Einer der ersten Schritte in jedem Projekt muss die Analyse der IT-Sicherheitsanforderungen desselben sein. Die Analyse und Dokumentation der bestehenden IT-Richtlinie sowie Kundenerwartungen an die GA-seitigen IT-Dienste zu Beginn des Projekts und während der gesamten Betriebsphase des Systems sind wichtig.

In dieser Phase müssen die folgenden Aspekte diskutiert werden. Mögliche Antworten sind als Richtwerte gedacht. Diese Aspekte geben einen guten Überblick über das allgemeine Setup des Projekts bezüglich IT-Sicherheit.

IT-Sicherheitsstufe

Bestimmen Sie die erforderliche IT-Sicherheitsstufe:

  • Der Kunde kann keine klare Richtung vorgeben: Standard / typische Stufe.
  • Gemäss Standard wie IEC62443.
  • Erweiterte/spezielle Anforderungen: Die IT-Abteilung des Kunden gibt die Anforderungen vor, unterstützt die Ausführung und gibt später die formelle Annahme bekannt.

IT-Richtlinie des Kunden

IT-Richtlinie des Kunden verstehen:

  • Es gibt keine IT-Richtlinie, wir dürfen/müssen eine GA-Systembezogene Richtlinie definieren.
  • Die Richtlinie definiert die Anforderungen an die GA-Systemintegration nur teilweise. Wir müssen die fehlenden Teile für den Kunden ergänzen.
  • Die Richtlinie ist klar und vollständig.
  • Zusätzlich zur Richtlinie liegt ein strenger Genehmigungsprozess mit der IT-Abteilung vor.

Raumgeräte

Raumautomationsstationen, Raumgeräte und LAN-Verwendung:

  • Dedizierte LAN-Ports auf Routern oder Managed Switches.
  • LAN-Sharing mit anderen Geräten wie Offline-Computern. Nicht empfohlen.
  • Risiko eines potentiellen physischen Netzwerkzugriffs, z.B. in öffentlichen Bereichen.
  • Wir erwarten, dass den Primärautomationsstationen dedizierte Ports zugewiesen werden, um den portbasierten Einsatz eines VLANs zu ermöglichen. Dies ist eine minimale Anforderung an IT-Sicherheit.

Server

Serverinfrastruktur:

  • Keine Managementstation im Projekt.
  • Die Managementstation für das GA-System ist der einzige Server am Standort. Desigo-Automationsstationen mit eingebetteten Webservern können hierbei vernachlässigt werden, da sie sich nie zusammen mit normalen Servern in einem Serverraum befinden werden.
  • Der Kunde hat mehrere Serverräume und die GA-Managementstationsserver befinden sich am gleichen Ort.
  • Die Managementstation wird auf einer virtuellen Maschine installiert.

IT-Komponenten

Auswahl der IT-Komponenten:

  • Das GA-Personal kann die IT-Komponenten frei festlegen.
  • Das GA-Personal kann Geräte eines durch den Kunden genannten Herstellers auswählen.
  • Das GA-Personal kann Geräte aus einer vom Kunden erstellten Liste auswählen.

Internetverbindung

Art der Internet-Verbindung:

  • Semi-permanent - DSL oder ähnlich, z.B. TV-Kabel.
  • Dauerverbindung über echt statische IP-Adressen.
  • Nur Einwählverbindung.

Remote-Zugriff

Remote-Zugriff auf den GA-Systemstandort:

  • Kein Remote-Zugriff notwendig oder explizit verboten.
  • Das GA-System ist die erste Instanz, die einen von aussen zugängigen Zugang zum Kundenstandort erfordert. Das GA-Personal ist für die Bereitstellung des Remote-Zugangs zuständig.
  • Das GA-System ist die erste Instanz, die einen von aussen zugängigen Zugang zum Standort erfordert. Das GA-Personal ist für die Bereitstellung eines allgemeinen Remote-Zugangs zuständig, z.B. auch für Brandmeldesysteme oder Wartung seitens Dritter.
  • Der Remote-Zugang für Gebäudedienste wird von einem anderen Stakeholder bereitgestellt.
  • Dazu ist die gemeinsame Infrastruktur für Remote-Zugang zu verwenden.

Zugang von ausserhalb der GA-Systemdomäne

Zugang vor Ort für Bedienung/Überwachung von ausserhalb der GA-Systemdomäne:

  • Zugang nur innerhalb der GA-Systemdomäne.
  • Zugang über Computer ausserhalb der GA-Systemdomäne.
  • Zugang über beliebige Geräte ausserhalb der GA-Systemdomäne. Nicht empfohlen.

Wireless-Zugriff

Wireless-Zugang vor Ort auf GA-Systemeinrichtungen.

  • Nicht erforderlich.
  • Erforderlich, keine WLAN-Dienste bisher vorhanden.
  • Erforderlich, WLAN-Dienste durch Kunde bereitgestellt.

Zuständigkeiten

Wer ist später für die Pflege der GA-System- und allgemeinen IT-Infrastruktur zuständig?

  • Das GA-Personal ist für die IT-Infrastruktur des GA-Systems zuständig, der Rest bei anderen Personen.
  • Das GA-Personal ist für die gesamte IT-Infrastruktur zuständig.
  • Das GA-Personal übergibt die IT-Infrastruktur nach dem initialen Setup an den Kunden.
  • Die IT-Abteilung des Kunden oder aber eine Drittpartei ist für die IT-Infrastruktur inklusive GA-System zuständig.

Rollen

Wer ist der designierte Administrator der Managementstation?

  • Das GA-Personal.
  • Kunde oder Drittpartei, z.B. der Facility-Manager.
  • Keine Managementstation im Projekt.