Normenverzeichnis » Norm: DIN EN ISO/IEC 27019

Änderungsvermerk

Gegenüber DIN ISO/IEC TR 27019 (DIN SPEC 27019):2015-03 wurden folgende Änderungen vorgenommen:

  • a) der Anwendungsbereich wurde geändert und umfasst nun auch den Öl-Energie Sektor;
  • b) die Veröffentlichungsform wurde von einen internationalen Technical Report in eine Internationale Norm geändert;
  • c) das Dokument wurde an die neue Struktur der ISO/IEC 27002 Ausgabe 2013 angepasst;
  • d) der Titel wurde geändert; e) der technische Inhalt wurde an den entsprechenden Stellen angepasst, um die aktuellen Entwicklungen im Energiesektor zu berücksichtigen.

Beschreibung

DIN EN ISO/IEC 27019 enthält Erweiterungen für Maßnahmen eines Informationssicherheitsmanagementsystems auf der Grundlage von DIN EN ISO/IEC 27002 für Prozessleitsysteme, die von der Energieversorgungsindustrie zur Steuerung und Überwachung der Erzeugung oder Übertragung, Speicherung und Verteilung von Strom, Gas, Öl und Wärme verwendet werden und zur Steuerung zugehöriger unterstützender Prozesse.

Inhalt

Nationales Vorwort
  • Änderungen
  • Frühere Ausgaben
Europäisches Vorwort
Anerkennungsnotiz
Vorwort
Einleitung
  • Hintergrund und Kontext
  • Sicherheitsaspekte für Prozesssteuerungssysteme bei Energieversorgern
  • Anforderungen an Informationssicherheit
  • Auswahl der Maßnahmen
  • Zielgruppe

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe

  • Schwarzfall
  • Computer Security Incident Response Team (CSIRT)
  • kritischer Wert (Asset)
  • Kritische Infrastruktur
  • Debugging
  • Verteilnetz
  • Energiemanagementsystem (EMS)
  • Energieversorgung
  • Energieversorger
  • Mensch-Maschine-Interface
  • Wartung
  • Prozesssteuerungssystem
  • Safety
  • Safety-Systeme
  • Supervisory Control and Data Acquisition (SCADA)
  • Smart Grid
  • Transportnetz

4 Aufbau dieses Dokuments

  • Allgemein
  • Anpassung der Anforderungen nach ISO/IEC 27001:2013
  • Energieversorgungsspezifische Maßnahmen mit Bezug zu ISO/IEC 27002:2013

5 Informationssicherheitsrichtlinien

6 Organisation der Informationssicherheit

Interne Organisation

  • Informationssicherheitsrollen und -verantwortlichkeiten
  • Aufgabentrennung
  • Kontakt mit Behörden
  • Kontakt mit speziellen Interessensgruppen
  • Informationssicherheit im Projektmanagement
  • ENR — Identifizierung von Risiken in Zusammenhang mit Externen
  • ENR — Adressieren von Sicherheit im Umgang mit Kunden

Mobilgeräte und Telearbeit

  • Richtlinie zu Mobilgeräten
  • Telearbeit

7 Personalsicherheit

Vor der Beschäftigung

  • Sicherheitsüberprüfung
  • Beschäftigungs- und Vertragsbedingungen

Während der Beschäftigung

  • Verantwortlichkeiten der Leitung
  • Informationssicherheitsbewusstsein, -ausbildung und -schulung
  • Maßregelungsprozess

Beendigung und Änderung der Beschäftigung

8 Verwaltung der Werte

Verantwortlichkeit für Werte

  • Inventarisierung der Werte
  • Zuständigkeit für Werte
  • Zulässiger Gebrauch von Werten
  • Rückgabe von Werten

Informationsklassifizierung

  • Klassifizierung von Information
  • Kennzeichnung von Information
  • Handhabung von Werten

Handhabung von Datenträgern

9 Zugangssteuerung

Geschäftsanforderungen an die Zugangssteuerung

  • Zugangssteuerungsrichtlinie
  • Zugang zu Netzwerken und Netzwerkdiensten

Benutzerzugangsverwaltung

  • Registrierung und Deregistrierung von Benutzern
  • Zuteilung von Benutzerzugängen
  • Verwaltung privilegierter Zugangsrechte
  • Verwaltung geheimer Authentisierungsinformation von Benutzern
  • Überprüfung von Benutzerzugangsrechten
  • Entzug oder Anpassung von Zugangsrechten

Benutzerverantwortlichkeiten

  • Gebrauch geheimer Authentisierungsinformation

Zugangssteuerung für Systeme und Anwendungen

  • Informationszugangsbeschränkung
  • Sichere Anmeldeverfahren
  • System zur Verwaltung von Kennwörtern
  • Gebrauch von Hilfsprogrammen mit privilegierten Rechten
  • Zugangssteuerung für Quellcode von Programmen

10 Kryptographie

Kryptographische Maßnahmen

  • Richtlinie zum Gebrauch von kryptographischen Maßnahmen
  • Schlüsselverwaltung

11 Physische und umgebungsbezogene Sicherheit

Sicherheitsbereiche

  • Physische Sicherheitsperimeter
  • Physische Zutrittssteuerung
  • Sichern von Büros, Räumen und Einrichtungen
  • Schutz vor externen und umweltbedingten Bedrohungen
  • Arbeiten in Sicherheitsbereichen
  • Anlieferungs- und Ladebereiche
  • ENR — Sichern von Leitstellen
  • ENR — Sicherung von Technikräumen
  • ENR — Sicherung von Außenstandorten

Geräte und Betriebsmittel

  • Platzierung und Schutz von Geräten und Betriebsmitteln
  • Versorgungseinrichtungen
  • Sicherheit der Verkabelung
  • Instandhaltung von Geräten und Betriebsmitteln
  • Entfernen von Werten
  • Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten
  • Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
  • Unbeaufsichtigte Benutzergeräte
  • Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren

ENR — Sicherheit in Räumlichkeiten Dritter

  • ENR — Betriebseinrichtung in Bereichen anderer Energieversorger
  • ENR — Betriebseinrichtung beim Kunden vor Ort
  • ENR — Gekoppelte Steuerungs- und Kommunikationssysteme

12 Betriebssicherheit

  • Betriebsabläufe und -verantwortlichkeiten
    • Dokumentierte Bedienabläufe
    • Änderungssteuerung
    • Kapazitätssteuerung
    • Trennung von Entwicklungs-, Test- und Betriebsumgebungen
  • Schutz vor Schadsoftware
    • Maßnahmen gegen Schadsoftware
  • Datensicherung
  • Protokollierung und Überwachung
    • Ereignisprotokollierung
    • Schutz der Protokollinformation
    • Administratoren- und Bedienerprotokolle
    • Uhrensynchronisation
  • Steuerung von Software im Betrieb
    • Installation von Software auf Systemen im Betrieb
  • Handhabung technischer Schwachstellen
    • Handhabung von technischen Schwachstellen
    • Einschränkungen von Softwareinstallation
  • Audits von Informationssystemen
  • ENR — Altsysteme
    • ENR — Behandlung von Altsystemen
  • ENR — Safety-Funktionen
    • ENR — Integrität und Verfügbarkeit von Safety-Funktionen

13 Kommunikationssicherheit

  • Netzwerksicherheitsmanagement
    • Netzwerksteuerungsmaßnahmen
    • Sicherheit von Netzwerkdiensten
    • Trennung in Netzwerken
    • ENR — Sicherung der Prozessdatenkommunikation
    • ENR — Logische Anbindung von externen Prozesssteuerungssystemen
  • Informationsübertragung

14 Anschaffung, Entwicklung und Instandhaltung von Systemen

  • Sicherheitsanforderungen an Informationssysteme
    • Analyse und Spezifikation von Informationssicherheitsanforderungen
    • Sicherung von Anwendungsdiensten in öffentlichen Netzwerken
    • Schutz der Transaktionen bei Anwendungsdiensten
  • Sicherheit in Entwicklungs- und Unterstützungsprozessen
    • Richtlinie für sichere Entwicklung
    • Verfahren zur Verwaltung von Systemänderungen
    • Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform
    • Beschränkung von Änderungen an Softwarepaketen
    • Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
    • Sichere Entwicklungsumgebung
    • Ausgegliederte Entwicklung
    • Testen der Systemsicherheit
    • Systemabnahmetest
    • ENR — Least Functionality
  • Testdaten

15 Lieferantenbeziehungen

  • Informationssicherheit in Lieferantenbeziehungen
    • Informationssicherheitsrichtlinie für Lieferantenbeziehungen
    • Behandlung von Sicherheit in Lieferantenvereinbarungen
    • Lieferkette für Informations- und Kommunikationstechnologie
  • Steuerung der Dienstleistungserbringung von Lieferanten

16 Handhabung von Informationssicherheitsvorfällen

  • Handhabung von Informationssicherheitsvorfällen und -verbesserungenUnterkapitel ausblenden
    • Verantwortlichkeiten und Verfahren
    • Meldung von Informationssicherheitsereignissen
    • Meldung von Schwächen in der Informationssicherheit
    • Beurteilung von und Entscheidung über Informationssicherheitsereignisse
    • Reaktion auf Informationssicherheitsvorfälle
    • Erkenntnisse aus Informationssicherheitsvorfällen
    • Sammeln von Beweismaterial

17 Informationssicherheitsaspekte beim Business Continuity Management

  • Aufrechterhalten der Informationssicherheit
  • Redundanzen
    • Verfügbarkeit von informationsverarbeitenden Einrichtungen
    • ENR — Notfallkommunikation

18 Compliance

  • Einhaltung gesetzlicher und vertraglicher Anforderungen
    • Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen
    • Geistige Eigentumsrechte
    • Schutz von Aufzeichnungen
    • Privatsphäre und Schutz von personenbezogener Information
    • Regelungen bezüglich kryptographischer Maßnahmen
  • Überprüfungen der Informationssicherheit
    • Unabhängige Überprüfung der Informationssicherheit
    • Einhaltung von Sicherheitsrichtlinien und –standards
    • Überprüfung der Einhaltung von technischen Vorgaben

A - Energieversorgungs-spezifische Referenzmaßnahmenziele und Maßnahmen (normativ)

Literaturhinweise (informativ)

Literaturhinweise (informativ)