ISIS12 2.0 – Neuerungen und Änderungen
Allgemeines und Zielgruppe von ISIS12
ISIS12 ist ein sequenzielles Vorgehensmodell (bestehend aus Katalog und Handbuch) zur Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Die im Katalog definierten Bausteine von ISIS12 enthalten allerdings Anforderungen aus der ISO/IEC 27000-Normenreihe, dem IT-Grundschutz und der Datenschutzgrundverordnung (DSGVO). Somit kann das mit Hilfe von ISIS12 aufgebaute ISMS auch als Grundlage für eine später angestrebte ISO/IEC 27001-Zertifizierung dienen. Schließlich besteht das Vorgehen aus zwölf Schritten, die sich in drei Phasen einteilen lassen:
- Initialisierungsphase
- Aufbau- und Ablauforganisation
- Entwicklung und Umsetzung ISIS12Konzept
Die Zielgruppe von ISIS12 ist dabei klar definiert. Es richtet sich an kleine und mittlere Unternehmen (KMUs) sowie kommunale Verwaltungen und zeichnet sich durch Kompaktheit, Überschaubarkeit und Strukturierung aus.
Neuerungen und Änderungen in ISIS12 2.0
In ISIS12 2.0 sind nicht alle zwölf Schritte von Änderungen betroffen. Schritt 9 und 10 werden zu „Planen und Umsetzen“ zusammengefasst. Darüber hinaus werden optionale Einstiegsmöglichkeiten für wichtige Anforderungen aus der ISO/IEC 27000-Normenreihe und IT-Grundschutz ergänzt. Das Thema Risikomanagement (BSI-Standard 200-3 bzw. ISO/IEC 27005) wird ferner optional als neuer Schritt 8 hinzugenommen. Die Modellierung der Sicherheitsmaßnahmen (bis ISIS12 1.9 in Schritt 8) wird unter Schritt 6 ebenfalls mit der Identifikation kritischer Applikationen zusammengeführt. Darüber hinaus wird in Schritt 11 mit dem internen Audit ein optionaler Pfad aufgenommen, was insbesondere im Rahmen der ISO/IEC 27000-Normenreihe ein wichtiger Punkt ist.
ISIS12 2.0 zeichnet sich insbesondere durch die Flexibilität hinsichtlich des möglichen Ausbaus hin zu IT-Grundschutz und/oder der ISO/IEC 27000-Normenreihe aus. Des Weiteren wird die Einbindung individueller Anforderungen wie eine alleinstehende Risikobetrachtung deutlich verbessert.
Vor allem die Einbindung optionaler Pfade wird es dem Anwender erleichtern, ISIS12 auf seine Bedürfnisse und perspektivischen Anforderungen hin anzupassen.
Sandra Wiesbeck, Vorstandsvorsitzende & Leiterin Bayerischer IT-Sicherheitscluster e.V.
Softwaregestützte Umsetzung von ISIS12 2.0 mit ibi systems iris
Die Software ibi systems iris unterstützt neben den gängigen Standards wie IT-Grundschutz und der ISO/IEC 27000-Normenreihe selbstverständlich auch ISIS12 2.0, welches einen sehr guten Einstieg in das Thema Informationssicherheit für KMUs darstellt. ibi systems iris findet dabei insbesondere für die Schritte 6 – 11 Anwendung:
Schritt 6, Kritische Applikationen identifizieren + Sicherheitsmaßnahmen modellieren
In ibi systems iris können alle kritischen Applikationen als Assets angelegt, als kritisch gekennzeichnet und später danach gefiltert werden. Maßnahmen (inkl. Angabe der Verantwortlichkeiten) werden auf Basis von Maßnahmenkatalogen, Handlungsempfehlungen und/oder manuell definiert.
Schritt 7, IT-Struktur analysieren
Die IT-Struktur wird in ibi systems iris unter dem Funktionsbereich Architektur abgebildet. Hier werden Assets und Prozesse erfasst und zueinander modelliert sowie eine Schutzbedarfsfeststellung durchgeführt. Auf Basis der Modellierung findet eine Vererbung des Schutzbedarfs nach dem Maximalprinzip statt.
Schritt 8, Risikomanagement (optional)
ibi systems iris ermöglicht ein umfassendes Risikomanagement. Bei der Beschreibung eines Risikos kann dabei eine Vielzahl an Verknüpfungen (u. a. mit Bedrohungen/Gefährdungen, Schwachstellen, Assets) hinzugefügt werden. Das Risiko wird im Anschluss bewertet und dabei auh eine Risikobehandlungsstrategie inkl. Maßnahmen zugewiesen. Nach der Risikobehandlung erfolgt eine Neubewertung des Risikos. Dieser iterative Bewertungs- und Behandlungsprozess wird so lange durchlaufen, bis das Risiko akzeptiert werden kann und dann so im Unternehmen verbleibt. Die Dokumentation der Risikobehandlung (auch über den Zeitverlauf) kann dabei jederzeit eingesehen und exportiert werden. Außerdem wird mit der Software ein schneller Überblick über den Status quo aller aktuellen Risiken ermöglicht.
Schritt 9, SOLL-IST vergleichen
Ein SOLL-IST-Vergleich wird in ibi systems iris durch eine Prüfung ermöglicht. Bei den einzelnen Kontrollen wird festgehalten, ob eine Anforderung umgesetzt wurde oder ob Nachbesserung erforderlich ist. Allgemein können bei den Kontrollen einer Prüfung Feststellungen (z. B. Abweichungen, Schwachstellen, Verbesserungspotenziale) identifiziert und darauf wiederum Maßnahmen zugewiesen werden.
Schritt 10, Umsetzung planen + Umsetzung
Die unter Schritt 6 definierten Maßnahmen werden in iris den Empfängern zur Umsetzung zugewiesen. Die Software unterstützt folglich eine Rollentrennung zwischen Maßnahmenverantwortlichem und Maßnahmenumsetzer.
Schritt 11, Jährlicher Bericht des Informationssicherheitsbeauftragten + internes Audit (optional)
Durch Dashboards, Exportmöglichkeiten der Listenansichten und Generierung von Reports basierend auf Vorlagen sind die Berichtsmöglichkeiten durch ibi systems iris sehr umfangreich. Ein internes Audit inkl. Feststellungen und weiterem Follow-up durch Maßnahmen ist in Form von Prüfungen in ibi systems iris möglich.
Übergreifend zum Thema DSGVO
Hinsichtlich DSGVO unterstützt ibi systems iris bei der Erstellung eines Verfahrensverzeichnisses und der Risikofolgeabschätzung.
Fazit
Durch den Einsatz der Software ibi systems iris wird die Umsetzung von ISIS12 maßgeblich unterstützt. Mit der softwaregestützten ISIS12-Umsetzung als Einstiegspunkt zur Informationssicherheit schlagen Sie eine Brücke zur möglichen Zertifizierung z. B. nach ISO 27001. Mit ibi systems iris haben Sie von Anfang an ein verlässliches Tool zur Hand, welches Sie in allen Belangen der Informationssicherheit unterstützt.
____________________
Quellen:
- Struve, Felix (2019): ISIS12 Version 2.0: Veränderung mit stabilem Rückrat, Online im Internet: https://www.mittelstandswiki.de/themencode-pdf-viewer/?file=https://www.mittelstandswiki.de/wp-content/uploads/2019/09/Kommunale_ITK_2019-09.pdf, Abfrage: 23.10.2019, 09:20 Uhr.