Landingpage verfügbar in folgenden Sprachen:
oder wählen Sie Ihr TÜV Rheinland Land / Ihre Region aus:

Security Risk Assessment - EFSTAS

Security Risk Assessment (SRA) – Security Risiko Bewertung

EFSTAS - Security Risk Assessment

Die Firma EFSTAS Ltd. aus Großbritannien ist ein anerkannter Kursanbieter des TÜV Rheinland Functional Safety & Cyber Security Training Program.

Ziel des Trainings

Den Teilnehmern dieses Trainings wird ein grundlegendes Verständnis für die Prinzipien der Cyber Security Risiko Bewertung (Security Risk Assessment) von industriellen Automatisierungs-Steuerungssystemen (IACS: Industrial Automation Control Systems) in der Prozessindustrie nach IEC 62443 vermittelt.

Ziel des Trainings ist, dass Teilnehmer folgendes verstehen:

  • Die Rolle und den Prozess der Sicherheitsrisikobewertung (SRA), und zwar indem ein Verständnis für Security Risiken der Anlage (Betrieb, Werk, Einrichtung etc.) entwickelt wird und mögliche Folgen erkannt werden.
  • Das Konzept der Security Level - Targets (SL-T) und die Cyber Security Requirement Spezifikation (CSRS).
  • Das Verhältnis zwischen SL-T und CSRS bezüglich der Konzeption und Umsetzung von Sicherheitsmaßnahmen, die die Anforderungen für das definierte Security-Level erfüllen.

Teilnehmer, die über ausreichende Erfahrung verfügen und sowohl die Grundlagen als auch die Prüfung zur Sicherheitsrisikobewertung bestehen, haben Anspruch auf das renommierte Zertifikat „CySec Specialist (TÜV Rheinland)“ zur Sicherheitsrisikobewertung.

Das Training basiert auf einer praktischen Fallstudie. Die Teilnehmer werden durch den SRA-Prozess gemäß IEC 62443-3.2 geführt und entwickeln in den 3 Trainingstagen diese Fallstudie. Das Training enthält Unterrichtseinheiten sowie einen praktischen Teil, in dem die genannte Fallstudie erarbeitet wird.

Agenda

Alle anzeigen Ausblenden

Tag 1

Bietet eine Einführung in die Hintergründe, Konzepte und Prinzipien, die auf die Sicherheitsrisikobewertung, Kompetenz, Compliance, Sicherheitsmanagement und die relevanten internationalen Normen anzuwenden sind. Die Sicherheitsrisikobewertung anhand einer Risikomatrix wird ebenso diskutiert wie die Einführung in die Fallstudie.

Themen sind:

  • Einführung in das TUV Rheinland Cyber Security (CySec) Programm
  • Anforderungen an die Cybersicherheit in der IACS-Umgebung, einschließlich: IEC 61511 und der Richtlinie Network and Information Systems (NIS).
  • Sicherheitsmanagement und gemeinsame Managementsysteme
  • Einführung in die Sicherheit im IACS-Umfeld
  • Einführung in die relevanten Sicherheitsnormen
  • Einführung in den Security Lifecycle nach IEC 62443
  • Einführung in die spezifischen Normen zur Risikobewertung
  • Asset Inventory (Bestandsaufnahme) und deren Beziehung zur Sicherheitsrisikobewertung
  • Einführung in die Fallstudie
  • Asset Inventory (Bestandsaufnahme) - Sitzung 1
  • Arten der Risikobewertung - Quantitativ, Semi Quantitativ & Qualitativ
  • High-Level Sicherheitsrisikobewertung
    • Wie kann man die bisherige Prozessgefahrenanalyse (PHA) als Input für die high-level SRA verwenden?
    • Bestimmung der high-level Bedrohungsszenarien
    • Bestimmung der high-level Schwachstellen
    • Bestimmung des High-Level-Risikos
    • Festlegung des vorläufigen Sicherheitsniveaus - Ziel
    • SRA-Übung auf hohem Niveau - Sitzung 2

Tag 2

An diesem Tag geht es um die Weiterentwicklung der Konzepte, Prinzipien und Techniken, die am ersten Tag und in der Fallstudienarbeit durchgeführt wurden. Dabei werden die Ergebnisse der High-Level SRA und Bewertung der Risiken anhand ihrer Wahrscheinlichkeit und Konsequenz und Priorisierung für die Untersuchung in der Detailed-Level SRA verwendet. Der zweite Tag beinhaltet auch eine Erläuterung, welche Ergebnisse von der high-level SRA erwartet werden. Die Prinzipien und Aktivitäten der Abschnitte „Zoning“ und „Conduit“ der IEC 62443 werden ebenfalls erläutert.

Themen sind:

  • Die erforderlichen Ergebnisse der High-Level SRA
  • Anforderungen der IEC 62443 in Bezug auf die Übung „Zone“ und „Conduit“.
  • Trust Boundaries, Entry Points und weitere Vorteile der „Zone“ und „Conduit“ Übung.
  • Zuordnung von IACS zur Zone
  • Netzwerksegmentierung
  • Systemarchitektur
  • Zuweisung der Zonen-Übung - Sitzung 3

Tag 3

Basiert auf der Fallstudienarbeit von Tag eins und zwei, wobei die Ergebnisse der high-level SRA und der Übung „Zone“ und „Conduit“ herangezogen werden. Anschließend werden die priorisierten Risikozonen in der SRA detailliert untersucht. Ebenfalls behandelt wird der Zusammenhang zwischen der detaillierten SRA und den Angriffsbäumen und wie sie sowohl bei der Risikobewertung als auch bei der effektiven Umsetzung der Gegenmaßnahmen/Sicherheitskontrollen verwendet werden können.

Die behandelten Themen sind:

  • IEC 62443 SRA-Anforderungen auf Detailebene
  • Beschreibung der Angriffsflächen in der ICS-Umgebung
  • Detaillierter SRA-Prozess
    • Ermittlung von Schwachstellen einschließlich Schwachstellenbewertung
    • Festlegung der detaillierten Risiko- und Sicherheitsstufe - Ziele durch den Einsatz einer Sicherheitsrisikomatrix.

  • Bestimmung von Bedrohungen einschließlich Bedrohungsbeurteilung
  • Die Bedeutung des Sicherheitsniveaus - Ziele und ihr Zusammenhang mit den grundlegenden Anforderungen.
  • Wie ein Attack Tree genutzt werden kann, um einen risikobasierten Ansatz zur Risikominderung zu demonstrieren.
  • Detaillierte SRA-Übung - Sitzung 4
  • Risikomanagement (Akzeptanz)
  • IEC 62443 Erforderliche Dokumentation für SRA, einschließlich der Cybersecurity Requirement Specification (CRS).
  • Risikomanagement (Überwachung und Überprüfung)
  • Zusammenfassung
  • Abschluss.

Tag 4

Prüfung

Zielgruppe

Funktions-, Prozess- und technische Sicherheitsingenieure, Kontroll- und MSR-Ingenieure und -manager, Verfahrensingenieure, Betriebspersonal und Manager, Instandhaltungspersonal, Berater, Berater und Personen, die mit Management, Engineering, Betrieb und Sicherheit des Prozessbetriebs zu tun haben.

Darüber hinaus Personen mit PH&RA-Erfahrung, die an der Prozessgefahren- und Risikoanalyse und an den Security Risk Assessments und Cybersecurity Requirements Specification beteiligt sind.

Anforderungen

Gemäß des TÜV Rheinland Cyber Security Training Program:

  • Mindestens 3 Jahre Erfahrung in einem verwandten Bereich (z.B. Mess- und Regeltechnik, Verfahrenstechnik, IT/OT, Funktionale Sicherheit oder Cybersicherheit).
  • Studienabschluss (Diplom, Bachelor, Master, PhD etc.) oder gleichwertige ingenieurwissenschaftliche Erfahrung und Verantwortung, die vom Arbeitgeber bescheinigt wird.

Prüfung

Am vierten Tag findet eine vierstündige, zweiteilige Prüfung statt.

  1. Teil: 30 Multiple Choice Fragen, wobei eine Antwort pro Frage gegeben werden muss. Pro richtige Antwort gibt es 1 Punkt.
  2. Teil: 7 Offene Fragen, wobei es 10 zu erreichende Punkte pro Frage gibt.

Die Prüfung gilt als bestanden, wenn 75 % (75 Punkte) der Fragen korrekt beantwortet worden sind.

Preis

Ab £1950 GBP (Euro 2.100 € zzgl. der gesetzlichen MwSt.) pro Teilnehmer