CISIS12

aus Wikipedia, der freien Enzyklopädie

Das Compliance Informations-Sicherheitsmanagement System in 12 Schritten (CISIS12) ist ein vollständiges Information Security Management System (ISMS). Es umfasst die Beschreibung des Standards, ein Handbuch zur Einführung und einen Maßnahmenkatalog. Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. CISIS12 unterscheidet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit in den Modalitäten "kann", "soll", "muss". Es ergänzt den bereits seit mehreren Jahren etablierten Standards ISIS12 um eine zusätzliche Schicht mit Complianceaspekten und gibt somit der Version 3 ihren neuen Namen CISIS12.

Einführung

  1. Leitlinie erstellen und Ziele definieren
  2. Sensibilisieren
  3. ISMS-Team
  4. Dokumentation
  5. ITSM-Prozesse
  6. Compliance / Prozesse / Anwendungen
  7. Infrastruktur
  8. Risiko (neu)
  9. IST-SOLL Vergleich
  10. Umsetzung
  11. Audit intern (neu)
  12. Revision

Die Schritte werden kontinuierlich im PDCA-Zyklus durchlaufen.

Integration der Prozessschicht

Um einen vollumfänglichen ISMS-Standard zu etablieren, wird in CISIS12 die Prozesssicht in den Vordergrund gestellt, kritische Prozesse benötigen kritische Systemressourcen. Damit rückt CISIS12 näher an internationale Standard wie ISO 27001, definiert aber ein klares Vorgehensmodell.

Zertifizierbarkeit

CISIS12 ist unabhängig zertifizierbar.

ISIS12

Bis zur Version 3 wurde der Name ISIS12 verwendet.

Das Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ist die frühere Version des Modells zur Einführung eines Information Security Management System (ISMS). Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. ISIS12 beinhaltet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit.

ISIS12 war eine unabhängig zertifizierbare Einstiegsstufe in ein ISMS. Die Kompatibilität zur ISO/IEC 27001 und IT-Grundschutz ermöglichte einen späteren Umstieg auf ein umfangreicher zertifiziertes ISMS, z. B. ISO/IEC 27001 auf Basis IT-Grundschutz.[1]

Weiterführend wird in ISIS12 dem Thema Risikomanagement eine höhere Priorität eingeräumt.

Grundgedanke

Auch der Gesetzgeber hat die Notwendigkeit von Informationssicherheit erkannt und entsprechende Gesetze erlassen (IT-Sicherheitsgesetz, Bayerisches E-Government Gesetz Art. 11). Außerdem ergeben sich auch aus anderen gesetzlichen Anforderungen Umsetzungshinweise zur Informationssicherheit (z. B. DSGVO, GmbH-Gesetz §43 Abs. 1, Basel II, S-Ox, Telemediengesetz, Aktiengesetz §91 Abs. 2 & § 93 Abs. 2, Handelsgesetz §317 Abs. 4 uvm.), meist wird hier das Thema Risiko oder Datenverlust als Basis herangezogen.

Schwierigkeiten bei der praktischen Einführung und Umsetzung eines ISMS bestehen erfahrungsgemäß unter anderem in personellen Engpässen, mangelndem Fachwissen und der Überlastung der meist kleinen IT-Abteilungen.

Grundgedanke bei der Entwicklung von ISIS12 war es daher, die Lücke zwischen Notwendigkeiten und organisatorisch Leistbarem zu schließen. Als Resultat dieser Überlegungen entstand ein Modell in zwölf konkreten Schritten[2], abgeleitet aus IT-Grundschutz und der Norm ISO/IEC 27001.

Wesentliches Augenmerk wurde bei der Entwicklung durch das Netz für Informationssicherheit im Mittelstand (NIM) (Liste der Netzwerkpartner) darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare und übersichtliche Handlungsanweisung mit integriertem Einführungskonzept in verständlicher Sprache an die Hand gegeben wird. Ziel ist es, den Verantwortlichen einen geführten Leitfaden für die Hilfe zur Selbsthilfe zu bieten.[1]

Einführung

Die Einführung eines ISMS nach ISIS12 wird in zwölf Schritten vollzogen:[3]

  1. Leitlinie erstellen
  2. Mitarbeiter sensibilisieren
  3. Informationssicherheitsteam aufbauen
  4. IT-Dokumentationsstruktur festlegen
  5. IT-Servicemanagement-Prozess einführen
  6. Kritische Applikationen identifizieren
  7. IT-Struktur analysieren
  8. Sicherheitsmaßnahmen modellieren
  9. Ist-Soll vergleichen
  10. Umsetzung planen
  11. Umsetzen
  12. Revision

Die Schritte werden zeitabhängig iterativ durchlaufen, so dass sich ein PDCA-Zyklus einstellt.

Handbuch, Katalog und Software

Im „Handbuch zur effizienten Gestaltung von Informationssicherheit für Kleine und Mittlere Organisationen“ wird das ISIS12 Vorgehensmodell didaktisch aufbereitet beschrieben. Es handelt sich um eine verständliche Anleitung, die bei der Umsetzung von zertifizierten ISIS12-Beratern begleitet werden kann.[4]

Der ISIS12 Katalog wurde aus den BSI IT-Grundschutzkatalogen (15. EL 2016[BSI:2013a]) und dem de jure Standard ISO/IEC 27001 [ISO:2013a] (Maßnahmenziele A.5 – A.18) bzw. den Konkretisierungen in ISO/IEC 27002 [ISO:2008b] abgeleitet und ergänzt die didaktische Beschreibung des Handbuches mit konkreten Maßnahmen die aus höheren Standards abgleitet wurden.[5]

Der Einführungsprozess sowie die Revisionszyklen können durch eine begleitende Software unterstützt werden. Im Auftrag des Bayerischen IT-Sicherheitscluster e.V. wurde von Harald Hornung ein Tool entwickelt, das die zwölf Verfahrensschritte im ISIS12-Prozess softwaretechnisch abbildet.

Die Software setzt sich zum Ziel, Projektbeteiligte bei der Implementierung und Nutzung von ISIS12 zu unterstützen.[6]

Integration von IT-Servicemanagement-Prozessen

Die Erfahrung zeigt, dass Unternehmen, die bisher kein ISMS eingeführt haben, meist auch keine definierten IT-Servicemanagement-(ITSM)-Prozesse besitzen. In ISIS12 wurde daher ein grundlegendes ITSM integriert, welches auf die wesentlichen Prozesse Wartung, Änderung und Störungsbeseitigung konsolidiert wurde.[7]

Integration von Datenschutz

Informationssicherheitsmanagement und Datenschutzmanagement haben viele vergleichbare Anforderungen, Dokumente und Vorgehensweisen. Daher liegt es nahe beide Welten zu verbinden, dies ist mit ISIS12 möglich.

Hierzu wurde folgendes Vorgehen gewählt um das DSMS mit dem ISMS ISIS12 zu verbinden und entsprechende Synergien zu nutzen:

  • Im Schritt 1 wird die Informationssicherheitsleitlinie um den Bereich Datenschutz erweitert und somit dessen Stellenwert manifestiert.
  • Im Schritt 2 wird bei der Mitarbeitersensibilisierung speziell der Baustein Datenschutz mit integriert.
  • Die ISIS12 Aufbau- und Ablauforganisation wird um die DSGVO relevanten Punkte erweitert (Schritt 3, Schritt 4, Schritt 5). DSGVO relevante Prozesse werden mit aufgenommen[4]
  • Speziell der Schritt 6 spielt eine zentrale Rolle für den Bereich „Nachweisbarkeit“. Im Schritt 6 werden bislang auch schon Verarbeitungen identifiziert, erfasst und mit einer Schutzbedarfsfeststellung in Sachen Verfügbarkeit, Integrität und Vertraulichkeit bewertet. Anwendungen in denen personenbezogene Daten verarbeiten werden, werden in einer Verarbeitungsübersicht (Art. 30 DSGVO) zusammengefasst. Die zu erfolgende RA und die eventuell notwendige DFA werden im Schritt anhand des Verarbeitungsverzeichnisses durchgeführt und entsprechend dokumentiert.
  • Spezielle Anforderungen der DSGVO werden entweder im neuen ISIS12 Baustein „B 1.5 Datenschutz DSGVO“ in Form von verbindlichen Sicherheitsmaßnahmen und/oder in spezifischen Bausteinen wie etwa „B 4.10 Soft- und Hardwareentwicklung“ (Privacy by Design/Privacy by Default) mit aufgenommen.[5]

Im Schritt 12 wird ein jährlich stattfindendes Datenschutzaudit implementiert, das die 12 Schritte des erweiterten Vorgehensmodells prüft. Hier werden zukünftig auch Checklisten der ASBn Bestandteil sein. Im Fall einer angestrebten Zertifizierung kann das um das DSMS erweiterte Zertifizierungsschema zum Einsatz kommen. Der Auditumfang wird dementsprechend erweitert und bietet Unternehmen die Möglichkeit die geforderte Nachweis- bzw. Rechenschaftspflicht nach DSGVO zu erfüllen.

Zertifizierung

Unternehmen, die ein ISMS nach ISIS12 eingeführt haben, können dieses im Rahmen eines Audits durch datenschutz cert oder DQS unabhängig zertifizieren lassen.[8]

ISIS12 ist jederzeit als Grundlage zu einer weitergehenden Zertifizierung nach ISO/IEC 27001 oder IT-Grundschutz nutzbar.

Förderung

Die ursprüngliche Entwicklung wurde vom bayerischen Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie über BICCnet gefördert.

Zudem war ISIS12 ist im Rahmen verschiedener Initiativen förderfähig:

  • Förderung der Informationssicherheit in bayerischen Kommunen[9]
  • Digitalbonus.Bayern[10]
  • Förderung der Informationssicherheit in saarländischen Kommunen[11]

Anerkennung

ISIS12 für die kommunale Sicherheit

Der IT-Planungsrat hat ISIS12 offiziell für den Einsatz in der kommunalen Sicherheit empfohlen.[12] Dies bedeutet, dass sich neben dem BSI IT-Grundschutz und der ISO 27001 ISIS12 insbesondere für die Einführung in kleinen und mittleren Kommunalverwaltungen eignet. Das Netz „Informationssicherheit für den Mittelstand (NIM)“ des Bayerischen IT-Sicherheitsclusters e.V. hat mit ISIS12 ein praktikables Vorgehen erarbeitet, das in zwölf überschaubaren Schritten den Einstieg in Entwicklung und Gestaltung von Informationssicherheitsleitlinien aufzeigt.

Gutachten von Fraunhofer AISEC

Ein vom Freistaat Bayern bei Fraunhofer AISEC in Auftrag gegebenes Gutachten[13] bestätigt ebenfalls, dass sich ISIS12 an der BSI IT-Grundschutzmethodik orientiert und die Mindestanforderungen des IT-Planungsrats an ein ISMS erfüllt. Die erforderlichen Sicherheitsmaßnahmen können mit ISIS12 bei kleineren und mittleren Kommunen mit bis zu 500 Mitarbeitern als Einstieg in ein ISMS vergleichsweise leicht umgesetzt werden. Insbesondere eigne sich ISIS12 auch als Grundlage für die spätere Einführung eines ISMS auf Basis von ISO 27001 oder des BSI IT-Grundschutzes.

Das Gutachten zeigt aber auch klar die Grenzen von ISIS12 auf:

„Für eine definierte „Standardbehörde“ mit ca. 500 Mitarbeitern, möglichst homogener IT-Basisinfrastruktur, keinen über öffentliche Netze ungeschützt angebundenen Außenstellen, überwiegend normalem Schutzbedarf, keinen Hochverfügbarkeitsanforderungen an IT-Systeme und keinen kritischen Anwendungen (im Sinne keine kritischen Infrastrukturen) lässt sich schlussfolgern, dass ISIS12 eine geeignete Vorgehensweise darstellt.“

Fraunhofer AISEC: Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung[13]

Für Anbieter kritischer Infrastrukturen gem. dem IT-Sicherheitsgesetz ist ISIS12 gem. dieses Gutachtens nicht geeignet. Als Einstieg für eine Zertifizierung nach ISO/IEC 27001 kann ISIS12 jedoch gute Dienste leisten.

Kommunale Spitzenverbände

Auch der Deutsche Städtetag kommt in seiner „Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen“ zu dem Ergebnis, dass ISIS12 eine Grundlage für den Ausbau eines Leitlinien-konformen ISMS in Kommunen darstellt.[14]

Weblinks

Quellen

  1. a b Was ist ISIS12? – ISIS12. IT-Sicherheitscluster e.V., abgerufen am 17. Juli 2018.
  2. Andreas Reichelt: Verbesserte Datensicherheit. Tele Regional Passau 1 (TRP1), abgerufen am 24. Oktober 2020.
  3. Über ISIS12. In: isis12.it-sicherheitscluster.de. IT-Sicherheitscluster e.V., 23. September 2020, abgerufen am 24. Oktober 2020.
  4. a b ISIS12 Netzwerk: Handbuch zu effizienten Gestaltung von Informationssicherheit für Kleine und Mittlere Organisationen (KMO). ISIS12 Handbuch. Hrsg.: Bayerischer IT-Sicherheitscluster e.V. Version 1.9, Juni 2018.
  5. a b ISIS12 Netzwerk: ISIS12 – Katalog. Hrsg.: Bayerischer IT-Sicherheitscluster e.V. Version 1.5, Juni 2018.
  6. Software – ISIS12. IT-Sicherheitscluster e.V., abgerufen am 17. Juli 2018.
  7. Über ISIS12. In: isis12.it-sicherheitscluster.de. IT-Sicherheitscluster e.V., 23. September 2020, abgerufen am 24. Oktober 2020 (Abschnitt Schritt 5: IT-Servicemanagement-Prozess einführen).
  8. Zertifizierung - ISIS12. In: isis12.it-sicherheitscluster.de. IT-Sicherheitscluster e.V., 22. Oktober 2020, abgerufen am 24. Oktober 2020.
  9. Schutz der Öffentlichen Netze. Abgerufen am 17. Juli 2018.
  10. Digitalbonus – Digitalbonus Bayern. Abgerufen am 17. Juli 2018.
  11. Pressemitteilung Saarland heute | Saarland.de. Abgerufen am 17. Juli 2018.
  12. IT-Planungsrat Entscheidung 2013/01 - Steuerungsprojekt „Leitlinie Informationssicherheit“ (Memento vom 9. Februar 2015 im Internet Archive)
  13. a b Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung (Fraunhofer) (PDF; 602 kB)
  14. Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen In: staedtetag.de, November 2014, abgerufen am 2. August 2018. (PDF; 973 kB)