Ausbildung zum ICS Security Manager (DGI®)

Erwerben Sie die spezifische Sachkunde eines ICS Security Manager für die
Initiierung, Planung und Etablierung eines Informationssicherheitsmanagementsystems (ISMS)
im Kontext des Betriebs, der Herstellung und der Integration von Produktions- und Fertigungsprozessen
sowie von digitalen und automatisierten Anlagen gemäß IEC 62443, ISO 27001 und BSI IT-Grundschutz

Beschreibung
Im Kontext der Digitalisierung und Automation von Produktions- und Fertigungsprozessen sowie technischen Anlagen werden stetig mehr Informationen, Daten und Kennzahlen verarbeitet, um die spezifischen Leistungen der Systeme zu überwachen und zu verbessern.

Die hohe bauliche und technische Komplexität von Produktions- und Fertigungsprozessen sowie von digitalen und automatisierten Infrastrukturen bedingt eine deutlich intensivere Zusammenarbeit zwischen den Betreibern, den Herstellern und den Integratoren der Operational Technology (OT) im Vergleich zum eher klassischen IT-Umfeld im Büroalltag.

Auf der Seite eines Betreibers von Produktions- und Fertigungsprozessen sowie technischen Anlagen besteht die Haupttätigkeit eines ICS (Industrial Control System) Security Manager darin, die Geschäftsführung bzw. oberste Leitung bei der Wahrnehmung ihrer Organisationspflichten zur Sicherstellung eines angemessenen OT-Informationssicherheitsniveaus bei der Durchführung der Produktions- und Fertigungsprozesse sowie beim Betrieb der digitalen und automatisierten Infrastrukturen zu unterstützen und eine wirksame OT-Informationssicherheitsstrategie im Einklang mit den Organisationszielen abzustimmen.

Für die Abstimmung und die anschließende Umsetzung der OT-Informationssicherheitsstrategie orientieren sich sachkundige ICS Security Manager regelmäßig an der international bekannten Normenreihe IEC 62443 und initiieren ein OT-spezifisches Informationssicherheitsmanagementsystem (OT-ISMS).

Im Rahmen des OT-ISMS erstellen ICS Security Manager Sicherheitskonzepte und Regelungen für die Inventarisierung und Steuerung der Unternehmenswerte (Assets) wie Daten, (IT-) Systeme und Anlagenbestandteile sowie für die Bestimmung des spezifischen Schutzbedarfs bzw. der geforderten Security Level und Protection Level der einzelnen Assets. Auf der Basis von ergänzenden Risikoanalysen und Risikobewertungen leiten ICS Security Manager sodann die relevanten Sicherheitsmaßnahmen ab, um die Assets angemessen zu schützen.

Als Nachweis der Aktivitäten des ICS Security Manager und darüber hinaus für die erfolgreiche Integration des OT-ISMS in die Produktions- und Fertigungsprozesse sowie in den Betrieb der technischen Anlagen müssen ICS Security Manager die dafür relevanten Managementprozesse etablieren und steuern sowie die erforderliche Dokumentation erstellen und fortlaufend weiterentwickeln.

Weitere Aufgaben, die in die Zuständigkeit eines ICS Security Manager fallen, sind nicht zuletzt die Überprüfung und Behandlung eingetretener Sicherheitsvorfälle und Schadensereignisse sowie die Durchsetzung wirksamer Sicherheitsmaßnahmen für die bestmögliche Vermeidung weiterer Sicherheitsvorfälle.

Aus der Perspektive eines Herstellers oder eines Integrators von Produktions- und Fertigungsprozessen sowie von technischen Anlagen besteht die Haupttätigkeit eines ICS Security Manager darin, die Erwartungshaltung und Anforderungen der Betreiber zu verstehen und im Rahmen der Produktentwicklung und bei der Produktübergabe eigenverantwortlich Sicherheitsmaßnahmen zu planen und umzusetzen.

Die Ausbildung zum ICS Security Manager orientiert sich an den Empfehlungen für Fortbildungs- und Qualifizierungsmaßnahmen im ICS-Umfeld des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Ziel der Ausbildung
Der Schwerpunkt der Ausbildung liegt auf der Vermittlung von relevanten Fachbegriffen aus dem Bereich der Informationssicherheit im Kontext der Digitalisierung und Automation von Produktions- und Fertigungsprozessen sowie technischen Anlagen, der typischen Aufgaben eines ICS Security Managers sowie der erforderlichen Sachkenntnisse für den Aufbau eines OT-spezifischen Informationssicherheitsmanagementsystems (OT-ISMS).

Unter Zuhilfenahme von zahlreichen Leseproben zu relevanten Sicherheitskonzepten eines ISMS werden die Umfänge und die Formulierungen von geforderten Nachweisen des ISMS umfassend dargelegt.

Nach Abschluss der Ausbildung können Sie ein normenkonformes OT-ISMS initiieren und die Managementprozesse des OT-ISMS organisationsspezifisch weiterentwickeln.

Inhalte

• Rechtliche Anforderungen an die OT-Informationssicherheit
• Anforderungen an Hersteller, Betreiber und Integratoren
• Fachbegriffe der Normen und der OT-Informationssicherheit wie ICS und IACS
• IT-Management und OT-Informationssicherheit
• „Defense in Depth“-Strategie beim Betrieb von ICS und IACS
• Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung
• Ziele der OT-Informationssicherheit
• Bedrohungslagen der Cyber Security in der OT
• OT Compliance
• OT Governance
• NIS2 und KRITIS
• Überblick ITIL (Servicemanagement)
• OT Controlling
• Kennzahlen und KPIs der OT-Informationssicherheit
• Aufgaben des ICS Security Manager bei der Planung, Kontrolle und Steuerung des OT-ISMS
• Befugnisse des ICS Security Manager
• Die Sicherheitsorganisation und Rollen im OT-ISMS
• Verteilung der Verantwortlichkeiten des OT-ISMS auf der Basis des „PDCA-Modells“
• IEC 62443-Normenreihe
• VDI/VDE-Richtlinie 2182
• Zusammenwirken der IEC 62443 mit ISO 27001
• Zusammenwirken der IEC 62443 mit ISO 22301
• Planung, Initiierung, Betrieb, Kontrolle und Aufrechterhaltung eines OT-ISMS
• Wesentliche Schritte für die Einführung eines OT-ISMS
• Ressourcen und Fähigkeiten zum Betrieb eines OT-ISMS
• Inventarisierung und Erfassung des Informationsverbundes
• Zonen und Conduits
• Schutzbedarfsfeststellung
• Security Level und Protection Level
• Informationssicherheitsrisikomanagement gemäß ISO 27005 / ISO 31000
• OT-Risikolagen und Bedrohungsszenarien
• Die OT-Risikobehandlung und Maßnahmenumsetzung
• Die Erstellung eines OT-Sicherheitskonzeptes
• Umsetzung des OT-Informationssicherheitsprozesses
• Best Practice „BSI IT-Grundschutz“
• Sicherheitszertifizierungen und Auditierung
• Kritischer Austausch zu relevanten Fragestellungen

Zielgruppe

• Angehende ICS-Sicherheitsbeauftragte
• OT-Leitung (Operational Technology)
• OT-Verantwortliche
• Verantwortliche in der OT-Informationssicherheit
• Verantwortliche in der Revision / IT-Revision
• OT-Führungskräfte
• OT-Projektleitung
• Unternehmensberater
• Wirtschaftsprüfer

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), Personalisiertes Siegel (DGI®)