ISIS12

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

ISIS12 (kurz für Informations-Sicherheitsmanagement System in 12 Schritten) ist ein Modell zur Einführung eines Information Security Management System (ISMS). Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. ISIS12 beinhaltet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit, die sich auf die Inhalte der IT-Grundschutz-Kataloge und der ISO/IEC 27001 stützen.

ISIS12 ist eine unabhängig zertifizierbare Einstiegsstufe in ein ISMS. Die Kompatibilität zu IT-Grundschutz und ISO/IEC 27001 ermöglicht einen späteren Umstieg auf ein umfangreicheres ISMS (z. B. ISO/IEC 27001 auf Basis IT-Grundschutz) mit höherem Schutzniveau.[1]

Grundgedanke[Bearbeiten | Quelltext bearbeiten]

Auch der Gesetzgeber hat die Notwendigkeit von Informationssicherheit erkannt und entsprechende Gesetze erlassen (IT-Sicherheitsgesetz, Bayerisches E-Government Gesetz Art. 11). Außerdem ergeben sich auch aus anderen gesetzlichen Anforderungen Umsetzungshinweise zur Informationssicherheit (z. B. DSGVO, GmbH-Gesetz §43 Abs. 1, Basel II, S-Ox, Telemediengesetz, Aktiengesetz §91 Abs. 2 & § 93 Abs. 2, Handelsgesetz §317 Abs. 4 uvm.), meist wird hier das Thema Risiko oder Datenverlust als Basis herangezogen.

Schwierigkeiten bei der praktischen Einführung und Umsetzung eines ISMS bestehen erfahrungsgemäß unter anderem in personellen Engpässen, mangelndem Fachwissen und der Überlastung der meist kleinen IT-Abteilungen.

Grundgedanke bei der Entwicklung von ISIS12 war es daher, die Lücke zwischen Notwendigkeiten und organisatorisch Leistbarem zu schließen. Als Resultat dieser Überlegungen entstand ein Modell in zwölf konkreten Schritten[2], abgeleitet aus IT-Grundschutz und der Norm ISO/IEC 27001.

Wesentliches Augenmerk wurde bei der Entwicklung durch das Netz für Informationssicherheit im Mittelstand (NIM) (Liste der Netzwerkpartner) darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare und übersichtliche Handlungsanweisung mit integriertem Einführungskonzept in verständlicher Sprache an die Hand gegeben wird. Ziel ist es, den Verantwortlichen einen geführten Leitfaden für die Hilfe zur Selbsthilfe zu bieten.[1]

Einführung[Bearbeiten | Quelltext bearbeiten]

Die Einführung eines ISMS nach ISIS12 wird in zwölf Schritten vollzogen:[3]

  1. Leitlinie erstellen
  2. Mitarbeiter sensibilisieren
  3. Informationssicherheitsteam aufbauen
  4. IT-Dokumentationsstruktur festlegen
  5. IT-Servicemanagement-Prozess einführen
  6. Kritische Applikationen identifizieren
  7. IT-Struktur analysieren
  8. Sicherheitsmaßnahmen modellieren
  9. Ist-Soll vergleichen
  10. Umsetzung planen
  11. Umsetzen
  12. Revision

Die Schritte werden zeitabhängig iterativ durchlaufen, so dass sich ein PDCA-Zyklus einstellt.

Handbuch, Katalog und Software[Bearbeiten | Quelltext bearbeiten]

Im „Handbuch zur effizienten Gestaltung von Informationssicherheit für Kleine und Mittlere Organisationen“ wird das ISIS12 Vorgehensmodell didaktisch aufbereitet beschrieben. Es handelt sich um eine verständliche Anleitung, die bei der Umsetzung von zertifizierten ISIS12-Beratern begleitet werden kann.[4]

Der ISIS12 Katalog wurde aus den BSI IT-Grundschutzkatalogen (15. EL 2016[BSI:2013a]) und dem de jure Standard ISO/IEC 27001 [ISO:2013a] (Maßnahmenziele A.5 – A.18) bzw. den Konkretisierungen in ISO/IEC 27002 [ISO:2008b] abgeleitet und ergänzt die didaktische Beschreibung des Handbuches mit konkreten Maßnahmen die aus höheren Standards abgleitet wurden.[5]

Der Einführungsprozess sowie die Revisionszyklen können durch eine begleitende Software unterstützt werden. Im Auftrag des Bayerischen IT-Sicherheitscluster e.V. wurde von Harald Hornung ein Tool entwickelt, das die zwölf Verfahrensschritte im ISIS12-Prozess softwaretechnisch abbildet.

Die Software setzt sich zum Ziel, Projektbeteiligte bei der Implementierung und Nutzung von ISIS12 zu unterstützen.[6]

Integration von IT-Servicemanagementprozessen[Bearbeiten | Quelltext bearbeiten]

Die Erfahrung zeigt, dass Unternehmen, die bisher kein ISMS eingeführt haben, meist auch keine definierten IT-Servicemanagement-(ITSM)-Prozesse besitzen. In ISIS12 wurde daher ein grundlegendes ITSM integriert, welches auf die wesentlichen Prozesse Wartung, Änderung und Störungsbeseitigung konsolidiert wurde.[3]

Integration von Datenschutz[Bearbeiten | Quelltext bearbeiten]

Informationssicherheitsmanagement und Datenschutzmanagement haben viele vergleichbare Anforderungen, Dokumente und Vorgehensweisen. Daher liegt es nahe beide Welten zu verbinden, dies ist mit ISIS12 möglich.

Hierzu wurde folgendes Vorgehen gewählt um das DSMS mit dem ISMS ISIS12 zu verbinden und entsprechende Synergien zu nutzen:

  • Im Schritt 1 wird die Informationssicherheitsleitlinie um den Bereich Datenschutz erweitert und somit dessen Stellenwert manifestiert.
  • Im Schritt 2 wird bei der Mitarbeitersensibilisierung speziell der Baustein Datenschutz mit integriert.
  • Die ISIS12 Aufbau- und Ablauforganisation wird um die DSGVO relevanten Punkte erweitert (Schritt 3, Schritt 4, Schritt 5). DSGVO relevante Prozesse werden mit aufgenommen[4]
  • Speziell der Schritt 6 spielt eine zentrale Rolle für den Bereich „Nachweisbarkeit“. Im Schritt 6 werden bislang auch schon Verarbeitungen identifiziert, erfasst und mit einer Schutzbedarfsfeststellung in Sachen Verfügbarkeit, Integrität und Vertraulichkeit bewertet. Anwendungen in denen personenbezogene Daten verarbeiten werden, werden in einer Verarbeitungsübersicht (Art. 30 DSGVO) zusammengefasst. Die zu erfolgende RA und die eventuell notwendige DFA werden im Schritt anhand des Verarbeitungsverzeichnisses durchgeführt und entsprechend dokumentiert.
  • Spezielle Anforderungen der DSGVO werden entweder im neuen ISIS12 Baustein „B 1.5 Datenschutz DSGVO“ in Form von verbindlichen Sicherheitsmaßnahmen und/oder in spezifischen Bausteinen wie etwa „B 4.10 Soft- und Hardwareentwicklung“ (Privacy by Design/Privacy by Default) mit aufgenommen.[5]

Im Schritt 12 wird ein jährlich stattfindendes Datenschutzaudit implementiert, das die 12 Schritte des erweiterten Vorgehensmodells prüft. Hier werden zukünftig auch Checklisten der ASBn Bestandteil sein. Im Fall einer angestrebten Zertifizierung kann das um das DSMS erweiterte Zertifizierungsschema zum Einsatz kommen. Der Auditumfang wird dementsprechend erweitert und bietet Unternehmen die Möglichkeit die geforderte Nachweis- bzw. Rechenschaftspflicht nach DSGVO zu erfüllen.

Zertifizierung[Bearbeiten | Quelltext bearbeiten]

Unternehmen, die ein ISMS nach ISIS12 eingeführt haben, können dieses im Rahmen eines Audits durch DQS unabhängig zertifizieren lassen.[7]

ISIS12 ist jederzeit als Grundlage zu einer weitergehenden Zertifizierung nach ISO/IEC 27001 oder IT-Grundschutz nutzbar.

Förderung[Bearbeiten | Quelltext bearbeiten]

Die ursprüngliche Entwicklung wurde vom bayerischen Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie über BICCnet gefördert.

Zudem ist ISIS12 ist im Rahmen verschiedener Initiativen förderfähig:

Förderung der Informationssicherheit in bayerischen Kommunen[8]

Digitalbonus.Bayern[9]

Förderung der Informationssicherheit in saarländischen Kommunen[10]

Anerkennung[Bearbeiten | Quelltext bearbeiten]

ISIS12 für die kommunale Sicherheit[Bearbeiten | Quelltext bearbeiten]

Der IT-Planungsrat hat ISIS12 offiziell für den Einsatz in der kommunalen Sicherheit empfohlen[11]. Dies bedeutet, dass sich neben dem BSI IT-Grundschutz und der ISO 27001 ISIS12 insbesondere für die Einführung in kleinen und mittleren Kommunalverwaltungen eignet. Das Netz „Informationssicherheit für den Mittelstand (NIM)“ des Bayerischen IT-Sicherheitsclusters e.V. hat mit ISIS12 ein praktikables Vorgehen erarbeitet, das in zwölf überschaubaren Schritten den Einstieg in Entwicklung und Gestaltung von Informationssicherheitsleitlinien aufzeigt.

Gutachten von Fraunhofer AISEC[Bearbeiten | Quelltext bearbeiten]

Ein vom Freistaat Bayern bei Fraunhofer AISEC in Auftrag gegebenes Gutachten[12] bestätigt ebenfalls, dass sich ISIS12 an der BSI IT-Grundschutzmethodik orientiert und die Mindestanforderungen des IT-Planungsrats an ein ISMS erfüllt. Die erforderlichen Sicherheitsmaßnahmen können mit ISIS12 bei kleineren und mittleren Kommunen mit bis zu 500 Mitarbeitern als Einstieg in ein ISMS vergleichsweise leicht umgesetzt werden. Insbesondere eigne sich ISIS12 auch als Grundlage für die spätere Einführung eines ISMS auf Basis von ISO 27001 oder des BSI IT-Grundschutzes.

Das Gutachten zeigt aber auch klar die Grenzen von ISIS12 auf:

„Für eine definierte „Standardbehörde“ mit ca. 500 Mitarbeitern, möglichst homogener IT-Basisinfrastruktur, keinen über öffentliche Netze ungeschützt angebundenen Außenstellen, überwiegend normalem Schutzbedarf, keinen Hochverfügbarkeitsanforderungen an IT-Systeme und keinen kritischen Anwendungen (im Sinne keine kritischen Infrastrukturen) lässt sich schlussfolgern, dass ISIS12 eine geeignete Vorgehensweise darstellt.“

Fraunhofer AISEC: Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung[12]

Für Anbieter kritischer Infrastrukturen gem. dem IT-Sicherheitsgesetz ist ISIS12 gem. dieses Gutachtens nicht geeignet. Als Einstieg für eine Zertifizierung nach ISO/IEC 27001 kann ISIS12 jedoch gute Dienste leisten.

Kommunale Spitzenverbände[Bearbeiten | Quelltext bearbeiten]

Auch der Deutsche Städtetag kommt in seiner „Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen“ zu dem Ergebnis, dass ISIS12 eine Grundlage für den Ausbau eines Leitlinien-konformen ISMS in Kommunen darstellt.[13]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Quellen[Bearbeiten | Quelltext bearbeiten]

  1. a b Was ist ISIS12? – ISIS12. Abgerufen am 17. Juli 2018 (deutsch).
  2. Andreas Reichelt: Verbesserte Datensicherheit. In: Tele Regional Passau 1 (TRP1). Abgerufen am 2. März 2019 (deutsch).
  3. a b Infografik zu den 12 Schritten von ISIS12
  4. a b ISIS12 Netzwerk: Handbuch zu effizienten Gestaltung von Informationssicherheit für Kleine und Mittlere Organisationen (KMO). ISIS12 Handbuch. Hrsg.: Bayerischer IT-Sicherheitscluster e.V. Version 1.9, Juni 2018.
  5. a b ISIS12 Netzwerk: ISIS12 – Katalog. Hrsg.: Bayerischer IT-Sicherheitscluster e.V. Version 1.5, Juni 2018.
  6. Software – ISIS12. Abgerufen am 17. Juli 2018.
  7. Hinweis auf die Zertifizierung durch die DQS
  8. Schutz der Öffentlichen Netze. Abgerufen am 17. Juli 2018.
  9. Digitalbonus – Digitalbonus Bayern. Abgerufen am 17. Juli 2018.
  10. Pressemitteilung Saarland heute | Saarland.de. Abgerufen am 17. Juli 2018.
  11. IT-Planungsrat Entscheidung 2013/01 - Steuerungsprojekt „Leitlinie Informationssicherheit“ (Memento vom 9. Februar 2015 im Internet Archive)
  12. a b Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung (Fraunhofer) (PDF; 602 kB)
  13. Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen In: staedtetag.de, November 2014, abgerufen am 2. August 2018. (PDF; 973 kB)