Cyber-Sicherheit (ICA) – Unabhängige Bewertung und Zertifizierung
WAS IST EINE CYBERSICHERHEITSMISSION?
In einer zunehmend vernetzten und digitalen Welt ist die Bahn- und Nahverkehrsindustrie auf Informations- und Kommunikationstechnologien angewiesen. Die Sicherheit von Transportsystemen kann im Falle von Cyber-Bedrohungen Auswirkungen auf die Betriebssicherheit und Effizienz der Bahnindustrie haben. In diesem schwankenden Kontext müssen Bahnbetreiber und Industrielle einen globalen Ansatz verfolgen, indem sie diese neuen Risiken mit einbeziehen. Dazu müssen sie diese Cybersicherheitsrisiken identifizieren und Cybersicherheits-Managementsysteme einrichten, die diese Risiken mindern, Vertrauen in die Kontrolle ihrer Anfälligkeit geben und einen sicheren und zuverlässigen Service gewährleisten.
Da sich der Eisenbahnmarkt von einer traditionellen, mechanischen und schweren Industrie zu einer stärker vernetzten Umgebung bewegt, wird es notwendig, sich auf neue Referenzdokumente und Normen zu verlassen. Obwohl einige Texte aus anderen Ländern und Sektoren, wie z.B. ISO 2700X, IEC 62443 oder NIST (National Institute of Standards and Technology) Veröffentlichungen existieren, gibt es derzeit kein einheitliches Referenzdokument (Normen,...), das auf den Bahnsektor angepasst ist.
CERTIFER hat sich darauf konzentriert, den Rahmen für eine unabhängige Bewertung der Cybersicherheit zu definieren, indem es die anerkanntesten Texte, die in anderen Sektoren und in bestimmten Ländern verwendet werden, referenziert und analysiert hat. CERTIFER ist nun in der Lage, eine spezifische Methode zu definieren, die alle Bedürfnisse unserer Kunden mit maßgeschneiderten Lösungen erfüllen kann.
Wie von den Normen gefordert, die auch menschliche Faktoren einbeziehen, kann eine unabhängige Cybersicherheitsbewertung an jedem Gerät oder Teil des Bahnsystems durchgeführt werden, indem Daten gesendet, verarbeitet oder empfangen werden, um sicherzustellen, dass diese Daten nicht verändert, beschädigt oder für eine unangemessene Verwendung abgefangen wurden.
Die Norm ISO 27005 (Informationstechnologie - Sicherheitstechniken - Informationssicherheits-Risikomanagement) wird als wichtige Richtlinie verwendet, um Risiken auf ein akzeptables Niveau zu managen und zu mindern. CERTIFER ist in der Lage, einen Cybersecurity-Service vom Beginn der Planungsaktivitäten (Überprüfung von Cybersecurity-Managementplänen, Asset-Bewertung, Incident Management,...) bis hin zu den Testaktivitäten (White / Grey / Black Box Testauswertung), Überprüfung von Angriffsszenarien und deren Konsequenzen durchzuführen.
WAS IST DIE ROLLE DES UNABHÄNGIGEN CYBERSICHERHEITSGUTACHTERS?
CERTIFER kann u. a. die folgenden Tätigkeiten ausführen
- Überprüfung von Cybersicherheits-Managementplänen;
- Überprüfung der Risikomanagementprozesse;
- Überprüfung der Richtlinie für das Vorfallmanagement;
- Dokumentenreviews (technische Spezifikationen, Architekturdiagramme, Textspezifikationen und Berichte...);
- Bewertung von Gegenmaßnahmen und deren Auswirkungen zur Risikominimierung;
- …
Unabhängige Bewertung der Cybersicherheit
Wir bewerten unabhängig die Cybersicherheit von Komponenten und Systeme der Eisenbahninfrastruktur und Schienenfahrzeuge nach den allgemeinen einschlägigen Normen IEC 62443, ISO 27001 sowie bahnspezifisch nach TS 50701.
Unser Angebot richtet sich an Verkehrsunternehmen, Schienenfahrzeughersteller, Systemintegratoren und Komponentenhersteller die nachweisen müssen, daß ihre Prozesse, Produkte und Systeme den Anforderungen an IT-Sicherheit aus gesetzlichen, regulatorischen oder vertraglichen Verpflichtungen genügen.
Auch richtet sich das Angebot an aufsichtsführende Behörden, die sich zur Ausübung ihrer Aufsichtspflichten sachkundiger Stellen oder Personen bedienen wollen.
Wir betrachten die Cybersicherheit nicht nur hinsichtlich den allgemeinen Schutzzielen der IT-Sicherheit sondern führen die Bewertung auch unter Berücksichtigung der funktionalen Sicherheitsziele durch und bieten damit einen ganzheitlichen Bewertungsansatz der die Anforderungen der CENELEC-Normen 5012x sowie der IT-Sicherheitsnormen gleichermaßen berücksichtigt.
Wir begutachten und zertifizieren Produkte und Prozesse nach IEC 62443 sowie TS 50701 aus einer Hand und bieten Ihnen dazu entsprechende Inspektionsleistungen und Zertifizierungsprogramme an.
Mit unserem Reifegradmodell kann eine wiederholbare und nachprüfbare Aussage über den aktuellen Reifegrad des Entwicklungsprozesses getroffen werden, der Ihnen wertvolle Hinweis auf mögliches Verbesserungspotential Ihrer Prozesse liefert.
Am Ende steht eine Inspektionsbescheinigung oder ein Zertifikat zur Bestätigung der Übereinstimmung mit den normativen Anforderungen und eine Aussage zum Organisationsreifegrad.
Unsere Leistungen
Bewertung der Nachweise hinsichtlich Plausibilität und Normenkonformität
Durchführung von Audits durch zertifizierte 3rd Party Auditoren zur Bestätigung der Normenkonformität
Projektbegleitend laufende Befunddokumentation
Erstellung des Bewertungsberichtes optional mit Inspektionsbescheinigung
Ausstellung eines Zertifikates basierend auf unserem Zertifizierungsprogramm
Stellen Sie bei uns einen Antrag auf Zertifizierung Ihrer Komponenten und Systeme der Eisenbahninfrastruktur und Schienenfahrzeuge und erhalten Sie Ihr individuelles Angebot.
Zertifizierungsprogramm für Produkte und Prozesse
Zertifizierungsvereinbarung für Produkte und Prozesse
Gerne stellen wir Ihnen auch folgende Informationen auf Anfrage bereit:
- Verfahren zum Umgang mit Beschwerden und Einsprüchen
- Gebühren, die gegenüber den Antragsstellern und Kunden erhoben werden
- Antragsformular
- Eine Liste der zertifizierten Komponenten und Systeme mit Angaben der Zertifizierungsnummer, Produktbezeichnung, die Norm(en) und/oder andere normative Dokumente, nach denen die Konformität zertifiziert wurde, Gültigkeit des Zertifikats
Kontaktieren Sie uns: zs.germany@certifer.eu