ISIS12

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Die fraglichen Angaben werden daher möglicherweise demnächst entfernt. Bitte hilf der Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.

ISIS12 (kurz für Informations-Sicherheitsmanagement System in 12 Schritten) ist ein Modell zur Einführung eines Information Security Management System (ISMS). Es beinhaltet eine Untermenge der Forderungen der IT-Grundschutz-Kataloge und der ISO/IEC 27001 und soll es auf diese Weise dem Mittelstand einfacher machen, Informationssicherheit systematisch herzustellen. ISIS12 bildet eine unabhängig zertifizierbare Einstiegsstufe in ein ISMS, wobei eine Kompatibilität zu IT-Grundschutz und ISO/IEC 27001 und somit die Möglichkeit für ein späteres "Upgrade" gewahrt bleibt.

Grundgedanke[Bearbeiten | Quelltext bearbeiten]

Informationssicherheitsmanagementsysteme (ISMS) nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des BSI stellen aus verschiedenen Gründen oft große Hürden für Unternehmen des Mittelstands dar, vor allem, wenn diese nicht in der IT-Branche tätig sind.[1] Schwierigkeiten bestehen erfahrungsgemäß unter anderem darin, ausreichend ausgebildetes Personal in dem meist kleinen IT-Abteilungen abstellen zu können. Weiterhin stellt die in den Standards geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor unlösbare Aufgaben.

Das sogenannte "Netzwerk für Informationssicherheit im Mittelstand (NIM)" (Mitglieder u. a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg)[2] entwickelte daher – aus IT-Grundschutz und ISO 27001 abgeleitet – ein Modell zur Einführung eines ISMS in 12 konkreten Schritten. Wesentliches Augenmerk wurde darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.

Einführung[Bearbeiten | Quelltext bearbeiten]

Die Einführung eines ISMS nach ISIS12 wird in 12 Schritten vollzogen:[3]

  1. Leitlinie erstellen
  2. Mitarbeiter sensibilisieren
  3. Informationssicherheitsteam aufbauen
  4. IT-Dokumentationsstruktur festlegen
  5. IT-Servicemanagement-Prozess einführen
  6. Kritische Applikationen identifizieren
  7. IT-Struktur analysieren
  8. Sicherheitsmaßnahmen modellieren
  9. Ist-Soll vergleichen
  10. Umsetzung planen
  11. Umsetzen
  12. Revision

Die Schritte werden zeitabhängig iterativ durchlaufen, so dass sich ein PDCA-Zyklus einstellt.

Handbuch, Katalog und Software[Bearbeiten | Quelltext bearbeiten]

Um einführenden Unternehmen konkrete Handlungsanweisungen an die Hand zu geben, wurden ein Handbuch zu Einführungsprozess des ISMS sowie ein Katalog zu den konkreten Maßnahmen entwickelt. Der Katalog ist eine ausgewählte Untermenge der IT-Grundschutz-Kataloge. Der Einführungsprozess sowie die Revisionszyklen werden durch ein an der Universität Regensburg eigens entwickeltes Open-Source-Softwaretool unterstützt.

Integration von IT-Servicemanagementprozessen[Bearbeiten | Quelltext bearbeiten]

Die Erfahrung zeigt, dass Unternehmen, die bisher kein ISMS eingeführt haben, meist auch keine definierten IT-Servicemanagement-(ITSM)-Prozesse besitzen. In ISIS12 wurde daher ein grundlegendes ITSM integriert, welches auf die wesentlichen Prozesse Wartung, Änderung und Störungsbeseitigung konsolidiert wurde.

Zertifizierung[Bearbeiten | Quelltext bearbeiten]

Unternehmen, die ein ISMS nach ISIS12 eingeführt haben, können dieses im Rahmen eines Audits durch DQS unabhängig zertifizieren lassen.[4]

ISIS12 ist jederzeit als Grundlage zu einer weitergehenden Zertifizierung nach ISO/IEC 27001 oder IT-Grundschutz nutzbar.

Förderung[Bearbeiten | Quelltext bearbeiten]

Die Entwicklung wurde vom bayerischen Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie über BICCnet gefördert.

Anerkennung[Bearbeiten | Quelltext bearbeiten]

ISIS12 für die kommunale Sicherheit[Bearbeiten | Quelltext bearbeiten]

Der IT-Planungsrat hat ISIS12 offiziell für den Einsatz in der kommunalen Sicherheit empfohlen [5]. Dies bedeutet, dass sich neben dem BSI IT-Grundschutz und der ISO 27001 ISIS12 insbesondere für die Einführung in kleinen und mittleren Kommunalverwaltungen eignet. Das Netzwerk "Informationssicherheit für den Mittelstand (NIM)" des Bayerischen IT-Sicherheitsclusters e.V. hat mit ISIS12 ein praktikables Vorgehen erarbeitet, das in 12 überschaubaren Schritten den Einstieg in Entwicklung und Gestaltung von Informationssicherheitsleitlinien aufzeigt.

Gutachten von Fraunhofer AISEC[Bearbeiten | Quelltext bearbeiten]

Ein vom Freistaat Bayern bei Fraunhofer AISEC in Auftrag gegebenes Gutachten[6] bestätigt ebenfalls, dass sich ISIS12 an der BSI IT-Grundschutzmethodik orientiert und "im Groben" die Mindestanforderungen des IT-Planungsrats an ein ISMS erfüllt. Die erforderlichen Sicherheitsmaßnahmen können mit ISIS12 bei kleineren und mittleren Kommunen mit bis zu 500 Mitarbeitern als Einstieg in ein ISMS vergleichsweise leicht umgesetzt werden. Insbesondere eigne sich ISIS12 auch als Grundlage für die spätere Einführung eines ISMS auf Basis von ISO 27001 oder des BSI IT-Grundschutzes.

Das Gutachten zeigt aber auch klar die Grenzen von ISIS12 auf:

„Für eine definierte „Standardbehörde“ mit ca. 500 Mitarbeitern, möglichst homogener IT-Basisinfrastruktur, keinen über öffentliche Netze ungeschützt angebundenen Außenstellen, überwiegend normalem Schutzbedarf, keinen Hochverfügbarkeitsanforderungen an IT-Systeme und keinen kritischen Anwendungen (im Sinne keine kritischen Infrastrukturen) lässt sich schlussfolgern, dass ISIS12 eine geeignete Vorgehensweise darstellt.“

Fraunhofer AISEC: Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung[7]

Für Anbieter "kritischer Infrastrukturen" gem. dem IT-Sicherheitsgesetz ist ISIS12 gem. dieses Gutachtens nicht geeignet.

Kommunale Spitzenverbände[Bearbeiten | Quelltext bearbeiten]

Auch die Kommunalen Spitzenverbände kommen in ihrer „Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen“ zu dem Ergebnis, dass ISIS12 eine Grundlage für den Ausbau eines Leitlinien-konformen ISMS in Kommunen darstellt.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Quellen[Bearbeiten | Quelltext bearbeiten]

  1. ZDNet-Artikel vom 7. November 2011
  2. ISIS12-Netzwerkmitglieder
  3. Infografik zu den 12 Schritten von ISIS12
  4. Hinweis auf die Zertifizierung durch die DQS
  5. IT-Planungsrat Entscheidung 2013/01 - Steuerungsprojekt „Leitlinie Informationssicherheit“
  6. http://www.it-planungsrat.de/SharedDocs/Downloads/DE/Entscheidungen/16_Sitzung/05_Gutachten%20ISIS12.pdf?__blob=publicationFile&v=2
  7. http://www.it-planungsrat.de/SharedDocs/Downloads/DE/Entscheidungen/16_Sitzung/05_Gutachten%20ISIS12.pdf?__blob=publicationFile&v=2
  8. Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung (Fraunhofer)