Welche Standards gibt es?

Richtlinie VDI/VDE2182

Richtlinie VDI/VDE2182

Informationssicherheit in der industriellen Automatisierung

Titel: Informationstechnik
Arbeitsgebiet: Automatisierungstechnische Anwendungen
Name des Standards: Informationssicherheit in der industriellen Automatisierung

Inhalt und Anwendungsbereich

Die Richtlinie VDI/VDE 2182 wurde vom Fachausschuss 5.22 „Security“ der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA) erarbeitet, in dem Vertreter der herstellenden und der anwendenden Industrie sowie von Hochschulen und beratenden Unternehmen mitgewirkt haben. Die Richtlinie beschreibt, wie die Informationssicherheit von Automatisierungsgeräten sowie automatisierten Maschinen und Anlagen durch die Umsetzung von konkreten Maßnahmen erreicht werden kann.

Methodik

Die Richtlinie zeigt die Abhängigkeiten zwischen den Herstellern von Automatisierungsgeräten, den Maschinenbauern und System-Integratoren sowie den Betreibern von Fertigungsanlagen auf.
Die Methodik kann auf bereits existierende und auf in Entstehung befindliche Betrachtungsgegenstände angewendet werden.
Das in der Richtlinie beschriebene Vorgehensmodell basiert auf einem prozessorientierten und zyklischen Ansatz. Das Modell besteht dabei aus mehreren Prozessschritten.
Der Prozess selbst muss zu bestimmten Zeiten (zeitlich und/oder ereignisgesteuert) durchlaufen werden, um die Informationssicherheit des Betrachtungsgegenstandes über dessen gesamten Lebenszyklus sicherzustellen.

Der Betrachtungsgegenstand und dessen spezifische beziehungsweise typische Einsatzumgebung muss zunächst im Rahmen einer Strukturanalyse definiert werden. Die Strukturanalyse bildet demnach die Grundlage für eine Abarbeitung der einzelnen Prozessschritte. Weitere Grundlage bildet die Definition der Anlässe, bei welchem Ereignis respektive nach welchen Zeitabschnitten der Prozess zu starten ist. Hiermit wird klar, dass der Prozess auf einem zyklischen, iterativen Modell beruht. Eine weitere essentielle Grundlage bildet die Definition der Rollen, also derjenigen Personen, die in den jeweiligen Prozessschritten aktiv beteiligt sind und dabei eine bestimmte Aufgabe (unter anderem Verantwortlichkeit) übernehmen müssen.

Das Modell selbst sieht die folgenden acht Prozessschritte vor:

1. Assets identifizieren
2. Bedrohungen analysieren
3. Relevante Schutzziele ermitteln
4. Risiken analysieren und bewerten
5. Schutzmaßnahmen aufzeigen und Wirksamkeit bewerten
6. Schutzmaßnahmen auswählen
7. Schutzmaßnahmen umsetzen
8. Prozessaudit durchführen

Die Ergebnisse als auch der Entscheidungsweg eines jeden Prozessschrittes müssen dokumentiert werden. Am Ende steht eine Prozessdokumentation zur Verfügung, die Nachvollziehbarkeit gewährleistet und letztlich Grundlage für eine Auditierung bildet.

Die Anwendung des Vorgehensmodells (Blatt 1 der VDI-Richtlinie 2182) wird aus Sicht des Herstellers, Integrators beziehungsweise Maschinenbauers und Betreibers in den Blättern 2, 3 und 4 anhand konkreter Beispiele beschrieben. Diese werden zurzeit erarbeitet und voraussichtlich Anfang 2010 veröffentlicht (Entwurfsfassung).

Der beschriebene Prozess unterstützt den Anwender der Methodik bei der Bestimmung und Validierung einer angemessenen und wirtschaftlichen Sicherheitslösung für einen konkreten Betrachtungsgegenstand.

Bisherige Ausgaben

VDI/VDE 2182 Blatt 1: August 2007

Standards in diesem Bereich

PCI DSS
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Payment Card Industry Data Security Standard v 1.2
Richtlinie VDI/VDE2182
Titel: Informationstechnik
Arbeitsgebiet:Automatisierungstechnische Anwendungen
Name des Standards:Informationssicherheit in der industriellen Automatisierung
Cobit
Titel: Informationstechnik
Arbeitsgebiet:IT-Governance
Name des Standards:Control Objectives for Information and Related Technology
ITIL
Titel: Informationstechnik
Arbeitsgebiet:IT-Governance
Name des Standards:Information Technology Infrastructure Library