Richtlinie VDI/VDE2182
Richtlinie VDI/VDE2182
Informationssicherheit in der industriellen Automatisierung
© fotolia.com - Volker Pape
Informationssicherheit in der industriellen Automatisierung
© fotolia.com - Volker Pape
Titel: | Informationstechnik |
Arbeitsgebiet: | Automatisierungstechnische Anwendungen |
Name des Standards: | Informationssicherheit in der industriellen Automatisierung |
Inhalt und Anwendungsbereich
Die Richtlinie VDI/VDE 2182 wurde vom Fachausschuss 5.22 „Security“ der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA) erarbeitet, in dem Vertreter der herstellenden und der anwendenden Industrie sowie von Hochschulen und beratenden Unternehmen mitgewirkt haben. Die Richtlinie beschreibt, wie die Informationssicherheit von Automatisierungsgeräten sowie automatisierten Maschinen und Anlagen durch die Umsetzung von konkreten Maßnahmen erreicht werden kann.
Methodik
Die Richtlinie zeigt die Abhängigkeiten zwischen den Herstellern von Automatisierungsgeräten, den Maschinenbauern und System-Integratoren sowie den Betreibern von Fertigungsanlagen auf.
Die Methodik kann auf bereits existierende und auf in Entstehung befindliche Betrachtungsgegenstände angewendet werden.
Das in der Richtlinie beschriebene Vorgehensmodell basiert auf einem prozessorientierten und zyklischen Ansatz. Das Modell besteht dabei aus mehreren Prozessschritten.
Der Prozess selbst muss zu bestimmten Zeiten (zeitlich und/oder ereignisgesteuert) durchlaufen werden, um die Informationssicherheit des Betrachtungsgegenstandes über dessen gesamten Lebenszyklus sicherzustellen.
Der Betrachtungsgegenstand und dessen spezifische beziehungsweise typische Einsatzumgebung muss zunächst im Rahmen einer Strukturanalyse definiert werden. Die Strukturanalyse bildet demnach die Grundlage für eine Abarbeitung der einzelnen Prozessschritte. Weitere Grundlage bildet die Definition der Anlässe, bei welchem Ereignis respektive nach welchen Zeitabschnitten der Prozess zu starten ist. Hiermit wird klar, dass der Prozess auf einem zyklischen, iterativen Modell beruht. Eine weitere essentielle Grundlage bildet die Definition der Rollen, also derjenigen Personen, die in den jeweiligen Prozessschritten aktiv beteiligt sind und dabei eine bestimmte Aufgabe (unter anderem Verantwortlichkeit) übernehmen müssen.
Das Modell selbst sieht die folgenden acht Prozessschritte vor:
1. Assets identifizieren
2. Bedrohungen analysieren
3. Relevante Schutzziele ermitteln
4. Risiken analysieren und bewerten
5. Schutzmaßnahmen aufzeigen und Wirksamkeit bewerten
6. Schutzmaßnahmen auswählen
7. Schutzmaßnahmen umsetzen
8. Prozessaudit durchführen
Die Ergebnisse als auch der Entscheidungsweg eines jeden Prozessschrittes müssen dokumentiert werden. Am Ende steht eine Prozessdokumentation zur Verfügung, die Nachvollziehbarkeit gewährleistet und letztlich Grundlage für eine Auditierung bildet.
Die Anwendung des Vorgehensmodells (Blatt 1 der VDI-Richtlinie 2182) wird aus Sicht des Herstellers, Integrators beziehungsweise Maschinenbauers und Betreibers in den Blättern 2, 3 und 4 anhand konkreter Beispiele beschrieben. Diese werden zurzeit erarbeitet und voraussichtlich Anfang 2010 veröffentlicht (Entwurfsfassung).
Der beschriebene Prozess unterstützt den Anwender der Methodik bei der Bestimmung und Validierung einer angemessenen und wirtschaftlichen Sicherheitslösung für einen konkreten Betrachtungsgegenstand.
Bisherige Ausgaben
VDI/VDE 2182 Blatt 1: August 2007
PCI DSS |
|
||||||
Richtlinie VDI/VDE2182 |
|
||||||
Cobit |
|
||||||
ITIL |
|