03676 ISIS12 – Informationssicherheitsmanagement in zwölf Schritten
|
ISIS12 ist ein Informationssicherheitsmanagementsystem, das in zwölf Schritten ein Verfahren beschreibt, das vorzugsweise Organisationen mit begrenzten Ressourcen adressiert. Es wird seit 2010 herausgegeben, entwickelt und rechtlich sowie organisatorisch vom IT-Sicherheitscluster e. V. betreut. An dieser Stelle wird das ISMS vorgestellt. Dabei wird einerseits das Vorgehen in der Abfolge der Schritte einschließlich Zertifizierung gezeigt. Andererseits werden seine Besonderheiten herausgestellt. Leser:innen sollten nach der Lektüre in der Lage sein, ISIS12 zu verstehen, zu beschreiben und für die Praxistauglichkeit in der eigenen Organisation zu beurteilen.
von: |
1 Was ist ISIS12?
ISM für KMO
ISIS12 ist die Abkürzung für „Informationssicherheitsmanagementsystem in zwölf Schritten”. Es wurde in der ersten Version im Jahr 2010 publiziert. Zielführend in der Entwicklung war und ist ein einfach einzuführendes Verfahren zur Erhöhung der Informationssicherheit, entwickelt entlang den Bedürfnissen, aber auch konkret für die begrenzten Ressourcen von kleinen und mittleren Unternehmen und Organisationen (KMO).
ISIS12 ist die Abkürzung für „Informationssicherheitsmanagementsystem in zwölf Schritten”. Es wurde in der ersten Version im Jahr 2010 publiziert. Zielführend in der Entwicklung war und ist ein einfach einzuführendes Verfahren zur Erhöhung der Informationssicherheit, entwickelt entlang den Bedürfnissen, aber auch konkret für die begrenzten Ressourcen von kleinen und mittleren Unternehmen und Organisationen (KMO).
Version 2
ISIS12 wird vom IT-Sicherheitscluster e. V., Regensburg, entwickelt, herausgegeben und geschult [1] [2]. Es ist nach zehn Jahren im April 2020 in der Version 2 erschienen. Seit der ersten Version, die 2010 veröffentlich wurde, hat sich neben technischen sowie gesetzlichen Vorgaben die Bedrohungslage im IT-Sektor geändert. Als Angriffsziel wird die deutsche Wirtschaft immer interessanter: Laut Branchenverband Bitkom verursachten Cyberattacken im Jahr 2019 einen Schaden von 102 Milliarden Euro. Mehrere Studien kommen unabhängig voneinander zum Ergebnis, dass Social Engineering, Spionage und Sabotage zu den größten Risiken für Organisationen gehören. Selbst wenn die technische Absicherung durch Firewalls und Virenscanner gegeben ist, gegen kriminelle Attacken wie Phishing sind sie machtlos. Um diese Situation zu entschärfen, ist es notwendig, Informationssicherheit auf allen Ebenen einer Organisation zu praktizieren und zu leben. Dabei hilft ISIS12.
ISIS12 wird vom IT-Sicherheitscluster e. V., Regensburg, entwickelt, herausgegeben und geschult [1] [2]. Es ist nach zehn Jahren im April 2020 in der Version 2 erschienen. Seit der ersten Version, die 2010 veröffentlich wurde, hat sich neben technischen sowie gesetzlichen Vorgaben die Bedrohungslage im IT-Sektor geändert. Als Angriffsziel wird die deutsche Wirtschaft immer interessanter: Laut Branchenverband Bitkom verursachten Cyberattacken im Jahr 2019 einen Schaden von 102 Milliarden Euro. Mehrere Studien kommen unabhängig voneinander zum Ergebnis, dass Social Engineering, Spionage und Sabotage zu den größten Risiken für Organisationen gehören. Selbst wenn die technische Absicherung durch Firewalls und Virenscanner gegeben ist, gegen kriminelle Attacken wie Phishing sind sie machtlos. Um diese Situation zu entschärfen, ist es notwendig, Informationssicherheit auf allen Ebenen einer Organisation zu praktizieren und zu leben. Dabei hilft ISIS12.
ISIS12 ist ein Verfahren, das mit transparenten Schritten Mitarbeiterinnen und Mitarbeiter aus KMO einbindet und für die Herausforderungen der Informationssicherheit sensibilisiert. Durch eine jährliche Revision wächst das ISMS mit und ermöglicht es, flexibel und dynamisch auf die jeweils aktuellen Herausforderungen zu reagieren.
PDCA
ISIS12 verfolgt konsequent den Plan-Do-Check-Act-Zyklus (PDCA). Er gibt eine klare Struktur vor und ermöglicht damit den schnellen Aufbau eines ISMS. Die Einführung von ISIS12 in kommunalen Gebietskörperschaften wird in Bayern sowie im Saarland gefördert. Weitere Förderungen erhalten Unternehmen über den Digitalbonus in Bayern.
ISIS12 verfolgt konsequent den Plan-Do-Check-Act-Zyklus (PDCA). Er gibt eine klare Struktur vor und ermöglicht damit den schnellen Aufbau eines ISMS. Die Einführung von ISIS12 in kommunalen Gebietskörperschaften wird in Bayern sowie im Saarland gefördert. Weitere Förderungen erhalten Unternehmen über den Digitalbonus in Bayern.
1.1 ISIS12 im Detail
Workflow in zwölf Schritten
ISIS12 folgt dem Grundgedanken eines sequenziellen Workflows in zwölf Schritten. Dieses Vorgehen ermöglicht es, Schritte in Eigenregie in einer Organisation durchzuarbeiten und umzusetzen.
ISIS12 folgt dem Grundgedanken eines sequenziellen Workflows in zwölf Schritten. Dieses Vorgehen ermöglicht es, Schritte in Eigenregie in einer Organisation durchzuarbeiten und umzusetzen.
Eigenschaften
Kerneigenschaften von ISIS12 sind:
Kerneigenschaften von ISIS12 sind:
| • | Strukturierte Vorgehensweise, um ein ISMS einzuführen, |
| • | Fokussierung auf kleine und mittlere Organisationen, |
| • | Kompaktheit und Überschaubarkeit, |
| • | Strukturierung. |
Skalierbar und einfach anzuwenden
Die ISIS12-Entwickler legen Wert auf Skalierbarkeit. Das kommt insbesondere Organisationen, die international tätig sind und eine spätere Zertifizierung nach ISO/IEC 27001 anstreben, zugute. Ebenso gilt dies für Organisationen, die höhere Sicherheitsanforderungen erfüllen müssen und sich für ISIS12 als ISMS-Einstieg entscheiden. Die dazu notwendigen Maßnahmen wurden mit Blick auf die Ressourcen von KMO ausgewählt und bewegen sich in einem realistischeren Bereich als die vergleichsweise abstrakten und nicht auf einfache Anwendbarkeit hin getrimmten aus der umfangreicheren ISO-27000-Normenfamilie.
Die ISIS12-Entwickler legen Wert auf Skalierbarkeit. Das kommt insbesondere Organisationen, die international tätig sind und eine spätere Zertifizierung nach ISO/IEC 27001 anstreben, zugute. Ebenso gilt dies für Organisationen, die höhere Sicherheitsanforderungen erfüllen müssen und sich für ISIS12 als ISMS-Einstieg entscheiden. Die dazu notwendigen Maßnahmen wurden mit Blick auf die Ressourcen von KMO ausgewählt und bewegen sich in einem realistischeren Bereich als die vergleichsweise abstrakten und nicht auf einfache Anwendbarkeit hin getrimmten aus der umfangreicheren ISO-27000-Normenfamilie.
Abkürzungen
Folgte ISIS12 bislang dem BSI-Grundschutzkatalog [3], kam in Version 2.x ein vollständig neuer Maßnahmenkatalog dazu. Wenn im Folgenden auf die ISIS12-Dokumente verwiesen wird, soll von folgenden Abkürzungen Gebrauch gemacht werden:
Folgte ISIS12 bislang dem BSI-Grundschutzkatalog [3], kam in Version 2.x ein vollständig neuer Maßnahmenkatalog dazu. Wenn im Folgenden auf die ISIS12-Dokumente verwiesen wird, soll von folgenden Abkürzungen Gebrauch gemacht werden:
| • | Handbuch (HB), |
| • | Maßnahmenkatalog (MK) und |
| • | Maßnahmenbeschreibungskatalog (MBK). |
Für Kompatibilität sorgt eine Referenztabelle. Diese findet man im MK am Ende einer Maßnahme (Verweis auf den MK, Version 1.5 sowie auf die ISO/IEC 27001 [4]). Das Zertifizierungsschema liegt derzeit in der Version 2.3 öffentlich zugänglich vor. Die Anwendung von ISIS12 in der Version 1.x wird bis März 2022 geschützt. Für einen reibungslosen Übergang nach ISO/IEC 27001 erarbeitet das ISIS12-V2.x-Entwicklerteam ein eigenes Handbuch. Dies gilt auch für die Erweiterung hin zum Datenschutz. Beide sind bislang nicht publiziert.
1.2 Einleitende Voraussetzungen und Regelungen
Persönliche Voraussetzungen
ISIS12 als eingetragene Marke des e. V. wird ausschließlich über den IT-Sicherheitscluster e. V. entwickelt und betreut. Dabei folgt der Betrieb nachstehender Struktur: Beraten darf nur autorisiertes Fachpersonal. Bedingung ist der Besuch einer ISIS12-Beraterschulung. Diese dauert zwei Tage und wird mit einer Prüfung abgeschlossen, die von einem unabhängigen Institut, derzeit die ICO-Cert, abgenommen wird. Erfüllt ein Aspirant die nachfolgenden Bedingungen, erhält er nach bestandener Prüfung ein Beraterzertifikat. Folgendes ist dabei zu erfüllen:
ISIS12 als eingetragene Marke des e. V. wird ausschließlich über den IT-Sicherheitscluster e. V. entwickelt und betreut. Dabei folgt der Betrieb nachstehender Struktur: Beraten darf nur autorisiertes Fachpersonal. Bedingung ist der Besuch einer ISIS12-Beraterschulung. Diese dauert zwei Tage und wird mit einer Prüfung abgeschlossen, die von einem unabhängigen Institut, derzeit die ICO-Cert, abgenommen wird. Erfüllt ein Aspirant die nachfolgenden Bedingungen, erhält er nach bestandener Prüfung ein Beraterzertifikat. Folgendes ist dabei zu erfüllen:
| • | Zertifizierung als ISO/IEC-27001-Auditor oder als IT-Grundschutzauditor oder |
| • | mindestens fünf Jahre einschlägige Berufserfahrung im Bereich IT, davon mindestens vier Jahre im Bereich Informationssicherheit oder |
| • | ein abgeschlossenes Studium im Bereich IT und/oder Informationssicherheit. |
Hat ein Teilnehmer einer Beraterschulung erfolgreich die Prüfung abgelegt, aber die o. g. Bedingungen noch nicht nachweisen können, kann die Anerkennung als ISIS12-Berater auch durch den Nachweis eines mindestens zwölf Monate erfolgreich begleiteten und zertifizierten ISIS12-Projekts an der Seite eines ISIS12-Beraters erfolgen. Dies bestätigt der ISIS12-Berater schriftlich.
Aufrechterhaltung
Jeder Berater ist verpflichtet, sein Zertifikat nach drei Jahren zu aktualisieren. Dies kann derzeit auf zwei Wegen geschehen. Zum einen kann der Berater eine Rezertifizierungsschulung belegen und dazu eine gekürzte Prüfung ablegen. Der alternative Weg führt über den Nachweis eines erfolgreichen Projektabschlusses. Hat der Berater kürzlich eine KMO erfolgreich zur Zertifizierung gebracht, besteht die Möglichkeit zur Rezertifizierung des Beraters. Über Details gibt das Cluster Auskunft [5].
Jeder Berater ist verpflichtet, sein Zertifikat nach drei Jahren zu aktualisieren. Dies kann derzeit auf zwei Wegen geschehen. Zum einen kann der Berater eine Rezertifizierungsschulung belegen und dazu eine gekürzte Prüfung ablegen. Der alternative Weg führt über den Nachweis eines erfolgreichen Projektabschlusses. Hat der Berater kürzlich eine KMO erfolgreich zur Zertifizierung gebracht, besteht die Möglichkeit zur Rezertifizierung des Beraters. Über Details gibt das Cluster Auskunft [5].
2 Die zwölf Schritte
Drei Phasen
Im Folgenden werden die Schritte von ISIS12 im Einzelnen beschrieben. In der Abbildung 1 sind sie in ihrem prozessualen Zusammenhang, sprich in ihrer linearen Abfolge dargestellt. Das Vorgehen lässt sich grob in drei Phasen einteilen. Die Schritte
Im Folgenden werden die Schritte von ISIS12 im Einzelnen beschrieben. In der Abbildung 1 sind sie in ihrem prozessualen Zusammenhang, sprich in ihrer linearen Abfolge dargestellt. Das Vorgehen lässt sich grob in drei Phasen einteilen. Die Schritte
| 1 und 2 | bilden die Initialisierungsphase, |
| 3 bis 5 | organisieren den Aufbau und den Ablauf, |
| 6 bis 12 | bilden die Entwicklungs- und Umsetzungsphase des ISIS-12 Konzepts. |
Kontrollfragen
Die nachfolgend beschriebenen Schritte folgen dem ISIS12-Handbuch (HB). Die pro Schritt dort angeführten Kontrollfragen am Ende eines jeden Schritts werden an dieser Stelle nicht wiedergegeben. Diese müssen in den Schritten 1 bis 12 vollständig mit „ja” beantwortet werden. Ist dies nicht der Fall, gilt der Schritt als nicht vollständig und führt bei einer Zertifizierung entweder zu einer Neben- oder Hauptabweichung. Die folgende Frage aus Schritt 6 kann als Beispiel für die Qualität bzw. Zielrichtung der Fragen dienen: „Ist der Schutzbedarf für alle kritischen Anwendungen von den Fachverantwortlichen mit Begründung festgestellt und dokumentiert?” Ein Nein verweist eindeutig auf den zu erledigenden Arbeitsschritt. Sämtliche Schritte müssen innerhalb von zwölf Monaten einer Revision unterzogen werden.
Die nachfolgend beschriebenen Schritte folgen dem ISIS12-Handbuch (HB). Die pro Schritt dort angeführten Kontrollfragen am Ende eines jeden Schritts werden an dieser Stelle nicht wiedergegeben. Diese müssen in den Schritten 1 bis 12 vollständig mit „ja” beantwortet werden. Ist dies nicht der Fall, gilt der Schritt als nicht vollständig und führt bei einer Zertifizierung entweder zu einer Neben- oder Hauptabweichung. Die folgende Frage aus Schritt 6 kann als Beispiel für die Qualität bzw. Zielrichtung der Fragen dienen: „Ist der Schutzbedarf für alle kritischen Anwendungen von den Fachverantwortlichen mit Begründung festgestellt und dokumentiert?” Ein Nein verweist eindeutig auf den zu erledigenden Arbeitsschritt. Sämtliche Schritte müssen innerhalb von zwölf Monaten einer Revision unterzogen werden.
2.1 Schritt 0: Basisarbeiten
Ziel festlegen
Die Einführung eines ISMS folgt stets einer sorgfältigen Planung. Die Festlegung des genauen Ziels und die dafür zur Anwendung kommenden Ressourcen sind zentral für die erfolgreiche Realisierung. Es empfiehlt sich, den Startzeitpunkt und das Ende des Projekts festzulegen und die erforderlichen Ressourcen zu definieren. Nach Abschluss des Projekts wird das ISMS in den Regelbetrieb überführt und weiterentwickelt.
Die Einführung eines ISMS folgt stets einer sorgfältigen Planung. Die Festlegung des genauen Ziels und die dafür zur Anwendung kommenden Ressourcen sind zentral für die erfolgreiche Realisierung. Es empfiehlt sich, den Startzeitpunkt und das Ende des Projekts festzulegen und die erforderlichen Ressourcen zu definieren. Nach Abschluss des Projekts wird das ISMS in den Regelbetrieb überführt und weiterentwickelt.