TÜV Rheinland | TÜV Rheinland

Cybersecurity Design + Implementation

Mit diesem 4,5 tägigen Training erweitern Teilnehmer ihr Wissen sowie ihre Fachkenntnisse, um ihre Verantwortlichkeiten und Aktivitäten, die von den branchenweit anerkannten Sicherheitsstandards (z.B. IEC 62443) gefordert werden, umsetzen und durchführen zu können, mit dem Ziel:

das Risiko eines erfolgreichen Cyberangriffs zu verringern,
rechtliche und regulatorische Anforderungen zu erfüllen,
die Cybersicherheit Ihrer Systeme und die Geschäftsziele ihres Unternehmens umsetzen zu können.

Die Teilnehmer werden verstehen:

Die Anforderungen der international angewandten Norm IEC 62443
Die Konzepte und Prinzipien der internationalen Normen und Richtlinien, die den Bereich der Cybersicherheit abdecken und - wie und wann sie anzuwenden sind:
- Cybersicherheitsrisikobewertung (SRA) - IEC 61511-1, ISA TR84.00.09 & IEC 62443
- Cybersicherheits-Managementsystem (CSMS) - IEC 62443
- Informationssicherheits-Managementsystem (ISMS) - ISO 27000-Serie
- Überblick über ICS-Bedrohungen und -Schwachstellen - NIST SP 800 Series
- Cyber Resilience Act (CRA)
- EU Richtlinie zur Netzwerk- und Informationssicherheit (NIS2)
Der Lebenszyklus der Cybersicherheit und die wichtigsten Rollen und Verantwortlichkeiten
Risikobewertung zur Cybersicherheit und die Schnittstelle zur Spezifikation der Cybersicherheitsanforderungen
Die Maßnahmen zur Umsetzung der Anforderungen der IEC 62443
High-Level- und Low-Level- Design Anforderungen
Anforderungen an die Verifizierung und Validierung der Cybersicherheit
Die Anforderungen an Cybersicherheits-relevante Dokumente, um die Konformität nachzuweisen.

Zielgruppe

Ingenieure mit Schwerpunkt Cybersecurity oder Funktionale Sicherheit; Personen, die mit dem Management, der Technik, dem Betrieb und der Sicherheit von Prozessabläufen befasst sind, sowie Personen, die derzeit an Cybersecurity-Aktivitäten in ihren Anlagen beteiligt sind:

Anlageneigentümer/Endnutzer
Ingenieurbüros / EPCs
Systemintegratoren für Energie und Automatisierung
Berater sowie weitere Dienstleistungsanbieter – Service Provider.

Ziele

Ziel dieses Trainings ist es, den Teilnehmern ein grundlegendes Verständnis bezüglich der Cybersicherheits-Anforderungen für den Entwurf und der Implementierung von industriellen Automatisierungs- und Steuerungssystemen (IACS) im Hinblick auf die in der IEC 62443 genannten Maßnahmen zu vermitteln.

Dazu gehört:

Die Rolle und den Prozess der Cybersicherheitsrisikobewertung (SRA), um ein Verständnis für die Cybersicherheitsrisiken und die erforderlichen grundlegenden Cybersicherheitsmaßnahmen zu erlangen.
Die Beziehung zwischen dem Security Level, den man erreichen will (SL-T) - und der Spezifikation der Cybersicherheitsanforderungen (CRS) bezüglich des Entwurfs und der Implementierung von Maßnahmen, um die für den festgelegten SL-T erforderlichen Anforderungen zu erfüllen.
Wie diese Cybersicherheitsmaßnahmen / Gegenmaßnahmen implementiert, verifiziert und validiert werden sollten.
Die Bedeutung des Cybersecurity Lifecycle Management zur Erlangung und Aufrechterhaltung des Security Level.

Das Training beinhaltet praktische Fallstudien, die von den Teilnehmern während der vier Tage bearbeitet werden und die durch den Design- und Implementierungsprozess gemäß der IEC 62443 führen. Das Training ist modular aufgebaut und wird von einem Trainer in einer Präsenzveranstaltung mit Fallstudien durchgeführt.

Agenda

Alle anzeigen Ausblenden

Tag 1

Einführung in den Hintergrund, in die Konzepte und Prinzipien, die für den Entwurfs- und Umsetzungsprozess, der Kompetenz, der Einhaltung der Vorschriften, der Bewertung des Sicherheitsrisikos, den Zonen- und deren Verbindungen (Zones & Conduits -Z&C) und dem Cybersicherheitsmanagement gelten, mit Bezug auf die entsprechenden internationalen Normen. Der Entwurf und die Implementierung basieren auf den identifizierten SL- und IEC 62443-Anforderungen (Foundational Requirements - FR), die ebenso diskutiert werden wie die Einführung in die Fallstudie.

Grundlagen des Cybersicherheit-Design zu Prozessanlagen
Einführung in verwandte Normen zu Cybersicherheit und Funktionale Sicherheit
Einführung in den IEC 62443 Cybersicherheitslebenszyklus und Managementsystemprozesse
Rollen und Verantwortlichkeiten
Einführung in die Cybersecurity Risikobewertung
Spezifikation der Cybersecurity Anforderungen (CRS)

Tag 2 und Tag 3

Der zweite Tag baut auf den Konzepten, Grundsätzen und Techniken des ersten Tages und der Fallstudienarbeit auf. Dabei werden die Ergebnisse der Cybersicherheitsrisikobewertung SRA und der Spezifikation der Cybersicherheitsanforderungen CRS verwendet, um die Risiken und ihre Folgen zu bewerten und diese für die Untersuchung in der Detail-Level SRA zu priorisieren. Außerdem wird erläutert, was die Ergebnisse der High-Level SRA beinhalten. Das Festlegen von Zones und Conduits gemäß der IEC 62443 wird ebenfalls behandelt.

Identifizierungs- und Authentifizierungskontrolle (IAC) - Kontrolle des Zugangs zu Geräten und Informationen zum Schutz vor unbefugtem Zugriff
Nutzungskontrolle – Use Control (UC) - Kontrolle der Nutzung von Geräten und Informationen zum Schutz vor unbefugtem Betrieb
Systemintegrität (SI) - Sicherstellung der Integrität von Daten zum Schutz vor unbefugten Änderungen
Data Confidentiality (DC) - Sicherstellung der Vertraulichkeit von Daten zum Schutz vor Abhören
Restricted Data Flow (RDF) - Einschränkung des Datenflusses zur Verringerung der Angriffsmöglichkeiten
Timely Response to Event (TRE) - Rechtzeitige Reaktion zu Angriffen auf die Cybersicherheit. Abhilfemaßnahmen in sicherheitskritischen Situationen und Benachrichtigung der Prozessverantwortlichen und Behörden
Resource Availability (RA) - Sicherstellung der Verfügbarkeit aller Netzressourcen zum Schutz vor Denial-of-Service-Angriffen

Tag 4

Vertiefung der am zweiten Tag durchgeführten Fallstudienarbeit. Schließen der Lücken zwischen den Cybersicherheitsanforderungen und der tatsächlichen Implementierung. Prüfung der detaillierten Zonen und Verbindungen (Z&C) und der für jede Z&C anzuwendenden Cybersicherheitsmaßnahmen. Abschließend wird erläutert wie diese validiert und dokumentiert werden, um die notwendige Risikominderung und die Anforderungen der IEC 62443 nachzuweisen.

High Level Design-Anforderungen
Low Level Design-Anforderungen
Bewährte Praktiken der Implementierung
Anwenden von Cybersicherheitsmaßnahmen
Validierung und Abnahmetests
Erforderliche Dokumentation zum Nachweis der Konformität gemäß der IEC 62443

Tag 5

Dreistündige Prüfung, bestehend aus zwei Teilen.

Prüfung

Dreistündige Prüfung, bestehend aus zwei Teilen.

Teil 1: Multiple-Choice-Fragen (1 Punkt pro Frage)

Teil 2: Offene Fragen (4 Punkte pro Frage).

Die Prüfung gilt als bestanden, wenn 70% aller Fragen korrekt beantwortet werden.

Zulassungsvoraussetzungen

In Übereinstimmung mit den Regeln des TÜV Rheinland Functional Safety & Cybersecurity Training Programm:

Erfahrung:

Mindestens 3 Jahre Berufserfahrung in einem verwandten Bereich

(z.B. Control & Instrumentation, Verfahrenstechnik, IT/OT, Funktionale Sicherheit oder Cybersecurity).

Qualifikation:

Technische Ausbildung oder Studienabschluss (Bachelor, Master, Dipl.-Ing. etc.) in einer technischen Disziplin

oder

gleichwertige ingenieurwissenschaftliche Berufserfahrung und Verantwortung, die vom Arbeitgeber bescheinigt wird.

CySec Specialist (TÜV Rheinland) Zertifikat

Erfolgreiche Teilnehmer, die über die erforderliche Erfahrung verfügen und die Prüfung bestanden haben, erhalten das CySec Specialist (TÜV Rheinland) Zertifikat in Design & Implementation.

Halter dieses Zertifikates werden auf der TÜV Rheinland Certipedia Website gelistet.

Preis

€ 2.690 zzgl. MwSt.
Beinhaltet: Prüfung und CySec Specialist (TÜV Rheinland) Zertifikat (wenn Voraussetzungen erfüllt und die Prüfung bestanden ist), Trainingsmaterial, Mittagessen und Getränke.

€ 2.390 zzgl. MwSt.
Beinhaltet: keine Prüfung und kein CySec Specialist (TÜV Rheinland) Zertifikat, Trainingsmaterial, Mittagessen und Getränke.

Ohne Prüfung und CySec Specialist (TÜV Rheinland) Zertifikat.

Suche: