1、Mai 2014DEUTSCHE NORM Normenausschuss Luft- und Raumfahrt (NL) im DINPreisgruppe 24DIN Deutsches Institut fr Normung e. V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet.ICS 03.220.50; 35.040!%Ln“2044175www.din.deDD
2、IN EN 16495Flugverkehrsmanagement Informationssicherheit fr Organisationen im Bereich der Zivilluftfahrt;Deutsche und Englische Fassung EN 16495:2014Air Traffic Management Information security for organisations supporting civil aviation operations;German and English version EN 16495:2014Gestion du t
3、rafic arien Scurit de linformation pour les organismes assurant le soutien des oprations delaviation civile;Version allemande et anglaise EN 16495:2014Alleinverkauf der Normen durch Beuth Verlag GmbH, 10772 Berlin www.beuth.deGesamtumfang 122 SeitenDIN EN 16495:2014-05 2 Nationales Vorwort Dieses Do
4、kument (EN 16495:2014) wurde im Technischen Komitee CEN/TC 377 Luftverkehrsmanagement“ (Sekretariat: DIN, Deutschland) erarbeitet. Das zustndige deutsche Normungsgremium ist der Arbeitsausschuss NA 131-05-02 AA Flugverkehrsma-nagement (ATM) (SpA CEN/TC 377)“ im DIN Normenausschuss Luft- und Raumfahr
5、t. Entsprechend Beschluss 57/9 des Technischen Ausschusses des Beirats des Normenausschusses Luft- und Raumfahrt (NL) im DIN Deutsches Institut fr Normung e. V. sind die europischen Luft- und Raumfahrt-Normungsergebnisse zweisprachig, in Deutsch und Englisch, in das Deutsche Normenwerk zu berfhren.
6、Aus diesem Grund wurde der Deutschen Fassung dieses Dokuments die Englische Fassung hinzugefgt. EUROPISCHE NORM EUROPEAN STANDARD NORME EUROPENNE EN 16495 Januar 2014 ICS 03.220.50; 35.040 Deutsche Fassung Flugverkehrsmanagement Informationssicherheit fr Organisationen im Bereich der Zivilluftfahrt
7、Air Traffic Management Information security for organisations supporting civil aviation operations Gestion du trafic arien Scurit de linformation pour les organismes assurant le soutien des oprations de laviation civile Diese Europische Norm wurde vom CEN am 9. November 2013 angenommen. Die CEN-Mitg
8、lieder sind gehalten, die CEN/CENELEC-Geschftsordnung zu erfllen, in der die Bedingungen festgelegt sind, unter denen dieser Europischen Norm ohne jede nderung der Status einer nationalen Norm zu geben ist. Auf dem letzten Stand befindliche Listen dieser nationalen Normen mit ihren bibliographischen
9、 Angaben sind beim Management-Zentrum des CEN-CENELEC oder bei jedem CEN-Mitglied auf Anfrage erhltlich. Diese Europische Norm besteht in drei offiziellen Fassungen (Deutsch, Englisch, Franzsisch). Eine Fassung in einer anderen Sprache, die von einem CEN-Mitglied in eigener Verantwortung durch berse
10、tzung in seine Landessprache gemacht und dem Management-Zentrum mitgeteilt worden ist, hat den gleichen Status wie die offiziellen Fassungen. CEN-Mitglieder sind die nationalen Normungsinstitute von Belgien, Bulgarien, Dnemark, Deutschland, der ehemaligen jugoslawischen Republik Mazedonien, Estland,
11、 Finnland, Frankreich, Griechenland, Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, den Niederlanden, Norwegen, sterreich, Polen, Portugal, Rumnien, Schweden, der Schweiz, der Slowakei, Slowenien, Spanien, der Tschechischen Republik, der Trkei, Ungarn, dem Vereinigten Knigre
12、ich und Zypern. EUROPISCHES KOMITEE FR NORMUNG EUROPEAN COMMITTEE FOR STANDARDIZATION COMIT EUROPEN DE NORMALISATION CEN-CENELEC Management-Zentrum: Avenue Marnix 17, B-1000 Brssel 2014 CEN Alle Rechte der Verwertung, gleich in welcher Form und in welchem Verfahren, sind weltweit den nationalen Mitg
13、liedern von CEN vorbehalten. Ref. Nr. EN 16495:2014 D EN 16495:2014 (D) 2 Inhalt Seite Vorwort 4 1 Anwendungsbereich .5 2 Normative Verweisungen 5 3 Begriffe .5 4 Informationssicherheitsmanagement in der Luftfahrt .5 4.1 Aufbau dieser Europischen Norm5 4.2 Informationssicherheitsmanagementsysteme in
14、 der Luftfahrt 6 4.3 Bewertung von Informationssicherheitsrisiken .6 4.4 Auswahl von Manahmen 10 4.5 Vertrauensstufen 10 4.6 Bericht ber die Anwendbarkeit 12 4.7 Messung und Auditierung der Sicherheit 12 5 Sicherheitsleitlinie 13 5.1 Informationssicherheitsleitlinie . 13 6 Organisation der Informati
15、onssicherheit . 13 6.1 Interne Organisation . 13 6.2 Externe Parteien 15 7 Management organisationseigener Werte (Assets) 15 7.1 Verantwortung fr organisationseigene Werte (Assets) 15 7.2 Klassifizierung von Informationen 16 8 Personalsicherheit 17 8.1 Vor der Anstellung 17 8.2 Whrend der Anstellung
16、 17 8.3 Beendigung oder nderung der Anstellung 18 9 Physische und umgebungsbezogene Sicherheit 18 9.1 Sicherheitsbereiche 18 9.2 Sicherheit von Betriebsmitteln 19 10 Betriebs- und Kommunikationsmanagement 20 10.1 Betriebliche Verfahren und Verantwortlichkeiten . 20 10.2 Management der Dienstleistung
17、serbringung von Dritten 20 10.3 Systemplanung und Abnahme 21 10.4 Schutz vor Schadsoftware und mobilen Programmcodes . 21 10.5 Backup . 21 10.6 Management der Netzsicherheit 22 10.7 Handhabung von Medien . 22 10.8 Austausch von Informationen . 22 10.9 Anwendungen im Rahmen des elektronischen Geschft
18、sverkehrs . 23 10.10 berwachung 23 11 Zugangskontrolle 24 11.1 Geschftsanforderungen fr Zugangskontrolle 24 11.2 Benutzerverwaltung 24 11.3 Benutzerverantwortung . 26 11.4 Zugangskontrolle fr Netze . 26 11.5 Zugriffskontrolle auf Betriebssysteme . 27 11.6 Zugangskontrolle zu Anwendungen und Informat
19、ionen 28 11.7 Mobile Computing und Telearbeit . 29 12 Beschaffung, Entwicklung und Wartung von Informationssystemen 29 DIN EN 16495:2014-05 EN 16495:2014 (D) 3 12.1 Sicherheitsanforderungen von Informationssystemen . 29 12.2 Korrekte Verarbeitung in Anwendungen 30 12.3 Kryptografische Manahmen . 31
20、12.4 Sicherheit von Systemdateien . 32 12.5 Sicherheit bei Entwicklungs- und Untersttzungsprozessen 32 12.6 Umgang mit technischen Schwachstellen 33 13 Umgang mit Informationssicherheitsvorfllen . 34 13.1 Melden von Informationssicherheitsereignissen und Schwachstellen . 34 13.2 Umgang mit Informati
21、onssicherheitsvorfllen und Verbesserungen 35 14 Sicherstellung des Geschftsbetriebs (Business Continuity Management) 36 14.1 Informationssicherheitsaspekte bei der Sicherstellung des Geschftsbetriebs (Business Continuity Management). 36 15 Einhaltung von Vorgaben (Compliance) . 38 15.1 Einhaltung ge
22、setzlicher Anforderungen . 38 15.2 Einhaltung von Sicherheitsleitlinien und -standards und technischer Vorgaben 39 15.3 berlegungen zu Audits von Informationssystemen 39 Anhang A (informativ) Beispiele fr die Umsetzung . 40 A.1 Allgemeines . 40 A.2 Sicherheit von Informationen in Webanwendungen und
23、Webdiensten (LoT-A-WEB) . 41 A.2.1 Allgemeines . 41 A.2.2 Parameter fr die Vertrauensstufe einer Webanwendung / eines Webdienstes 41 A.2.3 Ermittlung der Vertrauensstufe der Webanwendung / des Webdienstes (LoT-A-WEB) 41 A.2.4 Folgen . 42 A.3 Organisationsbergreifende Verbindungen / externe Verbindun
24、gen (LoT-A-NET) . 43 A.3.1 Ermittlung der notwendigen Schutzmanahmen 43 A.3.2 Auswirkungen der Kopplung von Netzwerken . 47 A.4 Zertifikate/Public-Key-Infrastruktur (LoT-A-PKI) 47 A.4.1 Parameter fr die Vertrauensstufe des Zertifikatsmanagements 47 A.4.2 Ermittlung der Vertrauensstufe des Zertifikat
25、smanagements (LoT-A-PKI) 48 A.4.3 Auswirkungen: Anerkennung von Zertifikaten / PKI . 48 A.5 Identittsmanagement (LoT-A-IDM) . 48 A.5.1 Parameter fr die Bestimmung der Vertrauensstufe des Identittsmanagements 48 A.5.2 Ermittlung der Vertrauensstufe des Identittsmanagements (LoT-A-IDM) . 49 A.5.3 Ausw
26、irkungen: Anerkennung von Identitten . 49 Anhang B (informativ) Vertrauensstufe Beispiel fr die Umsetzung 50 Literaturhinweise 59 DIN EN 16495:2014-05 EN 16495:2014 (D) 4 Vorwort Dieses Dokument (EN 16495:2014) wurde vom Technischen Komitee CEN/TC 377 Luftverkehrsmanagement“ erarbeitet, dessen Sekre
27、tariat vom DIN gehalten wird. Diese Europische Norm muss den Status einer nationalen Norm erhalten, entweder durch Verffentlichung eines identischen Textes oder durch Anerkennung bis Juli 2014, und etwaige entgegenstehende nationale Normen mssen bis Juli 2014 zurckgezogen werden. Es wird auf die Mgl
28、ichkeit hingewiesen, dass einige Elemente dieses Dokuments Patentrechte berhren kn-nen. CEN und/oder CENELEC sind nicht dafr verantwortlich, einige oder alle diesbezglichen Patentrechte zu identifizieren. Entsprechend der CEN-CENELEC-Geschftsordnung sind die nationalen Normungsinstitute der folgende
29、n Lnder gehalten, diese Europische Norm zu bernehmen: Belgien, Bulgarien, Dnemark, Deutschland, die ehemalige jugoslawische Republik Mazedonien, Estland, Finnland, Frankreich, Griechenland, Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Norwegen, sterreich, Pole
30、n, Portugal, Rumnien, Schweden, Schweiz, Slowakei, Slowenien, Spanien, Tschechische Republik, Trkei, Ungarn, Vereinigtes Knigreich und Zypern. DIN EN 16495:2014-05 EN 16495:2014 (D) 5 1 Anwendungsbereich Diese Europische Norm legt Leitlinien und allgemeine Grundstze fr die Umsetzung eines Informatio
31、ns-sicherheits-Managementsystems in Organisationen im Bereich der Zivilluftfahrt fest. Nicht in den Anwendungsbereich fallen Handlungen der Organisationen, die sich nicht auf die Sicherheit von Ttigkeiten im Bereich der Zivilluftfahrt auswirken, wie z. B. Management von Einzelhandelsgeschften am Flu
32、ghafen und Dienstleistungsunternehmen sowie Management von Unternehmensimmobilien (en: corporate real estate management). Fr die Zwecke dieser Europischen Norm wird Flugverkehrsmanagement als funktioneller Begriff betrachtet, der die Verantwortlichkeiten aller an der Wertschpfungskette im Luftverkeh
33、r Beteiligten abdeckt. Das betrifft Luftraumnutzer, Flughfen und Flugsicherungsorganisationen, ist jedoch nicht allein darauf beschrnkt. Grundlage fr alle Anforderungen in dieser Europischen Norm sind das Vertrauen und die Zusammenarbeit zwischen den Parteien, die am Flugverkehrsmanagement beteiligt
34、 sind. 2 Normative Verweisungen Die folgenden Dokumente, die in diesem Dokument teilweise oder als Ganzes zitiert werden, sind fr die Anwendung dieses Dokuments erforderlich. Bei datierten Verweisungen gilt nur die in Bezug genommene Ausgabe. Bei undatierten Verweisungen gilt die letzte Ausgabe des
35、in Bezug genommenen Dokuments (einschlielich aller nderungen). ISO/IEC 27000:2012, Information technology Security techniques Information security management systems Overview and vocabulary ISO/IEC 27002:2005, Information technology Security techniques Code of practice for information security manag
36、ement 3 Begriffe Fr die Anwendung dieses Dokuments gelten die Begriffe nach ISO/IEC 27000:2012 und die folgenden Begriffe. 3.1 Flugverkehrsmanagement Zusammenfassung der bordseitigen und bodenseitigen Funktionen (Flugverkehrsdienste, Luftraummanage-ment und Verkehrsflussregelung), die fr die sichere
37、 und effiziente Bewegung von Luftfahrzeugen in allen Betriebsphasen erforderlich sind 3.2 Vertrauen Situation, in der eine Partei bereit dazu ist, sich auf die Handlungen einer anderen Partei zu verlassen Anmerkung 1 zum Begriff: Vertrauen ist mehr als das, was mittels Versicherung erreicht werden k
38、ann. Versicherung stellt jedoch ein untersttzendes Instrument fr die Vertrauensbildung dar. 4 Informationssicherheitsmanagement in der Luftfahrt 4.1 Aufbau dieser Europischen Norm Der Aufbau dieser Europischen Norm ist an ISO/IEC 27002 angepasst. In allen Fllen, in denen die Ma-nahmen nach ISO/IEC 2
39、7002 ohne nderung oder Ergnzung angewendet werden knnen, wird lediglich auf ISO/IEC 27002 verwiesen. In allen Fllen, in denen die Umsetzung von Manahmen nach ISO/IEC 27002 eine fr die Luftfahrt spezielle Ergnzung erfordert, wurde das direkt in den betreffenden Abschnitt aufgenommen. DIN EN 16495:201
40、4-05 EN 16495:2014 (D) 6 Umsetzungsbeispiele fr besondere Anwendungsbereiche sind im informativen Anhang A beschrieben. Das betrifft folgende Bereiche: Sicherheit von Informationen in Web-Anwendungen und Web-Diensten; Verbindungen zwischen mehreren Organisationen/externe Verbindungen; Zertifikate/ I
41、nfrastruktur mit ffentlichem Schlssel (en: Public Key Infrastructure); Identittsmanagement. 4.2 Informationssicherheitsmanagementsysteme in der Luftfahrt Diese Europische Norm ist eine Leitlinie fr die Umsetzung und Steuerung eines Informationssicherheits-managementsystems in Luftfahrtorganisationen
42、. Sie beruht auf der Internationalen Norm ISO/IEC 27002 (Leitfaden fr das Informationssicherheitsmanagement). Luftfahrtorganisationen haben zustzlich zu den Zielen und Manahmen nach ISO/IEC 27002 auch die in dieser Europischen Norm aufgefhrten Sicherheits-manahmen beachten. Das Informationssicherhei
43、tsmanagement hat in der Luftfahrt hohe Prioritt, unabhngig von der jeweiligen Stellung der Organisation innerhalb der Dienstleistungskette. Ohne ein wirksames Informationssicherheits-managementsystem nehmen die Risiken in Verbindung mit der Vertraulichkeit, Verfgbarkeit und Integritt der zur Erbring
44、ung von Dienstleistungen erforderlichen Informationen/Daten in kritischem Mae zu. Die Erbringung von Dienstleistungen in der Luftfahrt ist in hohem Mae von der Zusammenarbeit der einzel-nen Beteiligten bestimmt. Das Informationssicherheitsmanagement einer Organisation hngt daher vom Infor-mationssic
45、herheitsmanagement derjenigen Organisationen ab, mit denen die betreffende Organisation zur Erbringung von Dienstleistungen zusammenarbeitet. Diese Europische Norm konzentriert sich daher auf die Aspekte der Zusammenarbeit. Diese Zusammenarbeit erfordert die gemeinsame Nutzung der Ergebnisse von Ris
46、ikobeurteilungen in der gesamten Geschfts-prozesskette, die bereinstimmung hinsichtlich des erforderlichen Maes an Vertrauen, die bereinstimmung hinsichtlich der erforderlichen Sicherheitskontrollen und ihrer Umsetzung. 4.3 Bewertung von Informationssicherheitsrisiken 4.3.1 Internes Informationssich
47、erheitsrisiko-Management Um ihre eigene Sicherheitslage verstehen zu knnen, muss eine Organisation die Sicherheitslage ihrer Part-ner kennen. Die Herstellung von Netzverbindungen und der Austausch von Daten beruht auf einer Vertrauensbewertung der beteiligten Parteien untereinander. Der Umfang, mit
48、dem der Netzwerkverkehr und die Daten gesteuert und berprft werden mssen, wird durch das Ma an Vertrauen bestimmt. Dies wird unter 4.5 weiter unter-sucht. Zur Ermglichung einer sicheren Verbindung nach auen und eines sicheren Datenaustausches muss die Organisation das Vertrauen bewerten, das sie in
49、die Verbindung und die empfangenen Daten setzen kann und sie muss sich davon berzeugen, dass die Vertrauensbewertung validiert ist. Es muss betont werden, dass das nicht bedeutet, dass die Organisation alles ber die Sicherheit ihrer Partner wissen muss. Es werden lediglich gengend Informationen bentigt, um auf der Grundlage von Risiko-bewertungen das erforderliche Ma an Gewissheit zu erlangen
