HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementAllgemeine Informationssicherheits-Managementsysteme (ISMS)Sektorspezifische ISMSRichtlinie VDI/VDE2182ISO/IEC 27011ISO/IEC TR 27015ISO/IEC TR 27019PCI DSSSicherheitsmaßnahmen und MonitoringRisikomanagementStandards mit IT-SicherheitsanforderungenVorschriftenEvaluierung von IT-SicherheitNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

Richtlinie VDI/VDE2182

Richtlinie VDI/VDE2182 „Informationssicherheit in der industriellen Automatisierung“

 Titel:  Informationstechnik
 Arbeitsgebiet:  Automatisierungstechnische Anwendungen in der Fabrikautomation und in der Prozessindustrie
 Name des Standards:  Informationssicherheit in der industriellen Automatisierung

   
Inhalt und Anwendungsbereich

Die Richtlinie VDI/VDE 2182 wurde vom Fachausschuss 5.22 „Security“ der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA) erarbeitet, in dem Vertreter der herstellenden und der anwendenden Industrie sowie von Hochschulen und beratenden Unternehmen mitgewirkt haben. Die Richtlinie beschreibt, wie die Informationssicherheit von Automatisierungsgeräten sowie automatisierten Maschinen und Anlagen durch die Umsetzung von konkreten Maßnahmen erreicht werden kann.

Methodik

Die Richtlinie zeigt die Abhängigkeiten zwischen den Herstellern von Automatisierungsgeräten, den Maschinenbauern und System-Integratoren sowie den Betreibern von Fertigungsanlagen auf.
Die Methodik kann auf bereits existierende und auf in Entstehung befindliche Betrachtungsgegenstände angewendet werden.
Das in der Richtlinie beschriebene Vorgehensmodell basiert auf einem prozessorientierten und zyklischen Ansatz. Das Modell besteht dabei aus mehreren Prozessschritten.
Der Prozess selbst muss zu bestimmten Zeiten (zeitlich und/oder ereignisgesteuert) durchlaufen werden, um die Informationssicherheit des Betrachtungsgegenstandes über dessen gesamten Lebenszyklus sicherzustellen.

Der Betrachtungsgegenstand und dessen spezifische beziehungsweise typische Einsatzumgebung muss zunächst im Rahmen einer Strukturanalyse definiert werden. Die Strukturanalyse bildet demnach die Grundlage für eine Abarbeitung der einzelnen Prozessschritte. Weitere Grundlage bildet die Definition der Anlässe, bei welchem Ereignis respektive nach welchen Zeitabschnitten der Prozess zu starten ist. Hiermit wird klar, dass der Prozess auf einem zyklischen, iterativen Modell beruht. Eine weitere essentielle Grundlage bildet die Definition der Rollen, also derjenigen Personen, die in den jeweiligen Prozessschritten aktiv beteiligt sind und dabei eine bestimmte Aufgabe (unter anderem Verantwortlichkeit) übernehmen müssen.

Das Modell selbst sieht die folgenden acht Prozessschritte vor:

1. Assets identifizieren
2. Bedrohungen analysieren
3. Relevante Schutzziele ermitteln
4. Risiken analysieren und bewerten
5. Schutzmaßnahmen aufzeigen und Wirksamkeit bewerten
6. Schutzmaßnahmen auswählen
7. Schutzmaßnahmen umsetzen
8. Prozessaudit durchführen

Die Ergebnisse als auch der Entscheidungsweg eines jeden Prozessschrittes müssen dokumentiert werden. Am Ende steht eine Prozessdokumentation zur Verfügung, die Nachvollziehbarkeit gewährleistet und letztlich Grundlage für eine Auditierung bildet.

Die Anwendung des Vorgehensmodells (Blatt 1 der VDI-Richtlinie 2182) wird aus Sicht des Herstellers, Integrators beziehungsweise Maschinenbauers und Betreibers in den Blättern 2, 3 und 4 anhand konkreter Beispiele beschrieben. Diese werden zurzeit erarbeitet und voraussichtlich Anfang 2010 veröffentlicht (Entwurfsfassung).

Der beschriebene Prozess unterstützt den Anwender der Methodik bei der Bestimmung und Validierung einer angemessenen und wirtschaftlichen Sicherheitslösung für einen konkreten Betrachtungsgegenstand.

Bisherige Ausgaben

VDI/VDE 2182 Blatt 1: August 2007

 

 

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite