Security Risk Assessment (SRA) – Security Risiko Bewertung

Bietet eine Einführung in die Hintergründe, Konzepte und Prinzipien, die auf die Sicherheitsrisikobewertung, Kompetenz, Compliance, Sicherheitsmanagement und die relevanten internationalen Normen anzuwenden sind. Die Sicherheitsrisikobewertung anhand einer Risikomatrix wird ebenso diskutiert wie die Einführung in die Fallstudie.

Themen sind:

• Einführung in das TUV Rheinland Cybersecurity (CySec) Programm
• Anforderungen an die Cybersicherheit in der IACS-Umgebung, einschließlich: IEC 61511 und der Richtlinie Network and Information Systems (NIS).
• Sicherheitsmanagement und gemeinsame Managementsysteme
• Einführung in die Sicherheit im IACS-Umfeld
• Einführung in die relevanten Sicherheitsnormen
• Einführung in den Security Lifecycle nach IEC 62443
• Einführung in die spezifischen Normen zur Risikobewertung
• Asset Inventory (Bestandsaufnahme) und deren Beziehung zur Sicherheitsrisikobewertung
• Einführung in die Fallstudie
• Asset Inventory (Bestandsaufnahme) - Sitzung 1
• Arten der Risikobewertung - Quantitativ, Semi Quantitativ & Qualitativ
• High-Level Sicherheitsrisikobewertung
  
  • Wie kann man die bisherige Prozessgefahrenanalyse (PHA) als Input für die high-level SRA verwenden?
  • Bestimmung der high-level Bedrohungsszenarien
  • Bestimmung der high-level Schwachstellen
  • Bestimmung des High-Level-Risikos
  • Festlegung des vorläufigen Sicherheitsniveaus - Ziel
  • SRA-Übung auf hohem Niveau - Sitzung 2

An diesem Tag geht es um die Weiterentwicklung der Konzepte, Prinzipien und Techniken, die am ersten Tag und in der Fallstudienarbeit durchgeführt wurden. Dabei werden die Ergebnisse der High-Level SRA und Bewertung der Risiken anhand ihrer Wahrscheinlichkeit und Konsequenz und Priorisierung für die Untersuchung in der Detailed-Level SRA verwendet. Der zweite Tag beinhaltet auch eine Erläuterung, welche Ergebnisse von der high-level SRA erwartet werden. Die Prinzipien und Aktivitäten der Abschnitte „Zoning“ und „Conduit“ der IEC 62443 werden ebenfalls erläutert.

Themen sind:

• Die erforderlichen Ergebnisse der High-Level SRA
• Anforderungen der IEC 62443 in Bezug auf die Übung „Zone“ und „Conduit“.
• Trust Boundaries, Entry Points und weitere Vorteile der „Zone“ und „Conduit“ Übung.
• Zuordnung von IACS zur Zone
• Netzwerksegmentierung
• Systemarchitektur
• Zuweisung der Zonen-Übung - Sitzung 3

Basiert auf der Fallstudienarbeit von Tag eins und zwei, wobei die Ergebnisse der high-level SRA und der Übung „Zone“ und „Conduit“ herangezogen werden. Anschließend werden die priorisierten Risikozonen in der SRA detailliert untersucht. Ebenfalls behandelt wird der Zusammenhang zwischen der detaillierten SRA und den Angriffsbäumen und wie sie sowohl bei der Risikobewertung als auch bei der effektiven Umsetzung der Gegenmaßnahmen/Sicherheitskontrollen verwendet werden können.

Die behandelten Themen sind:

• IEC 62443 SRA-Anforderungen auf Detailebene
• Beschreibung der Angriffsflächen in der ICS-Umgebung
• Detaillierter SRA-Prozess
  
  • Ermittlung von Schwachstellen einschließlich Schwachstellenbewertung
  • Festlegung der detaillierten Risiko- und Sicherheitsstufe - Ziele durch den Einsatz einer Sicherheitsrisikomatrix.

• Bestimmung von Bedrohungen einschließlich Bedrohungsbeurteilung
• Die Bedeutung des Sicherheitsniveaus - Ziele und ihr Zusammenhang mit den grundlegenden Anforderungen.
• Wie ein Attack Tree genutzt werden kann, um einen risikobasierten Ansatz zur Risikominderung zu demonstrieren.
• Detaillierte SRA-Übung - Sitzung 4
• Risikomanagement (Akzeptanz)
• IEC 62443 Erforderliche Dokumentation für SRA, einschließlich der Cybersecurity Requirement Specification (CRS).
• Risikomanagement (Überwachung und Überprüfung)
• Zusammenfassung
• Abschluss.

Prüfung