27001:2013 Clause 9 Performance evaluation

9.1 Monitoring, measurement, analysis and evaluation
The organization shall evaluate the information security performance and the effectiveness of the information security management system.
The organization shall determine:
  1. what needs to be monitored and measured, including information security processes and controls;
  2. the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results; NOTE The methods selected should produce comparable and reproducible results to be considered valid.
  3. when the monitoring and measuring shall be performed;
  4. who shall monitor and measure;
  5. when the results from monitoring and measurement shall be analysed and evaluated; and
  6. who shall analyse and evaluate these results.
The organization shall retain appropriate documented information as evidence of the monitoring and measurement results.
9.2 Internal audit
The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
  1. conforms to
    1. the organization’s own requirements for its information security management system; and 2) the requirements of this International Standard;
    2. is effectively implemented and maintained.
      The organization shall:
  2. plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit programme(s) shall take into consideration the importance of the processes concerned and the results of previous audits;
  3. define the audit criteria and scope for each audit;
  4. select auditors and conduct audits that ensure objectivity and the impartiality of the audit process; f) ensure that the results of the audits are reported to relevant management; and
  5. retain documented information as evidence of the audit programme(s) and the audit results.
9.3 Management review
Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
The management review shall include consideration of:
  1. the status of actions from previous management reviews;
  2. changes in external and internal issues that are relevant to the information security management system;
  3. feedback on the information security performance, including trends in:
    1. nonconformities and corrective actions;
    2. monitoring and measurement results;
    3. audit results; and
    4. fulfilment of information security objectives;
  4. feedback from interested parties;
  5. results of risk assessment and status of risk treatment plan; and
  6. opportunities for continual improvement.
The outputs of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.
The organization shall retain documented information as evidence of the results of management reviews.

ISO/IEC 27001:2013 Clause 10 Improvement

10.1 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
  1. react to the nonconformity, and as applicable:
    1. take action to control and correct it; and
    2. deal with the consequences;
  2. evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
    1. reviewing the nonconformity;
    2. determining the causes of the nonconformity; and
    3. determining if similar nonconformities exist, or could potentially occur;
  3. implement any action needed;
  4. review the effectiveness of any corrective action taken; and
  5. make changes to the information security management system, if necessary.
    Corrective actions shall be appropriate to the effects of the nonconformities encountered.
    The organization shall retain documented information as evidence of:
  6. the nature of the nonconformities and any subsequent actions taken, and
  7. the results of any corrective action.
10.2 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.

BSI-86 Interne Überprüfungen der Compliance von IT-Prozessen mit internen Informationssicherheitsrichtlinien und Standards

Qualifiziertes Personal (z. B. Interne Revision) oder durch den Betreiber der kritischen Dienstleistung beauftragte sachverständige Dritte überprüfen jährlich die Compliance der internen IT-Prozesse mit den entsprechenden internen Richtlinien und Standards sowie der für den Betrieb der kritischen Dienstleistung rechtlichen, regulativen und gesetzlich vorgeschriebenen Anforderungen. Die identifizierten Abweichungen werden priorisiert und in Abhängigkeit ihrer Kritikalität werden Maßnahmen zur Behebung zeitnah definiert, nachverfolgt und umgesetzt. Die Prüfung wird regelmäßig durchgeführt. Die Prüfung umfasst auch die Einhaltung der Anforderungen dieses Anforderungskatalogs.

BSI-88 Prüfungen in anderen, anderweitig vorgegebenen Prüfzyklen – Planung externer Audits

Unabhängige Überprüfungen und Beurteilungen von Systemen oder Komponenten, die zur Erbringung der kritischen Dienstleistung beitragen, sind vom KRITIS-Betreiber so geplant, dass die folgenden Anforderungen erfüllt werden: . Es erfolgt ausschließlich lesender Zugriff auf die kritische Dienstleistung und Daten. . Aktivitäten, die möglicherweise die Verfügbarkeit der IT oder Komponenten beeinträchtigen und so zu Beeinträchtigungen der Verfügbarkeit der kritischen Dienstleistung führen könnten, werden außerhalb der regulären Geschäftszeiten bzw. nicht zu Zeiten von Lastspitzen durchgeführt. . Die durchgeführten Aktivitäten werden protokolliert und überwacht. Der KRITIS-Betreiber hat Vorkehrungen für außerplanmäßige Audits getroffen.

BSI-89 Prüfungen in anderen, anderweitig vorgegebenen Prüfzyklen – Durchführung externer Audits

Prüfungen und Beurteilungen von Prozessen, IT-Systemen und IT-Komponenten, soweit diese ganz oder teilweise im Verantwortungsbereich des KRITIS-Betreibers liegen und für den Betrieb der kritischen Dienstleistung relevant sind, werden mindestens jährlich durch unabhängige Dritte (z. B. Wirtschaftsprüfer) durchgeführt, um Nichtkonformitäten mit rechtlichen, regulativen und gesetzlich vorgeschriebenen Anforderungen zu identifizieren. Die identifizierten Abweichungen werden priorisiert und in Abhängigkeit ihrer Kritikalität werden Maßnahmen zur Behebung zeitnah definiert, nachverfolgt und umgesetzt. Falls notwendig, können außerplanmäßige Überprüfungen durch unabhängige Dritte durchgeführt werden.

BSI-1 Managementsystem für Informationssicherheit

Die Unternehmensleitung initiiert, steuert und überwacht ein Managementsystem zur Informationssicherheit (ISMS), das sich an etablierten Standards orientiert. Bei Anwendung der ISO 2700x-Reihe muss die Erklärung zur Anwendbarkeit (Statement of Applicability) die IT-Prozesse zu Entwicklung und Betrieb der kritischen Dienstleistung umfassen. Die hierzu eingesetzten Grundsätze, Verfahren und Maßnahmen ermöglichen eine nachvollziehbare Lenkung der folgenden Aufgaben und Aktivitäten zur dauerhaften Aufrechterhaltung der organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu Entwicklung und Betrieb der kritischen Dienstleistung und umfasst: . die Planung und Durchführung des Vorhabens, . Erfolgskontrolle bzw. Überwachung der Zielerreichung und . Beseitigung von erkannten Mängeln und Schwächen sowie kontinuierliche Verbesserung.

BSI-87 Prüfungen in anderen, anderweitig vorgegebenen Prüfzyklen – interne IT- Prüfungen

Qualifiziertes Personal (z. B. Interne Revision) des KRITIS-Betreibers oder durch den KRITIS-Betreiber beauftragte sachverständige Dritte überprüfen mindestens jährlich die Compliance der IT-Systeme, soweit diese ganz oder teilweise im Verantwortungsbereich des KRITIS-Betreibers liegen und für die Entwicklung oder den Betrieb der kritischen Dienstleistung relevant sind, mit den entsprechenden internen Richtlinien und Standards sowie der für die kritischen Dienstleistungen relevanten rechtlichen, regulativen und gesetzlich vorgeschriebenen Anforderungen. Die identifizierten Abweichungen werden priorisiert und in Abhängigkeit ihrer Kritikalität werden Maßnahmen zur Behebung zeitnah definiert, nachverfolgt und umgesetzt.Der KRITIS-Betreiber verpflichtet seine Unterauftragnehmer zu solchen Prüfungen und lässt sich die Prüfberichte im gleichen Turnus vorlegen und verwertet sie bei seinen Überprüfungen.

BSI-82 Auswertung und Lernprozess

Mechanismen sind vorhanden, um Art und Umfang der Sicherheitsvorfälle messen und überwachen sowie an unterstützende Stellen melden zu können. Die aus der Auswertung gewonnenen Informationen werden dazu verwendet, wiederkehrende oder mit erheblichen Folgen verbundene Vorfälle zu identifizieren und Notwendigkeiten für erweiterte Schutzmaßnahmen festzustellen.

Security-Prozesse werden reviewed und ggf angepasst.

PR.IP-8: Effectiveness of protection technologies is shared

ISO/IEC 27001:2013 A.16.1.6 Learning from information security incidents

Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.

BSI-77 Verantwortlichkeiten und Vorgehensmodell

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß der Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um eine schnelle, effektive und ordnungsgemäße Reaktion auf alle bekannten Sicherheitsvorfälle, i. S. von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen geführt haben, zu gewährleisten. Seitens des KRITIS-Betreibers sind dabei mindestens die in der Informationssicherheitsrichtlinie aufgeführten Rollen zu besetzen, Vorgaben zur Klassifizierung, Priorisierung und Eskalation von Sicherheitsvorfällen zu definieren und Schnittstellen zum Incident Management sowie dem Business Continuity Management zu schaffen. Zusätzlich hat der KRITIS-Betreiber ein Team zur Behandlung von Informationssicherheitsvorfällen eingerichtet, das zur koordinierten Lösung von konkreten Sicherheitsvorfällen beiträgt.

Die Erfahrungen und Erkenntnisse zu Security Vorfällen werden entsprechend der Vertrauensstellung mit anderen Organisationen geteilt.

PR.IP-9: Response plans (Incident Response and Business Continuity) and recovery plans (Incident Recovery and Disaster Recovery) are in place and managed

ISO/IEC 27001:2013 A.16.1.1 Responsibilities and procedures

Management responsibilities and procedures shall be established to ensure a quick, effective and orderly response to information security incidents.

ISO/IEC 27001:2013 A.17.1.1 Planning information security continuity

The organization shall determine its requirements for information security and the continuity of information security management in adverse situations, e.g. during a crisis or disaster.

ISO/IEC 27001:2013 A.17.1.2 Implementing information security continuity

The organization shall establish, document, implement and maintain processes, procedures and controls to ensure the required level of continuity for information security during an adverse situation.

ISO/IEC 27001:2013 A.17.1.3 Verify, review and evaluate information security continuitiy

The organization shall verify the established and implemented information security continuity controls at regular intervals in order to ensure that they are valid and effective during adverse situations.

BSI-15 Richtlinien zur Folgeabschätzung

Richtlinien und Anweisungen zum Ermitteln von Auswirkungen etwaiger Störungen der kritischen Dienstleistung sind dokumentiert, kommuniziert und bereitgestellt. Mindestens die folgenden Aspekte werden dabei berücksichtigt: • Analysen in Bezug auf Komponenten, deren Ausfall den Ausfall der gesamten Anlage auslösen kann („Single Point of Failure“) • Berücksichtigung einer Änderung der allgemeinen und branchenspezifischen Gefährdungslage • Mögliche Szenarien basierend auf einer Risikoanalyse (z. B. Ausfall von Personal, Gebäude, Infrastruktur und Dienstleister) • Identifizierung von Richtlinien und Anweisungen zu notwendigen Produkten und Dienstleistungen • Identifizierung von Abhängigkeiten, einschließlich der Prozesse (inkl. dafür benötigter Ressourcen), Anwendungen, Geschäftspartner und Dritter • Erfassung von Bedrohungen gegenüber der kritischen Dienstleistung • Ermittlung von Auswirkungen resultierend aus geplanten und ungeplanten Störungen und den Veränderungen im Laufe der Zeit auf die kritische Dienstleistung • Feststellung der maximal vertretbaren Dauer von Störungen bevor die Mindestqualität der kritischen Dienstleistung erreicht ist • Feststellung der Prioritäten zur Wiederherstellung • Feststellung zeitlicher Zielvorgaben zur Wiederaufnahme der kritischen Dienstleistung innerhalb des maximal vertretbaren Zeitraums (RTO) • Feststellung zeitlicher Vorgaben zum maximal vertretbaren Zeitraum, in dem Daten verloren und nicht wiederhergestellt werden können (RPO) • Abschätzung der zur Wiederaufnahme benötigten Ressourcen.

BSI-18 Planung der Betriebskontinuität

Basierend auf der Folgeabschätzung wird ein verbindliches Rahmenwerk zur Planung der Kontinuität der für die kritische Dienstleistung notwendigen IT-Systeme (einschließ- lich von Notfallplänen) eingeführt, dokumentiert und angewendet, das eine konsistente Vorgehensweise (z. B. an verschiedenen Standorten der Anlagen) sicherstellt. Diese Planung berücksichtigt etablierte Standards, die in einem „Statement of Applicability“ nachvollziehbar festgelegt sind. Pläne zur Kontinuität der kritischen Dienstleistung berücksichtigen dabei folgende Aspekte: • Definierter Zweck und Umfang unter Beachtung der relevanten Abhängigkeiten • Zugänglichkeit und Verständlichkeit der Pläne für Personen, die danach handeln sollen • Eigentümerschaft durch mindestens eine benannte Person, die für die Überprüfung, Aktualisierung und Genehmigung zuständig ist • Festgelegte Kommunikationswege, Rollen und Verantwortlichkeiten • Wiederherstellungsverfahren, manuelle Übergangslösungen und Referenzinformationen (unter Berücksichtigung der Priorisierung bei der Wiederherstellung der kritischen Dienstleistung • Methoden zur Inkraftsetzung der Pläne • Kontinuierlicher Verbesserungsprozess der Pläne • Schnittstellen zum Security Incident Management.

BSI-19 Verifizierung, Aktualisierung und Test der Betriebskontinuität

Die Folgeabschätzung sowie die Pläne zur Kontinuität der kritischen Dienstleistung und Notfallpläne werden regelmäßig (mindestens jährlich) oder nach wesentlichen organisatorischen oder umgebungsbedingten Veränderungen überprüft, aktualisiert und getestet. Tests beziehen betroffene relevante Dritte (z. B. kritische Lieferanten) mit ein z. B. in Form von: • Internen Übungen und Systemtests • Übungen mit externen Partnern, insb. aus dem Kontext der kritischen Dienstleistung • Übungen im Rahmen des Notfallmanagements • Kommunikationsübungen • Planübungen, Krisenübungen, Training seltener Ereignisse. Die Tests werden dokumentiert und Ergebnisse werden für zukünftige Maßnahmen der Kontinuität der kritischen Dienstleistung berücksichtigt.

Notfallpläne (Reaktionsplan, Wiederherstellungsplan) sind erstellt und werden umgesetzt.

PR.IP-10: Response and recovery plans are tested

ISO/IEC 27001:2013 A.17.1.3 Verify, review and evaluate information security continuitiy

The organization shall verify the established and implemented information security continuity controls at regular intervals in order to ensure that they are valid and effective during adverse situations.

Notfallpläne werden getestet. (min jährlich)

PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)

ISO/IEC 27001:2013 A.7.1.1 Screening

Background verification checks on all candidates for employment shall be carried out in accordance with relevant laws, regulations and ethics and shall be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.

ISO/IEC 27001:2013 A.7.1.2 Terms and conditions of employment

The contractual agreements with employees and contractors shall state their and the organization’s responsibilities for information security.

ISO/IEC 27001:2013 A.7.2.1 Management responsibilities

Management shall require all employees and contractors to apply information security in accordance with the established policies and procedures of the organization.

ISO/IEC 27001:2013 A.7.2.2 Information security awareness, education and training

All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.

ISO/IEC 27001:2013 A.7.2.3 Disciplinary process

There shall be a formal and communicated disciplinary process in place to take action against employees who have committed an information security breach.

ISO/IEC 27001:2013 A.7.3.1 Termination or change of employment responsibilities

Information security responsibilities and duties that remain valid after termination or change of employment shall be defined, communicated to the employee or contractor and enforced.

ISO/IEC 27001:2013 A.8.1.4 Return of assets

All employees and external party users shall return all of the organizational assets in their possession upon termination of their employment, contract or agreement.

BSI-95 Penetrationstest

Der KRITIS-Betreiber lässt mindestens jährlich Penetrationstests durch qualifiziertes internes Personal oder externe Dienstleister durchführen. Die Penetrationstests erfolgen nach einer dokumentierten Testmethodik und umfassen die für den sicheren Betrieb der kritischen Dienstleistung als kritisch definierte Infrastruktur-Komponenten, die im Rahmen einer Risiko-Analyse als solche identifiziert wurden. Art, Umfang Zeitpunkt/Zeitraum und Ergebnisse werden für einen sachverständigen Dritten nachvollziehbar dokumentiert. Feststellungen aus den Penetrationstests werden bewertet und mindestens bei mittlerer bis sehr hoher Kritikalität in Bezug auf die Vertraulichkeit, Integrität oder Verfügbarkeit der kritischen Dienstleistung nachverfolgt und behoben. Die Einschätzung der Kritikalität und der mitigierenden Maßnahmen zu den einzelnen Feststellungen werden dokumentiert.

BSI-83 Anlassbezogene Prüfungen – Konzept

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um das zeitnahe Identifizieren und Adressieren von Schwachstellen aller KRITIS- relevanten IT-Systeme, die unter Verantwortung des KRITIS-Betreibers stehen, zu gewährleisten. Die Maßnahmen umfassen unter anderem: • Regelmäßiges Identifizieren und Analysieren von Schwachstellen (Vulnerabilities) • Regelmäßiges Nachhalten von Maßnahmen zum Adressieren identifizierter Maßnahmen (z. B. Einspielen von Sicherheitsaktualisierungen gemäß interner Zielvorgaben).

Cybersecurity wird auch bei der Personalabteilung und Personalplanung berücksichtigt (Ressourcen, KnowHow, Hintergrundchecks, Abgang)

PR.IP-12: A vulnerability management plan is developed and implemented

ISO/IEC 27001:2013 A.12.6.1 Management of systems audit controls

Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.

ISO/IEC 27001:2013 A.14.2.3 Technical review of applications after operating platform changes

When operating platforms are changed, business critical applications shall be reviewed and tested to ensure there is no adverse impact on organizational operations or security.

ISO/IEC 27001:2013 A.16.1.3 Reporting information security weaknesses

Employees and contractors using the organization’s information systems and services shall be required to note and report any observed or suspected information security weaknesses in systems or services.

ISO/IEC 27001:2013 A.18.2.2 Compliance with security policies and standards

Managers shall regularly review the compliance of information processing and procedures within their area of responsibility with the appropriate security policies, standards and any other security requirements.

ISO/IEC 27001:2013 A.18.2.3 Technical compliance review

Information systems shall be regularly reviewed for compliance with the organization’s information security policies and standards.

BSI-57 Einstellung und Beschäftigungsvereinbarungen

Beschäftigungsvereinbarungen beinhalten die Verpflichtungen der internen und exter- nen Mitarbeiter des KRITIS-Betreibers auf Einhaltung einschlägiger Gesetze, Vorschrif- ten und Regelungen in Bezug zur Informationssicherheit. Die Sicherheitsleitlinie sowie die davon abgeleiteten Richtlinien und Anweisungen zur Informationssicherheit sind den Unterlagen zur Beschäftigungsvereinbarung beigefügt. Deren Einhaltung wird durch den Mitarbeiter schriftlich bestätigt, bevor Zugriff auf die kritische Dienstleistung oder die IT-Infrastruktur möglich ist.

BSI-69 Disziplinarverfahren

Ein Prozess für die Durchführung von Disziplinarmaßnahmen ist implementiert und an die Mitarbeiter kommuniziert, um die Konsequenzen von Verstößen gegen die gültigen Richtlinien und Anweisungen, sowie rechtliche Vorgaben und Gesetze transparent zu machen.

BSI-70 Beendigung des Beschäftigungsverhältnisses

Interne sowie externe Mitarbeiter sind darüber informiert, dass die Verpflichtungen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen in Bezug zur Informa- tionssicherheit auch bei einem Wechsel des Aufgabengebietes oder der Auflösung des Beschäftigungsverhältnisses bestehen bleiben.

Schwachstellenmanagement ist implementiert. (NDA, Disziplinarverfahren, Vertraulichkeitsvereinbarung, CVS verfolgen???)

Maintenance (PR.MA): Maintenance and repairs of industrial control and information system components are performed consistent with policies and procedures.

Wartung und Reparatur sind organisiert (Nachhaltigkeit)

PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools

ISO/IEC 27001:2013 A.11.1.2 Physical entry controls

Secure areas shall be protected by appropriate entry controls to ensure that only authorized personnel are allowed access.

ISO/IEC 27001:2013 A.11.2.4 Equipment maintenance

Equipment shall be correctly maintained to ensure its continued availability and integrity.

ISO/IEC 27001:2013 A.11.2.5 Removal of assets

Equipment, information or software shall not be taken off-site without prior authorization.

ISO/IEC 27001:2013 A.11.2.6 Security of equipment and assets off-premises

Security shall be applied to off-site assets taking into account the different risks of working outside the organization’s premises.

BSI-76 Wartung der Infrastruktur

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen für die Erbringung der kritischen Dienstleistung sind dokumentiert, kommuniziert und be- reitgestellt, welche die Wartung (insb. Fernwartung), Löschung, Aktualisierung und Wie- derverwendung von Assets in der Informationsverarbeitung in ausgelagerten Räumlich- keiten oder durch externes Personal beschreiben.

Wartung und Reparatur werden umgesetzt und mit tools dokumentiert. (Eingangsschleuse für Anlieferungen??)

PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access

ISO/IEC 27001:2013 A.11.2.4 Equipment maintenance

Equipment shall be correctly maintained to ensure its continued availability and integrity.

ISO/IEC 27001:2013 A.15.1.1 Information security policy for supplier relationships

Information security requirements for mitigating the risks associated with supplier’s access to the organization’s assets shall be agreed with the supplier and documented.

ISO/IEC 27001:2013 A.15.2.1 Monitoring and review of supplier services

Organizations shall regularly monitor, review and audit supplier service delivery.

BSI-98 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister des KRITIS-Betreibers

Richtlinien und Anweisungen zur Sicherstellung des Schutzes von Informationen (insb. deren Verfügbarkeit) auf sonstige Dritte (z. B. Dienstleister bzw. Lieferanten des KRITIS- Betreibers), die wesentliche Teile für den Betrieb der kritischen Dienstleistung beitragen, sind gemäß IT-Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. Die Vorgaben dienen der Reduzierung von Risiken, die durch die Auslagerung von IT-Systemen entstehen können. Dabei werden mindestens die folgenden Aspekte berücksichtigt: • Definition und Beschreibung von Mindest-Sicherheitsanforderungen in Bezug auf die verarbeiteten Informationen, die sich an etablierten Informationssicherheitsstandards orientieren • Anforderungen an das Incident- und Vulnerability-Management (insb. Benachrichtigungen und Kollaborationen während einer Störungsbehebung) • Weitergabe und vertragliche Verpflichtung auf die Mindest-Sicherheitsanforderungen auch an Unterauftragnehmer, wenn diese nicht nur unwesentliche Teile zu Entwicklung oder Betrieb der kritischen Dienstleistung (z. B. RZ-Dienstleister) beitragen • die Definition der Anforderungen ist in das Risikomanagement des KRITIS- Betreibers eingebunden. Diese müssen regelmäßig auf ihre Angemessenheit hin überprüft werden. (vgl. Nr. 14)

BSI-99 Kontrolle der Leistungserbringung und der Sicherheitsanforderungen an Dienstleister und Lieferanten des KRITIS-Betreibers

Verfahren zur regelmäßigen Überwachung und Überprüfung der vereinbarten Leistungen und Sicherheitsanforderungen von Dritten (z. B. Dienstleister bzw. Lieferanten des KRITIS-Betreibers), die wesentliche Teile für den Betrieb der kritischen Dienstleistung beitragen, sind implementiert. Die Maßnahmen umfassen mindestens: • Regelmäßige Kontrolle von Dienstleistungsberichten (z. B. SLA-Reportings), soweit diese von Dritten erbracht werden • Überprüfung von sicherheitsrelevanten Vorfällen, Betriebsstörungen oder Ausfällen und Unterbrechungen, die mit der Dienstleistung zusammenhängen • außerplanmäßige Überprüfungen nach wesentlichen Änderungen der Anforderungen oder des Umfelds. Die Notwendigkeit für außerplanmäßige Überprüfungen ist durch den KRITIS-Betreiber zu beurteilen und nachvollziehbar zu dokumentieren. Festgestellte Abweichungen werden gemäß der Anforderung OIS-07 (vgl. Nr. 14) einer Risikoanalyse unterzogen, um diese zeitgerecht durch mitigierende Maßnahmen wirksam zu adressieren.

Remotemanagement wird zugelassen, geloggt, so dass kein unauthorisierter Zugriff möglich ist. (Support, Teamviewer, Modem)

Schutztechnologien

PR.PT-1: Audit/log records are determined, documented, implemented, and reviewed in accordance with policy

ISO/IEC 27001:2013 A.12.4.1 Event logging

Event logs recording user activities, exceptions, faults and information security events shall be produced, kept and regularly reviewed.

ISO/IEC 27001:2013 A.12.4.2 Protection of log information

Logging facilities and log information shall be protected against tampering and unauthorized access.

ISO/IEC 27001:2013 A.12.4.3 Administrator and operator logs

System administrator and system operator activities shall be logged and the logs protected and regularly reviewed.

ISO/IEC 27001:2013 A.12.4.4 Clock synchronization

The clocks of all relevant information processing systems within an organization or security domain shall be synchronised to a single reference time source.

ISO/IEC 27001:2013 A.12.7.1 Information systems audit controls

Audit requirements and activities involving verification of operational systems shall be carefully planned and agreed to minimize disruptions to business processes.

BSI-90 Systematische Log-Auswertung – Konzept

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß SA-01 dokumentiert, kommuniziert und bereitgestellt, um Ereignisse auf allen Assets, die zur Entwicklung oder zum Betrieb der kritischen Dienstleistung verwendet werden, zu protokollieren und an zentraler Stelle aufzubewahren. Die Protokollierung umfasst definierte Ereignisse, welche die Sicherheit und Verfügbarkeit der kritischen Dienstleistung beeinträchtigen können, einschließlich einer Protokollierung des Aktivierens, Stoppens und Pausierens der verschiedenen Protokollierungen. Die Protokolle werden bei unerwarteten oder auffälligen Ereignissen durch autorisiertes Personal anlassbezogen überprüft, um eine zeitnahe Untersuchung von Störungen und Sicherheitsvorfällen sowie das Einleiten geeigneter Maßnahmen zu ermöglichen. Ergänzende Informationen zur Basisanforderung Sicherheitsrelevante Ereignisse sind u. a. . Anund Abmeldevorgänge . Erstellung, Änderung oder Löschung von Benutzern und Erweiterung der Berechtigungen . Verwendung, Erweiterung und Änderungen von privilegierten Zugriffsberechtigungen . Nutzung von temporären Berechtigungen. Da es sich bei den protokollierten Daten i. d. R. um personenbezogene Daten handelt, sind in dem Fall datenschutzrechtliche Anforderungen an die Aufbewahrung zu beachten und zu überprüfen. Erfahrungsgemäß sollte eine Frist von einem Jahr nicht überschritten werden.

BSI-91 Systematische Log-Auswertung – kritische Assets

Der KRITIS-Betreiber führt eine Liste aller protokollierungs- und überwachungskritischen Assets und überprüft diese Liste regelmäßig auf deren Aktualität und Korrektheit. Für diese kritischen Assets wurden Protokollierungs- und Überwachungsmaßnahmen definiert.

BSI-94 Systematische Log-Auswertung – Verfügbarkeit

Die Verfügbarkeit der Protokollierungs- und Überwachungssoftware wird unabhängig überwacht. Bei einem Ausfall der Protokollierungs- und Überwachungssoftware werden die verantwortlichen Mitarbeiter umgehend informiert. Die Protokollierungs- und Überwachungssoftware ist redundant vorhanden, um auch bei Ausfällen die Sicherheit und Verfügbarkeit der Systeme der kritischen Dienstleistung zu überwachen.

Meldungen und Logs werden erfasst, ausgewertet und gemäß Vorgaben verarbeitet.

PR.PT-2: Removable media is protected and its use restricted according to policy

ISO/IEC 27001:2013 A.8.2.1 Classification of information

Information shall be classified in terms of legal requirements, value, criticality and sensitivity to unauthorised disclosue or modification.

ISO/IEC 27001:2013 A.8.2.2 Labeling of information

An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

ISO/IEC 27001:2013 A.8.2.3 Handling of assets

Procedures for handling assets shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

ISO/IEC 27001:2013 A.8.3.1 Management of removable media

Procedures shall be implemented for the management of removable media in accordance with the classification scheme adopted by the organization.

ISO/IEC 27001:2013 A.8.3.3 Physical media transfer

Media containing information shall be protected against unauthor- ized access, misuse or corruption during transportation.

ISO/IEC 27001:2013 A.11.2.9 Clear desk and clear screen policy

A clear desk policy for papers and removable storage media and a clear screen policy for information processing facilities shall be adopted.

BSI-11 Verwaltung von Datenträgern

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen für den sicheren Umgang mit Assets sind gemäß der IT-Sicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. Die Vorgaben stellen einen Bezug zur Klassifikation von Informationen her. Sie umfassen die sichere Verwendung, den sicheren Transport sowie die unwiederbringliche Löschung und Vernichtung von Datenträgern.

Medien zum Datenaustausch (USB-Stick) sind geschützt und nach Vorgaben reglementiert. (Keine privaten oder gefundene Sticks)

PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities

ISO/IEC 27001:2013 A.9.1.2 Access of networks and network services

Users shall only be provided with access to the network and network services that they have been specifically authorized to use.

Funktionen werden nach dem Prinzip "so-viel-wie-nötig, wo enig wie möglich" umgesetzt

PR.PT-4: Communications and control networks are protected

ISO/IEC 27001:2013 A.13.1.1 Network controls

Networks shall be managed and controlled to protect information in systems and applications.

ISO/IEC 27001:2013 A.13.2.1 Information transfer policies and procedures

Formal transfer policies, procedures and controls shall be in place to protect the transfer of information through the use of all types of communication facilities.

ISO/IEC 27001:2013 A.14.1.3 Protecting application services transactions

Information involved in application service transactions shall be protected to prevent incomplete transmission, misrouting, unauhorized message alteration, unauthorized disclosure, unauthorized message duplication or replay.

BSI-36 Technische Schutzmaßnahmen

Basierend auf den Ergebnissen einer durchgeführten Risiko-Analyse, hat der KRITIS- Betreiber technische Schutzmaßnahmen implementiert, die geeignet sind, um netzwerkbasierte Angriffe auf Basis anomaler Eingangs- oder Ausgangs-Traffic-Muster (z. B. durch MAC-Spoofing und ARP-Poisoning-Angriffe) und/oder Distributed-Denial-of- Service (DDoS)-Angriffe zeitnah zu erkennen und darauf zu reagieren. Zusätzlich werden, wo notwendig bzw. sinnvoll, Intrusion Detection- und Intrusion Prevention- Systeme (IDS und IPS) eingesetzt.

BSI-37 Überwachen von Verbindungen

Physische und virtualisierte Netzwerkumgebungen sind so konzipiert und konfiguriert, dass die Verbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzen zu beschränken und überwachen sind. In festgelegten Abständen wird die geschäftliche Rechtfertigung für die Verwendung aller Dienste, Protokolle und Ports überprüft. Darüber hinaus umfasst die Überprüfung auch die Begründungen für kompensierende Kontrollen für die Verwendung von Protokollen, die als unsicher angesehen werden.

Kommunikation und Managementnetze sind geschützt.

PR.PT-5: Mechanisms (e.g., failsafe, load balancing, hot swap) are implemented to achieve resilience requirements in normal and adverse situations

ISO/IEC 27001:2013 A.17.1.2 Implementing information security continuity

The organization shall establish, document, implement and maintain processes, procedures and controls to ensure the required level of continuity for information security during an adverse situation.

ISO/IEC 27001:2013 A.17.2.1 Availability of information processing facilities

Information processing facilities shall be implemented with redundancy sufficient to meet availability requirements.

BSI-71 Rechenzentrumsversorgung

Die Versorgung der für den Betrieb der kritischen Dienstleistung notwendigen IT-Systeme (z. B. Elektrizität, Temperatur- und Feuchtigkeitskontrolle, Telekommunikation und Internetverbindung) ist abgesichert, überwacht und wird regelmäßig gewartet und getestet, um eine durchgängige Wirksamkeit zu gewährleisten. Sie ist mit automatischen Ausfallsicherungen und anderen Redundanzen konzipiert. Die Wartung wird in Übereinstimmung mit den von den Lieferanten empfohlenen Wartungsintervallen und Vorgaben sowie ausschließlich von autorisiertem Personal durchgeführt. Wartungsprotokolle einschließlich vermuteter oder festgestellter Mängel werden für den Zeitraum der zuvor vertraglich vereinbarten Frist aufbewahrt.

BSI-83 Anlassbezogene Prüfungen – Konzept

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um das zeitnahe Identifizieren und Adressieren von Schwachstellen aller KRITIS- relevanten IT-Systeme, die unter Verantwortung des KRITIS-Betreibers stehen, zu gewährleisten. Die Maßnahmen umfassen unter anderem: • Regelmäßiges Identifizieren und Analysieren von Schwachstellen (Vulnerabilities) • Regelmäßiges Nachhalten von Maßnahmen zum Adressieren identifizierter Maßnahmen (z. B. Einspielen von Sicherheitsaktualisierungen gemäß interner Zielvorgaben).

Mechanismen zur Zuverlässigkeit, Failsafe und Redundanz werden genutzt.

DETECT (DE)

Verfügbarkeit ist durch Redundanzmechanismen gesichert - auch unter widrigen Umständen.

Anomalies and Events (DE.AE): Anomalous activity is detected and the potential impact of events is understood.

Anormale Vorgänge werden erkannt und ihre Auswirkungen verstanden.

DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed

ISO/IEC 27001:2013 A.12.1.1 Documented operating procedures

Operating procedures shall be documented and made available to all users who need them.

ISO/IEC 27001:2013 A.12.1.2 Change management

Changes to the organization, business processes, information processing facilities and systems that affect information security shall be controlled.

ISO/IEC 27001:2013 A.13.1.1 Network controls

Networks shall be managed and controlled to protect information in systems and applications.

ISO/IEC 27001:2013 A.13.1.2

BSI-36 Technische Schutzmaßnahmen

Basierend auf den Ergebnissen einer durchgeführten Risiko-Analyse, hat der KRITIS- Betreiber technische Schutzmaßnahmen implementiert, die geeignet sind, um netzwerkbasierte Angriffe auf Basis anomaler Eingangs- oder Ausgangs-Traffic-Muster (z. B. durch MAC-Spoofing und ARP-Poisoning-Angriffe) und/oder Distributed-Denial-of- Service (DDoS)-Angriffe zeitnah zu erkennen und darauf zu reagieren. Zusätzlich werden, wo notwendig bzw. sinnvoll, Intrusion Detection- und Intrusion Prevention- Systeme (IDS und IPS) eingesetzt.

Ein Baselining der normalen Netzwerk- und Informationsaktivitäten wird betrieben und ist etabliert.

DE.AE-2: Detected events are analyzed to understand attack targets and methods

ISO/IEC 27001:2013 A.12.4.1 Event logging

Event logs recording user activities, exceptions, faults and information security events shall be produced, kept and regularly reviewed.

ISO/IEC 27001:2013 A.16.1.1 Responsibilities and procedures

Management responsibilities and procedures shall be established to ensure a quick, effective and orderly response to information security incidents.

ISO/IEC 27001:2013 A.16.1.4 Assessment of and decision on information security events

Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents.

BSI-78 Bearbeitung von Sicherheitsvorfällen

Ereignisse, die einen Sicherheitsvorfall darstellen könnten, werden durch qualifiziertes Personal des KRITIS-Betreibers oder in Verbindung mit externen Sicherheitsdienstleistern klassifiziert, priorisiert und einer Ursachenanalyse unterzogen.

Erkannte Ereignisse werden analysiert, um die angegriffenen Systeme und die Methoden zu verstehen.

DE.AE-3: Event data are collected and correlated from multiple sources and sensors

ISO/IEC 27001:2013 A.12.4.1 Event logging

Event logs recording user activities, exceptions, faults and information security events shall be produced, kept and regularly reviewed.

ISO/IEC 27001:2013 A.16.1.7 Collection of evidence

The organization shall define and apply procedures for the identification, collection, acquisition and preservation of information, which can serve as evidence.

BSI-80 Security Incident Event Management

Protokollierte Vorfälle werden zentral aggregiert und konsolidiert (Event-Korrelation). Regeln zur Erkennung von Beziehungen zwischen Vorfällen und zur Beurteilung gemäß Kritikalität sind implementiert. Die Behandlung dieser Vorfälle erfolgt gemäß dem Security Incident Management Prozess.

Mögliche Ereignisse werden über mehrere Sensoren und Quellen erkannt.

DE.AE-4: Impact of events is determined

ISO/IEC 27001:2013 A.16.1.4 Assessment of and decision on information security events

Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents.

BSI-78 Bearbeitung von Sicherheitsvorfällen

Ereignisse, die einen Sicherheitsvorfall darstellen könnten, werden durch qualifiziertes Personal des KRITIS-Betreibers oder in Verbindung mit externen Sicherheitsdienstleistern klassifiziert, priorisiert und einer Ursachenanalyse unterzogen.

BSI-77 Verantwortlichkeiten und Vorgehensmodell

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß der Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um eine schnelle, effektive und ordnungsgemäße Reaktion auf alle bekannten Sicherheitsvorfälle, i. S. von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen geführt haben, zu gewährleisten. Seitens des KRITIS-Betreibers sind dabei mindestens die in der Informationssicherheitsrichtlinie aufgeführten Rollen zu besetzen, Vorgaben zur Klassifizierung, Priorisierung und Eskalation von Sicherheitsvorfällen zu definieren und Schnittstellen zum Incident Management sowie dem Business Continuity Management zu schaffen. Zusätzlich hat der KRITIS-Betreiber ein Team zur Behandlung von Informationssicherheitsvorfällen eingerichtet, das zur koordinierten Lösung von konkreten Sicherheitsvorfällen beiträgt.

Die Auswirkungen von Ereignissen werden erkannt.

DE.AE-5: Incident alert thresholds are established

ISO/IEC 27001:2013 A.16.1.4 Assessment of and decision on information security events

Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents.

Schwellwerte für Ereignisse sind etabliert (Z.B. 3 mal falsches Passwort ist ok, 7 mal nicht)

Security Continuous Monitoring (DE.CM): The information system and assets are monitored to identify cybersecurity events and verify the effectiveness of protective measures.

Monitoring (die wichtigste Aufgabe)

DE.CM-1: The network is monitored to detect potential cybersecurity events

BSI-38 Netzwerkübergreifende Zugriffe

Jeder Netzwerkperimeter wird von Sicherheitsgateways kontrolliert. Die Zugangsberechtigung für netzübergreifende Zugriffe basiert auf einer Sicherheitsbewertung.

BSI-37 Überwachen von Verbindungen

Physische und virtualisierte Netzwerkumgebungen sind so konzipiert und konfiguriert, dass die Verbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzen zu beschränken und überwachen sind. In festgelegten Abständen wird die geschäftliche Rechtfertigung für die Verwendung aller Dienste, Protokolle und Ports überprüft. Darüber hinaus umfasst die Überprüfung auch die Begründungen für kompensierende Kontrollen für die Verwendung von Protokollen, die als unsicher angesehen werden.

Netzwerke (insb. Übergänge) werden überwacht, um potentielle Sicherheitsvorfälle zu erkennen.

DE.CM-2: The physical environment is monitored to detect potential cybersecurity events

ISO/IEC 27001:2013 A.11.1.1 Physical security perimeter

Security perimeters shall be defined and used to protect areas that contain either sensitive or critical information and information processing facilities.

ISO/IEC 27001:2013 A.11.1.2 Physical entry controls

Secure areas shall be protected by appropriate entry controls to ensure that only authorized personnel are allowed access.

BSI-74 Schutz vor Bedrohungen von außen

Räumlichkeiten oder Gebäude, die sensible oder kritische Informationen, Informationssysteme oder sonstige Netzwerkinfrastruktur für die kritische Dienstleistung beherbergen, sind durch bauliche, technische und organisatorische Maßnahmen vor Feuer, Wasser, Erdbeben, Explosionen, zivile Unruhen und andere Formen natürlicher und von Menschen verursachter Bedrohungen geschützt. An zwei georedundanten Standorten sind mindestens die folgenden Maßnahmen getroffen: Bauliche Maßnahmen: • Einrichtung eines eigenen Brandabschnitts für das Rechenzentrum • Verwendung feuerbeständiger Materialien gemäß DIN 4102-1 oder EN 13501 (Feuerwiderstandsdauer von mindestens 90 Minuten). Technische Maßnahmen: • Sensoren zum überwachen von Temperatur und Luftfeuchtigkeit • Aufschalten des Gebäudes an einer Brandmeldeanlage mit Meldung an die örtliche Feuerwehr • Brandfrüherkennungs- und Löschanlage. Organisatorische Maßnahmen: • Regelmäßige Brandschutzübungen und Brandschutzbegehungen, um die Einhaltung der Brandschutzmaßnahmen zu prüfen. Es findet eine Überwachung der Umgebungsparameter statt. Bei Verlassen des zulässigen Regelbereichs werden Alarmmeldungen generiert und an die dafür zuständigen Stellen weitergeleitet.

Die physische Umgebung wird überwacht um Sicherheitsvorfälle zu erkennen.

DE.CM-3: Personnel activity is monitored to detect potential cybersecurity events

ISO/IEC 27001:2013 A.12.4.1 Event logging

Event logs recording user activities, exceptions, faults and information security events shall be produced, kept and regularly reviewed.

ISO/IEC 27001:2013 A.12.4.3 Administrator and operator logs

System administrator and system operator activities shall be logged and the logs protected and regularly reviewed.

Personalaktivitäten wird überwacht, um Sicherheitsvorfälle zu erkennen. (Viele parallele Remotezugriffe, RZ Zugang nachts um 3 Uhr)

DE.CM-4: Malicious code is detected

ISO/IEC 27001:2013 A.12.2.1 Controls against malware

Detection, prevention and recovery controls to protect against malware shall be implemented, combined with appropriate user awareness.

BSI-21 Schutz vor Schadprogrammen

Die logischen und physischen IT-Systeme, die der Betreiber zur Erbringung der kritischen Dienstleistung verwendet sowie die Perimeter des Netzwerks, die dem Verantwortungsbereich des KRITIS-Betreibers unterliegen, sind mit Virenschutz- und Reparaturprogrammen versehen, die eine signatur- und verhaltensbasierte Erkennung und Entfernung von Schadprogrammen ermöglichen. Die Programme werden gemäß den vertraglichen Vereinbarungen mit dem/n Hersteller/n, mindestens aber täglich aktualisiert.

Schadcode wird erkannt.

DE.CM-5: Unauthorized mobile code is detected

ISO/IEC 27001:2013 A.12.5.1 Installation of software on operational systems

Procedures shall be implemented to control the installation of software on operational systems.

ISO/IEC 27001:2013 A.12.6.2 Restrictions on software installation

Rules governing the installation of software by users shall be established and implemented.

Nicht authorisierter Code wird erkannt (Java, Javascript in PDF, VisualBasic in Word)

DE.CM-6: External service provider activity is monitored to detect potential cybersecurity events

ISO/IEC 27001:2013 A.14.2.7 Outsourced development

The organization shall supervise and monitor the activity of outsourced system development.

ISO/IEC 27001:2013 A.15.2.1 Monitoring and review of supplier services

Organizations shall regularly monitor, review and audit supplier service delivery.

BSI-44 Auslagerung der Entwicklung

Bei ausgelagerter Entwicklung der kritischen Dienstleistung (oder Teilen davon) in Bezug auf Design, Entwicklung, Test und/oder Bereitstellung von Quellcode der kritischen Dienstleistung ist ein hohes Maß an Sicherheit gefordert. Deshalb sind mindestens die folgenden Aspekte vertraglich zwischen KRITIS-Betreiber und externem Dienstleister zu vereinbaren: . Anforderungen an einen sicheren Software-Entwicklungsprozess (insbesondere Design, Entwicklung und Test) . Bereitstellung von Nachweisen, dass eine ausreichende Prüfung vom externen Dienstleister durchgeführt wurde • Abnahmeprüfung der Qualität der erbrachten Leistungen gemäß den vereinbarten funktionalen und nicht-funktionalen Anforderungen • Das Recht, den Entwicklungsprozess und Kontrollen einer Prüfung, auch stichprobenartig, zu unterziehen.

BSI-99 Kontrolle der Leistungserbringung und der Sicherheitsanforderungen an Dienstleister und Lieferanten des KRITIS-Betreibers

Verfahren zur regelmäßigen Überwachung und Überprüfung der vereinbarten Leistungen und Sicherheitsanforderungen von Dritten (z. B. Dienstleister bzw. Lieferanten des KRITIS-Betreibers), die wesentliche Teile für den Betrieb der kritischen Dienstleistung beitragen, sind implementiert. Die Maßnahmen umfassen mindestens: • Regelmäßige Kontrolle von Dienstleistungsberichten (z. B. SLA-Reportings), soweit diese von Dritten erbracht werden • Überprüfung von sicherheitsrelevanten Vorfällen, Betriebsstörungen oder Ausfällen und Unterbrechungen, die mit der Dienstleistung zusammenhängen • außerplanmäßige Überprüfungen nach wesentlichen Änderungen der Anforderungen oder des Umfelds. Die Notwendigkeit für außerplanmäßige Überprüfungen ist durch den KRITIS-Betreiber zu beurteilen und nachvollziehbar zu dokumentieren. Festgestellte Abweichungen werden gemäß der Anforderung OIS-07 (vgl. Nr. 14) einer Risikoanalyse unterzogen, um diese zeitgerecht durch mitigierende Maßnahmen wirksam zu adressieren.

Externe Dienstleister werden überwacht, um Sicherheitsvorfälle zu erkennen.

DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed

ISO/IEC 27001:2013 A.12.4.1 Event logging

Event logs recording user activities, exceptions, faults and information security events shall be produced, kept and regularly reviewed.

ISO/IEC 27001:2013 A.14.2.7 Outsourced development

The organization shall supervise and monitor the activity of outsourced system development.

ISO/IEC 27001:2013 A.15.2.1 Monitoring and review of supplier services

Organizations shall regularly monitor, review and audit supplier service delivery.

BSI-92 Systematische Log-Auswertung – Aufbewahrung

Die erstellten Protokolle werden auf zentralen Protokollierungsservern aufbewahrt, wo sie vor unautorisierten Zugriffen und Veränderungen geschützt sind. Protokolldaten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind. Zwischen den Protokollierungsservern und den protokollierten Assets erfolgt eine Authentisierung, um die Integrität und Authentizität der übertragenen und gespeicherten Informationen zu schützen. Die Übertragung erfolgt nach einer dem Stand der Technik entsprechenden Verschlüsselung oder über ein eigenes Administrationsnetz (Out-of-Band-Management).

Überwachung von unauthorsiertes Personal, Verbindungen, Geräte und Software ist implementiert.

DE.CM-8: Vulnerability scans are performed

ISO/IEC 27001:2013 A.12.6.1 Management of systems audit controls

Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.

BSI-84 Umgang mit Schwachstellen, Störungen und Fehlern – Prüfung offener Schwachstellen

Die IT-Systeme, welche der KRITIS-Betreiber für die Entwicklung und Erbringung der kritischen Dienstleistung verwendet, werden mindestens monatlich automatisiert auf bekannte Schwachstellen (Vulnerabilities) geprüft. Im Falle von Abweichungen zu den erwarteten Konfigurationen (u. a. dem erwarteten Patch-Level) werden die Gründe hierzu zeitnah analysiert und die Abweichungen behoben oder gemäß dem Ausnahmeprozess dokumentiert.

BSI-87 Prüfungen in anderen, anderweitig vorgegebenen Prüfzyklen – interne IT- Prüfungen

Qualifiziertes Personal (z. B. Interne Revision) des KRITIS-Betreibers oder durch den KRITIS-Betreiber beauftragte sachverständige Dritte überprüfen mindestens jährlich die Compliance der IT-Systeme, soweit diese ganz oder teilweise im Verantwortungsbereich des KRITIS-Betreibers liegen und für die Entwicklung oder den Betrieb der kritischen Dienstleistung relevant sind, mit den entsprechenden internen Richtlinien und Standards sowie der für die kritischen Dienstleistungen relevanten rechtlichen, regulativen und gesetzlich vorgeschriebenen Anforderungen. Die identifizierten Abweichungen werden priorisiert und in Abhängigkeit ihrer Kritikalität werden Maßnahmen zur Behebung zeitnah definiert, nachverfolgt und umgesetzt. Der KRITIS-Betreiber verpflichtet seine Unterauftragnehmer zu solchen Prüfungen und lässt sich die Prüfberichte im gleichen Turnus vorlegen und verwertet sie bei seinen Überprüfungen.

BSI-83 Anlassbezogene Prüfungen – Konzept

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um das zeitnahe Identifizieren und Adressieren von Schwachstellen aller KRITIS- relevanten IT-Systeme, die unter Verantwortung des KRITIS-Betreibers stehen, zu gewährleisten. Die Maßnahmen umfassen unter anderem: • Regelmäßiges Identifizieren und Analysieren von Schwachstellen (Vulnerabilities) • Regelmäßiges Nachhalten von Maßnahmen zum Adressieren identifizierter Maßnahmen (z. B. Einspielen von Sicherheitsaktualisierungen gemäß interner Zielvorgaben).

Schwachstellenscans werden regelmässig durchgeführt.

Detection Processes (DE.DP): Detection processes and procedures are maintained and tested to ensure awareness of anomalous events.

Überwachungs-Prozesse sind etabliert.

DE.DP-1: Roles and responsibilities for detection are well defined to ensure accountability

ISO/IEC 27001:2013 A.6.1.1 Information Security Roles and Responsibilities

All information security responsibilities shall be defined and allocated.

ISO/IEC 27001:2013 A.7.2.2 Information security awareness, education and training

All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.

BSI-2 Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitung

Eine Informationssicherheitsleitlinie mit Sicherheitszielen und strategischen Vorgaben, wie diese Ziele erreicht werden sollen, ist dokumentiert. Die Sicherheitsziele leiten sich von den Unternehmenszielen und Geschäftsprozessen, relevanten Gesetzen und Verordnungen sowie der aktuellen und zukünftig erwarteten Bedrohungsumgebung in Bezug auf Informationssicherheit ab. Die strategischen Vorgaben stellen grundlegende Rahmenbedingungen dar, die in weiteren Richtlinien und Anweisungen näher spezifiziert werden. Die Informationssicherheitsleitlinie wird von der Unternehmensleitung verabschiedet und an alle betroffenen internen und externen Parteien der kritischen Dienstleistung kommuniziert.

Rollen und Verantwortlichkeiten fürs Monitoring sind etabliert.

DE.DP-2: Detection activities comply with all applicable requirements

ISO/IEC 27001:2013 A.18.1.4 Privacy and protection of personally identifiable information

Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable.

ISO/IEC 27001:2013 A.18.2.2

ISO/IEC 27001:2013 A.18.2.3 Technical compliance review

Information systems shall be regularly reviewed for compliance with the organization’s information security policies and standards.

BSI-85 Informieren der Unternehmensleitung

Die Unternehmensleitung wird durch regelmäßige Berichte über den Stand der Informationssicherheit auf Grundlage der Sicherheitsprüfungen informiert und ist verantwortlich für die zeitnahe Behebung von daraus hervorgegangenen Feststellungen.

Monitoringaktivitäten entsprechen den Vorgaben/Richtlinien

DE.DP-3: Detection processes are tested

ISO/IEC 27001:2013 A.14.2.8 System security testing

Testing of security functionality shall be carried out during development.

Monitoring-Prozesse werden getestet

DE.DP-4: Event detection information is communicated

ISO/IEC 27001:2013 A.16.1.2 Reporting information security events

Information security events shall be reported through appropriate management channels as quickly as possible.

ISO/IEC 27001:2013 A.16.1.3 Reporting information security weaknesses

Employees and contractors using the organization’s information systems and services shall be required to note and report any observed or suspected information security weaknesses in systems or services.

BSI-79 Dokumentation und Berichterstattung über Sicherheitsvorfälle

Alle Sicherheitsvorfälle werden gemäß Informationssicherheitsrichtlinie dokumentiert. Eine verantwortliche Stelle für meldepflichtige Sicherheitsvorfälle ist eingerichtet. Eine Richtlinie ist umgesetzt, die regelt, welche Sicherheitsvorfälle der verantwortlichen Stelle zu melden sind und welche Sicherheitsvorfälle gemäß den Vorgaben aus § 8b Absatz 4 BSIG unverzüglich an das BSI zu melden sind: • Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben • erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.

Sicherheitsvorfälle werden gemäß Informationssicherheitsrichtlinie dokumentiert

DE.DP-5: Detection processes are continuously improved

ISO/IEC 27001:2013 A.16.1.6 Learning from information security incidents

Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.

BSI-82 Auswertung und Lernprozess

Mechanismen sind vorhanden, um Art und Umfang der Sicherheitsvorfälle messen und überwachen sowie an unterstützende Stellen melden zu können. Die aus der Auswertung gewonnenen Informationen werden dazu verwendet, wiederkehrende oder mit erheblichen Folgen verbundene Vorfälle zu identifizieren und Notwendigkeiten für erweiterte Schutzmaßnahmen festzustellen.

Monitoring-Prozesse werden kontinuierlich verbessert

RESPOND (RS)

Reaktionsplanung

Response Planning (RS.RP): Response processes and procedures are executed and maintained, to ensure response to detected cybersecurity incidents.

Reaktionsplan – Reaktionsmaßnahmen sind verwaltet, geplant und durchgeführt.

RS.RP-1: Response plan is executed during or after an incident

ISO/IEC 27001:2013 A.16.1.5 Response to information security incidents

Information security incidents shall be responded to in accordance with the documented procedures.

BSI-77 Verantwortlichkeiten und Vorgehensmodell

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß der Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um eine schnelle, effektive und ordnungsgemäße Reaktion auf alle bekannten Sicherheitsvorfälle, i. S. von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen geführt haben, zu gewährleisten. Seitens des KRITIS-Betreibers sind dabei mindestens die in der Informationssicherheitsrichtlinie aufgeführten Rollen zu besetzen, Vorgaben zur Klassifizierung, Priorisierung und Eskalation von Sicherheitsvorfällen zu definieren und Schnittstellen zum Incident Management sowie dem Business Continuity Management zu schaffen. Zusätzlich hat der KRITIS-Betreiber ein Team zur Behandlung von Informationssicherheitsvorfällen eingerichtet, das zur koordinierten Lösung von konkreten Sicherheitsvorfällen beiträgt.

Reaktionspläne werden bei Vorfällen umgesetzt

Communications (RS.CO): Response activities are coordinated with internal and external stakeholders (e.g. external support from law enforcement agencies).

Kommunikation und Rollen im Reaktionsfall. Der Informationsfluss bei Vorfällen in der Reaktionsphase ist abgestimmt (es ist klar wann wer was sagt)

RS.CO-1: Personnel know their roles and order of operations when a response is needed

ISO/IEC 27001:2013 A.6.1.1 Information Security Roles and Responsibilities

All information security responsibilities shall be defined and allocated.

ISO/IEC 27001:2013 A.7.2.2 Information security awareness, education and training

All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.

ISO/IEC 27001:2013 A.16.1.1 Responsibilities and procedures

Management responsibilities and procedures shall be established to ensure a quick, effective and orderly response to information security incidents.

BSI-78 Bearbeitung von Sicherheitsvorfällen

Ereignisse, die einen Sicherheitsvorfall darstellen könnten, werden durch qualifiziertes Personal des KRITIS-Betreibers oder in Verbindung mit externen Sicherheitsdienstleistern klassifiziert, priorisiert und einer Ursachenanalyse unterzogen.

Die Personen kenne ihre Rollen und die Reihenfolge der Maßnahmen im Reaktionsfall

RS.CO-2: Incidents are reported consistent with established criteria

ISO/IEC 27001:2013 A.6.1.3 Contact with Authorities

Appropriate contacts with relevant authorities shall be maintained.

ISO/IEC 27001:2013 A.16.1.2 Reporting information security events

Information security events shall be reported through appropriate management channels as quickly as possible.

BSI-79 Dokumentation und Berichterstattung über Sicherheitsvorfälle

Alle Sicherheitsvorfälle werden gemäß Informationssicherheitsrichtlinie dokumentiert. Eine verantwortliche Stelle für meldepflichtige Sicherheitsvorfälle ist eingerichtet. Eine Richtlinie ist umgesetzt, die regelt, welche Sicherheitsvorfälle der verantwortlichen Stelle zu melden sind und welche Sicherheitsvorfälle gemäß den Vorgaben aus § 8b Absatz 4 BSIG unverzüglich an das BSI zu melden sind: • Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben • erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.

Vorfälle werden gemäß Vorgaben gemeldet

RS.CO-3: Information is shared consistent with response plans

ISO/IEC 27001:2013 A.16.1.2 Reporting information security events

Information security events shall be reported through appropriate management channels as quickly as possible.

ISO/IEC 27001:2013 Clause 7.4 Communication

The organization shall determine the need for internal and external communications relevant to the information security management system including:
  1. on what to communicate;
  2. when to communicate;
  3. with whom to communicate;
  4. who shall communicate; and
  5. the processes by which communication shall be effected.

ISO/IEC 27001:2013 Clause 16.1.2

There is no Clause 16.1.2 in the NIST CSF! This seems to be a parsing error in the NIST CSF 1.1 itself.

BSI-81 Verpflichtung der Nutzer zur Meldung von Sicherheitsvorfällen an eine zentrale Stelle

Mitarbeiter und externe Geschäftspartner werden über ihre Verpflichtungen informiert. Falls erforderlich willigen sie dazu ein oder verpflichten sich vertraglich dazu, alle Sicherheitsereignisse zeitnah an eine zuvor benannte zentrale Stelle zu melden. Zusätzlich wird darüber informiert, dass „Falschmeldungen“ von Ereignissen, die sich im Nachhinein nicht als Vorfälle herausstellen, keine negativen Folgen nach sich ziehen.

Vorfälle werden gemäß Plan auch extern kommuniziert (Meldestelle, Branchenverbände)

RS.CO-4: Coordination with stakeholders occurs consistent with response plans

ISO/IEC 27001:2013 Clause 7.4 Communication

The organization shall determine the need for internal and external communications relevant to the information security management system including:
  1. on what to communicate;
  2. when to communicate;
  3. with whom to communicate;
  4. who shall communicate; and
  5. the processes by which communication shall be effected.

BSI-81 Verpflichtung der Nutzer zur Meldung von Sicherheitsvorfällen an eine zentrale Stelle

Mitarbeiter und externe Geschäftspartner werden über ihre Verpflichtungen informiert. Falls erforderlich willigen sie dazu ein oder verpflichten sich vertraglich dazu, alle Sicherheitsereignisse zeitnah an eine zuvor benannte zentrale Stelle zu melden. Zusätzlich wird darüber informiert, dass „Falschmeldungen“ von Ereignissen, die sich im Nachhinein nicht als Vorfälle herausstellen, keine negativen Folgen nach sich ziehen.

Koordination der Interessensgruppen konsistent mit dem Reaktionsplan

RS.CO-5: Voluntary information sharing occurs with external stakeholders to achieve broader cybersecurity situational awareness

ISO/IEC 27001:2013 A.6.1.4 Contact with special interest groups

Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained.

BSI-97 Kontakt zu relevanten Behörden und Interessenverbänden

Angemessene und für den Anbieter der kritischen Dienstleistung relevante Kontakte zu Behörden und Interessenverbänden sind etabliert, um stets über aktuelle Bedrohungslagen und Gegenmaßnahmen informiert zu sein und zeitnah und angemessen darauf zu reagieren. Es sind Verfahren definiert und dokumentiert, um die erhaltenen Informationen an die internen und externen Mitarbeiter des Anbieters der kritischen Dienstleistung zu kommunizieren und zeitnah und angemessen darauf zu reagieren.

Erkenntnisse werden verteilt, um zur allgemeinen IT-Sicherheit beizutragen.

Analysis (RS.AN): Analysis is conducted to ensure effective response and support recovery activities.

Analyse

RS.AN-1: Notifications from detection systems are investigated

ISO/IEC 27001:2013 A.12.4.1 Event logging

Event logs recording user activities, exceptions, faults and information security events shall be produced, kept and regularly reviewed.

ISO/IEC 27001:2013 A.12.4.3 Administrator and operator logs

System administrator and system operator activities shall be logged and the logs protected and regularly reviewed.

ISO/IEC 27001:2013 A.16.1.5 Response to information security incidents

Information security incidents shall be responded to in accordance with the documented procedures.

BSI-80 Security Incident Event Management

Protokollierte Vorfälle werden zentral aggregiert und konsolidiert (Event-Korrelation). Regeln zur Erkennung von Beziehungen zwischen Vorfällen und zur Beurteilung gemäß Kritikalität sind implementiert. Die Behandlung dieser Vorfälle erfolgt gemäß dem Security Incident Management Prozess.

Meldungen aus der Überwachung werden untersucht.

RS.AN-2: The impact of the incident is understood

ISO/IEC 27001:2013 A.16.1.4 Assessment of and decision on information security events

Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents.

ISO/IEC 27001:2013 A.16.1.6 Learning from information security incidents

Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.

BSI-77 Verantwortlichkeiten und Vorgehensmodell

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß der Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um eine schnelle, effektive und ordnungsgemäße Reaktion auf alle bekannten Sicherheitsvorfälle, i. S. von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen geführt haben, zu gewährleisten. Seitens des KRITIS-Betreibers sind dabei mindestens die in der Informationssicherheitsrichtlinie aufgeführten Rollen zu besetzen, Vorgaben zur Klassifizierung, Priorisierung und Eskalation von Sicherheitsvorfällen zu definieren und Schnittstellen zum Incident Management sowie dem Business Continuity Management zu schaffen. Zusätzlich hat der KRITIS-Betreiber ein Team zur Behandlung von Informationssicherheitsvorfällen eingerichtet, das zur koordinierten Lösung von konkreten Sicherheitsvorfällen beiträgt.

Die Auswirkungen eines Ereignisses werden verstanden.

RS.AN-3: Forensics are performed

ISO/IEC 27001:2013 A.16.1.7 Collection of evidence

The organization shall define and apply procedures for the identification, collection, acquisition and preservation of information, which can serve as evidence.

BSI-93 Systematische Log-Auswertung – Konfiguration

Der Zugriff und die Verwaltung der Protokollierungs- und Überwachungsfunktionalitäten ist beschränkt auf ausgewählte und autorisierte Mitarbeiter des KRITIS-Betreibers. Änderungen der Protokollierungen und Überwachungen werden vorab durch unabhängige und autorisierte Mitarbeiter überprüft und freigegeben. Der Zugriff und die Verwaltung der Protokollierungs- und Überwachungsfunktionalitäten erfordert eine Multi-Faktor-Authentifizierung.

Forensische Analyse wird durchgeführt.

RS.AN-4: Incidents are categorized consistent with response plans

ISO/IEC 27001:2013 A.16.1.4 Assessment of and decision on information security events

Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents.

BSI-77 Verantwortlichkeiten und Vorgehensmodell

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß der Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um eine schnelle, effektive und ordnungsgemäße Reaktion auf alle bekannten Sicherheitsvorfälle, i. S. von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen geführt haben, zu gewährleisten. Seitens des KRITIS-Betreibers sind dabei mindestens die in der Informationssicherheitsrichtlinie aufgeführten Rollen zu besetzen, Vorgaben zur Klassifizierung, Priorisierung und Eskalation von Sicherheitsvorfällen zu definieren und Schnittstellen zum Incident Management sowie dem Business Continuity Management zu schaffen. Zusätzlich hat der KRITIS-Betreiber ein Team zur Behandlung von Informationssicherheitsvorfällen eingerichtet, das zur koordinierten Lösung von konkreten Sicherheitsvorfällen beiträgt.

Die Vorfälle werden gemäß Reaktionsplan eingeordnet. Es wird eine Hirachie der Kritikalität erstellt, nach der Vorfälle eingestuft werden. (Ist remote ausnutzbar, gefährdet den Betrieb o.Ä)

RS.AN-5: Processes are established to receive, analyze and respond to vulnerabilities disclosed to the organization from internal and external sources (e.g. internal testing, security bulletins, or security researchers)

BSI-77 Verantwortlichkeiten und Vorgehensmodell

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß der Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um eine schnelle, effektive und ordnungsgemäße Reaktion auf alle bekannten Sicherheitsvorfälle, i. S. von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen geführt haben, zu gewährleisten. Seitens des KRITIS-Betreibers sind dabei mindestens die in der Informationssicherheitsrichtlinie aufgeführten Rollen zu besetzen, Vorgaben zur Klassifizierung, Priorisierung und Eskalation von Sicherheitsvorfällen zu definieren und Schnittstellen zum Incident Management sowie dem Business Continuity Management zu schaffen. Zusätzlich hat der KRITIS-Betreiber ein Team zur Behandlung von Informationssicherheitsvorfällen eingerichtet, das zur koordinierten Lösung von konkreten Sicherheitsvorfällen beiträgt.

Es sind Prozesse etabliert, wie man von Schwachstellen erfährt, sie analysiert und darauf reagiert. XXPROZ

Mitigation (RS.MI): Activities are performed to prevent expansion of an event, mitigate its effects, and resolve the incident.

Eindämmung (Mitigation)

RS.MI-1: Incidents are contained

ISO/IEC 27001:2013 A.12.2.1 Controls against malware

Detection, prevention and recovery controls to protect against malware shall be implemented, combined with appropriate user awareness.

ISO/IEC 27001:2013 A.16.1.5 Response to information security incidents

Information security incidents shall be responded to in accordance with the documented procedures.

BSI-78 Bearbeitung von Sicherheitsvorfällen

Ereignisse, die einen Sicherheitsvorfall darstellen könnten, werden durch qualifiziertes Personal des KRITIS-Betreibers oder in Verbindung mit externen Sicherheitsdienstleistern klassifiziert, priorisiert und einer Ursachenanalyse unterzogen.

Vorfälle/Probleme werden (provisorisch) eingedämmt.

RS.MI-2: Incidents are mitigated

ISO/IEC 27001:2013 A.12.2.1 Controls against malware

Detection, prevention and recovery controls to protect against malware shall be implemented, combined with appropriate user awareness.

ISO/IEC 27001:2013 A.16.1.5 Response to information security incidents

Information security incidents shall be responded to in accordance with the documented procedures.

BSI-78 Bearbeitung von Sicherheitsvorfällen

Ereignisse, die einen Sicherheitsvorfall darstellen könnten, werden durch qualifiziertes Personal des KRITIS-Betreibers oder in Verbindung mit externen Sicherheitsdienstleistern klassifiziert, priorisiert und einer Ursachenanalyse unterzogen.

Vorfälle/Probleme werden (provisorisch) entschärft.

RS.MI-3: Newly identified vulnerabilities are mitigated or documented as accepted risks

ISO/IEC 27001:2013 A.12.6.1 Management of systems audit controls

Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.

BSI-87 Prüfungen in anderen, anderweitig vorgegebenen Prüfzyklen – interne IT- Prüfungen

Qualifiziertes Personal (z. B. Interne Revision) des KRITIS-Betreibers oder durch den KRITIS-Betreiber beauftragte sachverständige Dritte überprüfen mindestens jährlich die Compliance der IT-Systeme, soweit diese ganz oder teilweise im Verantwortungsbereich des KRITIS-Betreibers liegen und für die Entwicklung oder den Betrieb der kritischen Dienstleistung relevant sind, mit den entsprechenden internen Richtlinien und Standards sowie der für die kritischen Dienstleistungen relevanten rechtlichen, regulativen und gesetzlich vorgeschriebenen Anforderungen. Die identifizierten Abweichungen werden priorisiert und in Abhängigkeit ihrer Kritikalität werden Maßnahmen zur Behebung zeitnah definiert, nachverfolgt und umgesetzt. Der KRITIS-Betreiber verpflichtet seine Unterauftragnehmer zu solchen Prüfungen und lässt sich die Prüfberichte im gleichen Turnus vorlegen und verwertet sie bei seinen Überprüfungen.

BSI-95 Penetrationstest

Der KRITIS-Betreiber lässt mindestens jährlich Penetrationstests durch qualifiziertes internes Personal oder externe Dienstleister durchführen. Die Penetrationstests erfolgen nach einer dokumentierten Testmethodik und umfassen die für den sicheren Betrieb der kritischen Dienstleistung als kritisch definierte Infrastruktur-Komponenten, die im Rahmen einer Risiko-Analyse als solche identifiziert wurden. Art, Umfang Zeitpunkt/Zeitraum und Ergebnisse werden für einen sachverständigen Dritten nachvollziehbar dokumentiert. Feststellungen aus den Penetrationstests werden bewertet und mindestens bei mittlerer bis sehr hoher Kritikalität in Bezug auf die Vertraulichkeit, Integrität oder Verfügbarkeit der kritischen Dienstleistung nachverfolgt und behoben. Die Einschätzung der Kritikalität und der mitigierenden Maßnahmen zu den einzelnen Feststellungen werden dokumentiert.

Neu identifizierte Schwachstellen werden entschärft oder dokumentiert akzeptiert.

Improvements (RS.IM): Organizational response activities are improved by incorporating lessons learned from current and previous detection/response activities.

Reaktionsverbesserung

RS.IM-1: Response plans incorporate lessons learned

ISO/IEC 27001:2013 A.16.1.6 Learning from information security incidents

Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.

ISO/IEC 27001:2013 Clause 10 Improvement

10.1 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
  1. react to the nonconformity, and as applicable:
    1. take action to control and correct it; and
    2. deal with the consequences;
  2. evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
    1. reviewing the nonconformity;
    2. determining the causes of the nonconformity; and
    3. determining if similar nonconformities exist, or could potentially occur;
  3. implement any action needed;
  4. review the effectiveness of any corrective action taken; and
  5. make changes to the information security management system, if necessary.
    Corrective actions shall be appropriate to the effects of the nonconformities encountered.
    The organization shall retain documented information as evidence of:
  6. the nature of the nonconformities and any subsequent actions taken, and
  7. the results of any corrective action.
10.2 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.

BSI-82 Auswertung und Lernprozess

Mechanismen sind vorhanden, um Art und Umfang der Sicherheitsvorfälle messen und überwachen sowie an unterstützende Stellen melden zu können. Die aus der Auswertung gewonnenen Informationen werden dazu verwendet, wiederkehrende oder mit erheblichen Folgen verbundene Vorfälle zu identifizieren und Notwendigkeiten für erweiterte Schutzmaßnahmen festzustellen.

Neue Erkenntnisse werden im Reaktionsplan berücksichtigt (lessions learned)

RS.IM-2: Response strategies are updated

ISO/IEC 27001:2013 A.16.1.6 Learning from information security incidents

Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.

ISO/IEC 27001:2013 Clause 10 Improvement

10.1 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
  1. react to the nonconformity, and as applicable:
    1. take action to control and correct it; and
    2. deal with the consequences;
  2. evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
    1. reviewing the nonconformity;
    2. determining the causes of the nonconformity; and
    3. determining if similar nonconformities exist, or could potentially occur;
  3. implement any action needed;
  4. review the effectiveness of any corrective action taken; and
  5. make changes to the information security management system, if necessary.
    Corrective actions shall be appropriate to the effects of the nonconformities encountered.
    The organization shall retain documented information as evidence of:
  6. the nature of the nonconformities and any subsequent actions taken, and
  7. the results of any corrective action.
10.2 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.

BSI-82 Auswertung und Lernprozess

Mechanismen sind vorhanden, um Art und Umfang der Sicherheitsvorfälle messen und überwachen sowie an unterstützende Stellen melden zu können. Die aus der Auswertung gewonnenen Informationen werden dazu verwendet, wiederkehrende oder mit erheblichen Folgen verbundene Vorfälle zu identifizieren und Notwendigkeiten für erweiterte Schutzmaßnahmen festzustellen.

Reaktionsstrategien werden angepasst.

RECOVER (RC)

Wiederherstellung

Recovery Planning (RC.RP): Recovery processes and procedures are executed and maintained to ensure restoration of systems or assets affected by cybersecurity incidents.

Wiederherstellungsplanung

RC.RP-1: Recovery plan is executed during or after a cybersecurity incident

ISO/IEC 27001:2013 A.16.1.5 Response to information security incidents

Information security incidents shall be responded to in accordance with the documented procedures.

BSI-77 Verantwortlichkeiten und Vorgehensmodell

Richtlinien und Anweisungen mit technischen und organisatorischen Maßnahmen sind gemäß der Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt, um eine schnelle, effektive und ordnungsgemäße Reaktion auf alle bekannten Sicherheitsvorfälle, i. S. von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen geführt haben, zu gewährleisten. Seitens des KRITIS-Betreibers sind dabei mindestens die in der Informationssicherheitsrichtlinie aufgeführten Rollen zu besetzen, Vorgaben zur Klassifizierung, Priorisierung und Eskalation von Sicherheitsvorfällen zu definieren und Schnittstellen zum Incident Management sowie dem Business Continuity Management zu schaffen. Zusätzlich hat der KRITIS-Betreiber ein Team zur Behandlung von Informationssicherheitsvorfällen eingerichtet, das zur koordinierten Lösung von konkreten Sicherheitsvorfällen beiträgt.

Wiederherstellungsplan wird bei einem Vorfall umgesetzt.

Improvements (RC.IM): Recovery planning and processes are improved by incorporating lessons learned into future activities.

Wiederherstellungsverbesserungen

RC.IM-1: Recovery plans incorporate lessons learned

ISO/IEC 27001:2013 A.16.1.6 Learning from information security incidents

Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.

ISO/IEC 27001:2013 Clause 10 Improvement

10.1 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
  1. react to the nonconformity, and as applicable:
    1. take action to control and correct it; and
    2. deal with the consequences;
  2. evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
    1. reviewing the nonconformity;
    2. determining the causes of the nonconformity; and
    3. determining if similar nonconformities exist, or could potentially occur;
  3. implement any action needed;
  4. review the effectiveness of any corrective action taken; and
  5. make changes to the information security management system, if necessary.
    Corrective actions shall be appropriate to the effects of the nonconformities encountered.
    The organization shall retain documented information as evidence of:
  6. the nature of the nonconformities and any subsequent actions taken, and
  7. the results of any corrective action.
10.2 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.

BSI-82 Auswertung und Lernprozess

Mechanismen sind vorhanden, um Art und Umfang der Sicherheitsvorfälle messen und überwachen sowie an unterstützende Stellen melden zu können. Die aus der Auswertung gewonnenen Informationen werden dazu verwendet, wiederkehrende oder mit erheblichen Folgen verbundene Vorfälle zu identifizieren und Notwendigkeiten für erweiterte Schutzmaßnahmen festzustellen.

BSI-19 Verifizierung, Aktualisierung und Test der Betriebskontinuität

Die Folgeabschätzung sowie die Pläne zur Kontinuität der kritischen Dienstleistung und Notfallpläne werden regelmäßig (mindestens jährlich) oder nach wesentlichen organisatorischen oder umgebungsbedingten Veränderungen überprüft, aktualisiert und getestet. Tests beziehen betroffene relevante Dritte (z. B. kritische Lieferanten) mit ein z. B. in Form von: • Internen Übungen und Systemtests • Übungen mit externen Partnern, insb. aus dem Kontext der kritischen Dienstleistung • Übungen im Rahmen des Notfallmanagements • Kommunikationsübungen • Planübungen, Krisenübungen, Training seltener Ereignisse. Die Tests werden dokumentiert und Ergebnisse werden für zukünftige Maßnahmen der Kontinuität der kritischen Dienstleistung berücksichtigt.

Neu Erkenntnisse werden im Wiederherstellungsplan berücksichtigt (lessions learned)

RC.IM-2: Recovery strategies are updated

ISO/IEC 27001:2013 A.16.1.6 Learning from information security incidents

Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.

ISO/IEC 27001:2013 Clause 10 Improvement

10.1 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
  1. react to the nonconformity, and as applicable:
    1. take action to control and correct it; and
    2. deal with the consequences;
  2. evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
    1. reviewing the nonconformity;
    2. determining the causes of the nonconformity; and
    3. determining if similar nonconformities exist, or could potentially occur;
  3. implement any action needed;
  4. review the effectiveness of any corrective action taken; and
  5. make changes to the information security management system, if necessary.
    Corrective actions shall be appropriate to the effects of the nonconformities encountered.
    The organization shall retain documented information as evidence of:
  6. the nature of the nonconformities and any subsequent actions taken, and
  7. the results of any corrective action.
10.2 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.

BSI-82 Auswertung und Lernprozess

Mechanismen sind vorhanden, um Art und Umfang der Sicherheitsvorfälle messen und überwachen sowie an unterstützende Stellen melden zu können. Die aus der Auswertung gewonnenen Informationen werden dazu verwendet, wiederkehrende oder mit erheblichen Folgen verbundene Vorfälle zu identifizieren und Notwendigkeiten für erweiterte Schutzmaßnahmen festzustellen.

BSI-19 Verifizierung, Aktualisierung und Test der Betriebskontinuität

Die Folgeabschätzung sowie die Pläne zur Kontinuität der kritischen Dienstleistung und Notfallpläne werden regelmäßig (mindestens jährlich) oder nach wesentlichen organisatorischen oder umgebungsbedingten Veränderungen überprüft, aktualisiert und getestet. Tests beziehen betroffene relevante Dritte (z. B. kritische Lieferanten) mit ein z. B. in Form von: • Internen Übungen und Systemtests • Übungen mit externen Partnern, insb. aus dem Kontext der kritischen Dienstleistung • Übungen im Rahmen des Notfallmanagements • Kommunikationsübungen • Planübungen, Krisenübungen, Training seltener Ereignisse. Die Tests werden dokumentiert und Ergebnisse werden für zukünftige Maßnahmen der Kontinuität der kritischen Dienstleistung berücksichtigt.

Wiederherstellungsstrategien werden angepasst

Communications (RC.CO): Restoration activities are coordinated with internal and external parties (e.g. coordinating centers, Internet Service Providers, owners of attacking systems, victims, other CSIRTs, and vendors).

Wiederherstellungskommunikation

RC.CO-1: Public relations are managed

ISO/IEC 27001:2013 A.6.1.4 Contact with special interest groups

Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained.

ISO/IEC 27001:2013 Clause 7.4 Communication

The organization shall determine the need for internal and external communications relevant to the information security management system including:
  1. on what to communicate;
  2. when to communicate;
  3. with whom to communicate;
  4. who shall communicate; and
  5. the processes by which communication shall be effected.

BSI-97 Kontakt zu relevanten Behörden und Interessenverbänden

Angemessene und für den Anbieter der kritischen Dienstleistung relevante Kontakte zu Behörden und Interessenverbänden sind etabliert, um stets über aktuelle Bedrohungslagen und Gegenmaßnahmen informiert zu sein und zeitnah und angemessen darauf zu reagieren. Es sind Verfahren definiert und dokumentiert, um die erhaltenen Informationen an die internen und externen Mitarbeiter des Anbieters der kritischen Dienstleistung zu kommunizieren und zeitnah und angemessen darauf zu reagieren.

Die Außenkommunikation wird gesteuert.

RC.CO-2: Reputation is repaired after an incident

ISO/IEC 27001:2013 Clause 7.4 Communication

The organization shall determine the need for internal and external communications relevant to the information security management system including:
  1. on what to communicate;
  2. when to communicate;
  3. with whom to communicate;
  4. who shall communicate; and
  5. the processes by which communication shall be effected.

Die Reputation wird nach einem Vorfall geheilt.

RC.CO-3: Recovery activities are communicated to internal and external stakeholders as well as executive and management teams

ISO/IEC 27001:2013 Clause 7.4 Communication

The organization shall determine the need for internal and external communications relevant to the information security management system including:
  1. on what to communicate;
  2. when to communicate;
  3. with whom to communicate;
  4. who shall communicate; and
  5. the processes by which communication shall be effected.

Wiederherstellungsaktivitäten werden konsistent an alle internen und externen Interessensgruppen (incl. Management) kommuniziert.

Used resource: