Nachweispflicht für KRITIS Betreiber (Korb 2) rückt immer näher
Betreiber Kritischer Infrastrukturen (aus den Sektoren Logistik, Transport, Finanz-&Versicherungswesen und Gesundheit) müssen bis zum 30.06.2019 einen Nachweis ihres ISMS erbracht haben
(PresseBox) - Ein Informationssicherheitsmanagementsystem (ISMS) ist nach IT Sicherheitsgesetz zwingend notwendig für Betreiber Kritischer Infrastrukturen. Das ISMS, etwa ein System nach ISO 27001, muss nach dem Stand der Technik abgesichert sein und alle IT-Komponenten berücksichtigen, die für das Erbringen der kritischen Dienstleistung (kDL) notwendig sind.
Stand der Technik und B3S (Branchenspezifische Sicherheitsstandards) ? was ist das?
Der Stand der Technik ist nicht universal festgelegt. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat es den betroffenen Branchen freigestellt, einen oder mehrere B3S zu erstellen, die den Stand der Technik in ihrer Branche (oder einem Teilbereich) definieren. Diese bilden einerseits die Grundlage für den Aufbau eines ISMS, dienen andererseits auch als Grundlage für die Prüfung.
Eine Übersicht über die veröffentlichten bzw. beantragten B3S ist auf der Webseite des BSI zu finden.
Was KRITIS-Betreiber jetzt tun müssen
Für Betreiber Kritischer Infrastrukturen wird folgende Vorgehensweise empfohlen, um den Anforderungen des IT-Sicherheitsgesetzes nachzukommen:
Geltungsbereich festgelegen und alle kDL einbeziehen
zugrundeliegende kDL-relevante Prozesse erheben und dokumentieren
kDL-relevanten IT-Systeme und deren Hilfssysteme identifizieren
eine Risikoanalyse und -bewertung der Systeme in Bezug auf die kDL durchführen
aus der Risikobewertung entstandene nötige Sicherheitsmaßnahmen planen, umsetzen und dokumentieren
Prüfgrundlage wählen (sofern ein B3S existiert, ist dieser empfohlen zu nehmen, da er den vom BSI akzeptierten Stand der Technik enthält)
Dokumentation entsprechend der Prüfgrundlage bereitstellen
Prüfung beauftragen
Wie läuft die Prüfung ab?
Nach der Beauftragung der GUTcert werden die Rahmenbedingungen, wie z.B. die Prüfgrundlage, Prüfungszeitraum etc. abgestimmt. Die GUTcert stellt anschließend ein geeignetes Prüfteam zusammen, das über die geforderten Kompetenzen (Verfahrenskompetenz, Auditkompetenz, IT-Sicherheitskompetenz sowie Branchenkompetenz) verfügt.
Der leitende Prüfer wird dann die Dokumente entsprechend der Prüfgrundlage anfordern und diese prüfen. Dies dient dazu, schon vorab erste große Mängel aufzudecken, die dann noch vor der Vor-Ort-Prüfung beseitigt werden können. Nach der Dokumentenprüfung wird ein detaillierter Prüfplan erstellt, in dem die einzelnen Prüfschritte dargelegt sind.
In der Vor-Ort-Prüfung wird dann die Wirksamkeit der eingeführten Regelungen begutachtet. Dazu werden Interviews geführt, IT Systeme und Räume besichtigt und weitere Dokumente eingesehen.
Erforderliche Nachweise
KRITIS Betreiber müssen als Nachweis der erfolgten Prüfung vier Nachweisdokumente an das BSI senden. Sie erhalten außerdem einen Auditbericht, den das BSI auf Anfrage nachfordern kann. Diese Dokumente stellt die GUTcert, nach erfolgreicher Prüfung vor Ort, für den KRITIS Betreiber aus.
Stichtag für das Einreichen beim BSI ist der 30.06.2019.
Schulungen zum Thema Informationssicherheitssysteme
Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.
Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie (+49 30 2332021-21) zur Verfügung.
Fragen rund um das Thema KRITIS und Anfragen zur Nachweiserbringung beantwortet Ihnen gerne Herr Marcel Däfler, Tel.: +49 30 2332021-79.
Die Zertifizierung von Integrierten Managementsystemen mit den Schwerpunkten Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit sowie Energiemanagement ist das Hauptgeschäft der GUTcert. Weitere Kernkompetenzen der GUTcert sind die Verifizierung von Treibhausgasemissionen nach anerkannten Standards sowie die Zertifizierung der Nachhaltigkeitsanforderungen für Biomasse.
Als Mitglied der AFNOR Gruppe bietet die GUTcert ihre Zertifizierungsdienstleistungen im internationalen Netzwerk an, welches weltweit 28 Niederlassungen umfasst und mit 1.500 Auditoren und 20.000 Experten Kunden in über 90 Ländern betreut.
Die GUTcert Akademie bündelt das Fachwissen von Auditoren und anderen Experten, um Teilnehmern direkt anwendbare Kompetenzen mit nachhaltigem Mehrwert zu vermitteln.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Die Zertifizierung von Integrierten Managementsystemen mit den Schwerpunkten Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit sowie Energiemanagement ist das Hauptgeschäft der GUTcert. Weitere Kernkompetenzen der GUTcert sind die Verifizierung von Treibhausgasemissionen nach anerkannten Standards sowie die Zertifizierung der Nachhaltigkeitsanforderungen für Biomasse.Als Mitglied der AFNOR Gruppe bietet die GUTcert ihre Zertifizierungsdienstleistungen im internationalen Netzwerk an, welches weltweit 28 Niederlassungen umfasst und mit 1.500 Auditoren und 20.000 Experten Kunden inüber 90 Ländern betreut.Die GUTcert Akademie bündelt das Fachwissen von Auditoren und anderen Experten, um Teilnehmern direkt anwendbare Kompetenzen mit nachhaltigem Mehrwert zu vermitteln.
Datum: 09.04.2019 - 11:10 Uhr
Sprache: Deutsch
News-ID 1712788
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner:
Stadt:
Berlin
Telefon:
Kategorie:
IT, New Media & Software
Anmerkungen:
Dieser Fachartikel wurde bisher 56 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Nachweispflicht für KRITIS Betreiber (Korb 2) rückt immer näher
"
steht unter der journalistisch-redaktionellen Verantwortung von
GUTcert GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).