Das IT-Grundschutz-Kompendium wurde zum 7. Mal aktualisiert. Die neue Edition 2023 geht mit einigen Änderungen einher. Kurz zusammengefasst werden 3 Bausteine gestrichen und teilweise durch neue ersetzt. Es kommen 10 neue Bausteine hinzu und 21 Bausteine wurden zur Edition 2022 überarbeitet. Aber schauen wir uns die Änderungen im Detail an, durch die das BSI das Kompendium auf den Stand der Technik bringt.

Was entfällt?

SYS.2.2.2. Clients unter Windows 8.1: Da der Support für Windows 8.1 am 10. Januar 2023 eingestellt wird, sollte das Betriebssystem nicht mehr eingesetzt werden, da mit Ende des Supports die Versorgung mit wichtigen Sicherheitsupdates eingestellt wird.

OPS.2.1 Outsourcing für Kunden: Der Baustein wird durch den Baustein „OPS.2.3 Nutzung von Outsourcing“ ersetzt, der sich mit Outsourcing aus der Sicht von Kunden befasst.

OPS.3.1 Outsourcing für Dienstleister: Dieser wir durch „OPS.3.2 Anbieten von Outsourcing“ ersetzt.

Was wurde überarbeitet?

Nach der Veröffentlichung der letzten Edition hat das IT-Grundschutz-Team des BSI Rückmeldungen von Anwendern des Kompendiums gesammelt, die in die Überarbeitung des Standards und seiner Prüfungen eingeflossen sind.

Zum einen wurden geringfügige sprachliche Änderungen vorgenommen, die keine Auswirkungen auf das Zertifizierungsverfahren haben oder auf bestehenden Sicherheitskonzepten aufbauen. Diese Änderungen dienen der besseren Verständlichkeit und sind am geänderten Datum in der Fußzeile erkennbar.

Zum anderen gibt es Bausteine mit größeren Änderungen, die entsprechende Auswirkungen haben können. Für diese hat das BSI unter folgendem LINK ein Änderungsdokument zur Verfügung gestellt. In diesem Dokument finden Sie eine detaillierte Beschreibung der Änderungen in den einzelnen Bausteinen. Aufgrund des Umfangs der Änderungen können wir im Rahmen dieses Artikels nicht auf jeden einzelnen Baustein eingehen. Es folgt jedoch eine Übersicht der geänderten Bausteine aus dem verlinkten Änderungsdokument des BSI:

• ORP.1 Organisation
• CON.1 Kryptokonzept
• CON.2 Datenschutz
• OPS.1.1.2 Ordnungsgemäße IT-Administration
• OPS.1.1.3 Patch- und Änderungsmanagement
• OPS.1.2.5 Fernwartung
• APP.1.2 Webbrowser
• APP.2.1 Allgemeiner Verzeichnisdienst
• APP.2.2 Active Directory – Der Baustein wurde in „Active Directory Domain Services“ umbenannt.
• APP.2.3 OpenLDAP
• APP.5.3 Allgemeiner E-Mail-Client und -Server
• SYS.1.1 Allgemeiner Server
• SYS.2.1 Allgemeiner Client
• SYS.2.3 Clients unter Linux und Unix
• SYS.2.2.3 Clients unter Windows 10 – Der Baustein wurde in „Clients unter Windows“ umbenannt und behandelt nun mit Windows 10 und 11 die einzigen beiden Versionen von Windows für Client-Systeme, die durch Microsoft
  Support erhalten.
• SYS.4.3 Eingebettete Systeme
• SYS.4.5 Wechseldatenträger
• IND.3.2 Fernwartung im industriellen Umfeld
• INF.1 Allgemeines Gebäude
• INF.2 Rechenzentrum sowie Serverraum
• INF.10 Besprechungs-, Veranstaltungs- und Schulungsraum

Geschlechtergerechte Sprache und neue Rollenbezeichnungen

Mit dem IT-Grundschutz 2023 wurde das gesamte Kompendium im Sinne der Gleichbehandlung auf eine geschlechtergerechte Sprache umgestellt. In diesem Zusammenhang wurden auch die Rollenbezeichnungen überarbeitet. Diese lauten nun wie folgt:

Alte Rollenbezeichnung	Neue Rollenbezeichnung
Anforderungsmanager (Compliance Manager)	Compliance-Beauftragte
Bauleiter	Bauleitung
Benutzer	Benutzende
Bereichssicherheitsbeauftragter	Bereichssicherheitsbeauftragte
Brandschutzbeauftragter	Brandschutzbeauftragte
Datenschutzbeauftragter	Datenschutzbeauftragte
Entwickler	Entwickelnde
ICS-Informationssicherheitsbeauftragter	ICS-Informationssicherheitsbeauftragte
Informationssicherheitsbeauftragter (ISB)	Informationssicherheitsbeauftragte (ISB)
Mitarbeiter	Mitarbeitende
Notfallbeauftragter	Notfallbeauftragte
OT-Leiter	OT-Leitung
Planer	Planende
Tester	Testende

Welche neuen Bausteine gibt es?

Um mit der Zeit gehen zu können, ist es immer wieder notwendig, nicht nur Anpassungen vorzunehmen oder veraltete Bausteine in den Ruhestand zu schicken. Es müssen auch immer wieder neue Anforderungen formuliert werden, um am Puls der Zeit zu bleiben.

Wie schon im ersten Absatz beschrieben finden sich in OPS.2.3 & OPS.3.2 neue Bausteine für Outsourcing-Maßnahmen. Als ein weiteres Bespiel für die Neuerungen kann hier der Baustein APP.5.4 Unified Communications and Collaboration dienen. Dieser beschreibt Anwendungen, die mehrere Kommunikationswege und Werkzeuge zur Zusammenarbeit vereinen. Hier lässt sich kurz zusammenfassen, Anwendungen wie Microsoft Teams haben an dieser Stelle nun einen eigenen Baustein. Die Übersicht der neuen Bausteine sieht wie folgt aus:

• CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)OPS.1.1.1 Allgemeiner IT-Betrieb
• OPS.2.3 Nutzung von Outsourcing – Dieser Baustein ersetzt OPS.2.1 Outsourcing für Kunden.
• OPS.3.2 Anbieten von Outsourcing – Dieser Baustein ersetzt OPS.3.1 Outsourcing für Dienstleister.
• APP.5.4 Unified Communications und Collaboration (UCC)
• SYS.1.2.3 Windows Server
• SYS.1.9 Terminalserver
• SYS.2.5 Client-Virtualisierung
• SYS.2.6 Virtual Desktop Infrastructure
• NET.3.4 Network Access Control

Der IT-Grundschutz 2023 in ibi systems iris

Wie auch schon mit den vergangenen Editionen werden wir auch den IT-Grundschutz 2023 in ibi systems iris® zeitnah zur Verfügung stellen. Sollten Sie hierzu Fragen haben kontaktieren Sie uns einfach.

 

 

Zurück zur Übersicht

Vom ISMS zum IMS – Integration der Managementsysteme

Mit Integrierten Managementsystemen lassen sich Unternehmen ganzheitlich, transparent und effizient steuern! Prozesse werden in einem „End-to-End“-Kontext betrachtet, Strategien und Ziele lassen sich zentral und nachhaltig umsetzen. Gleichzeitig reduzieren Unternehmen damit den personellen, zeitlichen und finanziellen Aufwand.

#Digitalisierung #Nachhaltigkeit #Arbeitsschutz #Kulturwandel #Wettbewerbsdruck: In unserer rasanten und globalisierten Welt müssen sich moderne Unternehmen in zahlreichen, teils konkurrierenden Themenfeldern beweisen. Mittlerweile gibt es für fast jede Unit zertifizierbare Managementsysteme, die dabei unterstützen, die zahlreichen Herausforderungen zu meistern und dies von unabhängigen Institutionen bestätigen zu lassen – angefangen bei der ISO 9001 für das Qualitätsmanagement über die ISO 14001 für das Umweltmanagement, die ISO 50001 für das Energiemanagement, die ISO 45001 für Sicherheit und Gesundheit bei der Arbeit, die 37301 für Compliance, die 31000 für Risikomanagement bis hin zur ISO 27001 für die Informationssicherheit und die ISO 55001 für das Asset Management.

„Synergieeffekt“ lautet das Stichwort – Gebündelte Ressourcen, zentrales Management, zufriedene Mitarbeiter.

Unternehmen, die mehrere Managementsysteme betreiben, leiden oft an der Dokumentation, der Vor- und Nachbereitung der internen wie externen Audits und an der laufenden Weiterentwicklung der Kernleistung des Unternehmens. Diese Maßnahmen binden personelle und finanzielle Ressourcen.

Mit einem Integrierten Managementsystem (IMS) lassen sich enorme Synergieeffekte erzielen: Es unterstützt, die Unternehmensstrategie und -ziele und die damit verbundenen Prozesse – salopp gesagt – „unter einen Hut“ zu bringen. Dies bedeutet, dass alle Anforderungen und Prozesse in den relevanten Bereichen in einem ganzheitlichen System fortlaufend konvergieren. So wird es ermöglicht, eine umfassende Transparenz und zentrale Steuerung aller Prozesse und Verfahren zu erzielen. Nicht zuletzt erleichtert ein IMS den Arbeitsalltag enorm und sichert damit auch die Akzeptanz der Mitarbeiter.

Somit hat die Integration mehrerer Managementsysteme das primäre Ziel, Ressourcen zu bündeln. Beispielsweise ermöglicht ein IMS die kombinierte Dokumentation zahlreicher Informationen und Prozesse. Audits, Awarenessmaßnahmen (Schulungen, interne Kommunikation, etc.) und Verbesserungsmaßnahmen hinsichtlich des IMS lassen sich kombiniert durchführen, was sich auf das Ressourcenkonto positiv zu Buche schlägt. Mithilfe der Integration ist es möglich, dass wenige Mitarbeiter für diese Aufgabe verantwortlich sind – dies ist besonders für kleinere und mittlere Unternehmen von enormen Vorteil.

„Die Formel“ – wo beginnt der Weg zum IMS?

Unternehmen nutzen als Referenzsystem meist das bereits vorhandene Qualitätsmanagementsystem (QMS) nach ISO 9001 und integrieren Schritt für Schritt weitere Systeme. Aber auch auf ein Informationssicherheitsmanagementsystemen (ISMS) nach ISO 27001 lässt sich hervorragend aufsetzen!

Dabei gilt: Wer das Leitsystem frühzeitig auf die Integration weiterer Systeme vorbereitet und auf eine integrierte Zertifizierung ausrichtet, profitiert schon zu Beginn von optimalen Prozessen und erzielt enorme Synergieeffekte. Die nahezu identischen Begriffe und Definitionen und der einheitliche Aufbau der Harmonized Structure (HS) erleichtern es, die Managementsysteme zu integrieren. Darüber hinaus können andere Begleitkonzepte wie etwa der Datenschutz, das Risikomanagement oder Changemanagement in das IMS ebenfalls eingebettet werden. Dies vermeidet Überschneidungen und Doppelarbeit.

Integration von Managementsystemen mit der Software „iris“

Für eine erfolgreiche und reibungslose Implementierung eines Integrierten Managementsystems (IMS) sollte von Anfang an eine gesamtheitliche (GRC-/IMS-)Software zur Unterstützung der definierten Prozesse eingesetzt werden. Die Software erleichtert dabei etwa das Management von Anforderungen (regulatorisch, intern, normativ), Risiken, Audits, Feststellungen und Maßnahmen.

Zunehmende regulatorische Anforderungen, Anforderungen seitens der Stakeholder, aber auch die regelrechte „Flut“ an Normen und Standards verdichten den bestehenden Anforderungsdschungel fortlaufend. Die systemgestützte Umsetzung eines IMS kann die Einhaltung diverser anderer Gesetze und Richtlinien hinsichtlich der zu integrierenden Managementsysteme gewährleisten. Hierzu unterstützt etwa der Funktionsbereich „Prüfungen“ in der Software ibi systems iris. Dadurch lassen sich individuelle Checklisten zu diversen Standards, Gesetzen und Normen erstellen sowie darauf aufbauend Prüfungen planen, durchführen und deren Ergebnisse in gängige Formate exportieren.

Durch die systematischen und präventiven Governance-Maßnahmen im Rahmen einer IMS-Einführung, lassen sich teure und ggf. existenzbedrohende Risiken vermeiden. Maßnahmen werden durch den Einsatz einer Software systematisch definiert, getrackt und umgesetzt. Maßnahmen-Kataloge können dazu in der Software ibi systems iris ebenfalls angelegt und zu Rate gezogen werden. Auch eingetretene Risiken, Sicherheitsvorfälle oder Notfälle und der systematisch geplante Umgang mit diesen kann so festgehalten und dokumentiert werden.

Es sollten Schnittstellen und Prozesse der jeweiligen Managementsysteme und die Software von Beginn an aufeinander abgestimmt werden. Ein solches Vorgehen gewährleistet eine konsistente und strukturierte Einführung eines Integrierten Managementsystems und vermeidet einen „Wildwuchs“ von Dokumenten und Excel-Listen.

Mit einer ganzheitlichen Software für GRC/IMS haben Sie jederzeit den vollen Überblick über alle Aspekte der unternehmenseigenen und nachhaltigen Governance. Mit Hilfe von Dashboards und Reports in der Software ibi systems iris ist ein übersichtlicher Statusbericht nur wenige Mausklicks entfernt.

Fazit

Die Einführung eines IMS bringt also viele Vorteile mit sich und sollte in jedem Fall in Verbindung mit einer geeigneten Software wie ibi systems iris umgesetzt werden. Im Bereich der IT-Sicherheit gibt es diverse Förderprogramme um Unternehmen auch finanziell zu unterstützen – zum Beispiel bei der Softwarebeschaffung für eine IMS-Implementierung. Der Freistaat Bayern bietet hier mit dem Digitalbonus für kleine und mittlere Unternehmen eine attraktive Möglichkeit, um sich für die Herausforderungen der digitalen Welt zu rüsten.

Vorteile mit ibi systems iris beim Aufbau des IMS

• Integrierte Systemarchitektur und zentrale Datenbank zur Verwaltung aller relevanten Assets und Prozesse des IMS
• Direkte Hinterlegung von Anforderungen (regulatorisch, intern, normativ), zugehörigen Dokumenten und Erstellung von Feststellungen bzw. Schwachstellen (Soll-/Ist-Abgleich inkl. Gap-Analyse)
• Ständig aktueller und verfügbarer Nachweis über den Systemstatus im IMS Betrieb und bei der Zertifizierung der Managementsysteme
• Zuständigkeiten für Assets und Prozesse sind klar definiert
• Automatisierte Handlungsempfehlungen je Kategorie (Gefährdungen und Maßnahmen)
• Modellierung inkl. (vererbten) Schutzbedarf
• Erfassung, Bewertung und Behandlung der Risiken nach definiertem Risikoprozess
• Tracking und aktive Steuerung definierter Maßnahmen
• Regelmäßige oder Ad-hoc-Reports über aktuelle Risikolage abrufbar
• Aktuelle Prüfergebnisse, Kennzahlen und Informationen zu Vorfällen, Risiken, Maßnahmen, etc.
• Reportfunktion für nahezu alle relevanten Berieche inkl. Prüfungen bzw. Audits
• Ad-hoc-Monitoring aller relevanten Aktivitäten mit der Dashboardfunktion

 

 

Zurück zur Übersicht

____________________

Management Summary

Im Jahr 2013 wurde sie zum letzten Mal veröffentlicht. Jetzt, acht Jahre später, wird die ISO/IEC 27000 Normenreihe neu aufgearbeitet. Dabei steht zunächst der ISO/IEC 27002 in naher Zukunft die endgültige Veröffentlichung bevor. Die vorläufige Version, in der die umfassenden Änderungen eingesehen werden können, kann bereits erworben werden.

Doch was ist neu in der ISO/IEC 27002? Darauf möchten wir in diesem Beitrag genauer eingehen.

Neue Struktur

Die Struktur der ISO/IEC 27002 wurde von 14 Kapitel auf 4 Kapitel reduziert. Zusammengefasst wurden die Kapitel in:

1. People controls (8 Controls – es sind einzelne oder mehrere Menschen betroffen)
2. Physical controls (14 Controls – es sind physische Objekte betroffen)
3. Technological controls (34 Controls – es sind die Technik betroffen)
4. Organizational controls (37 Controls – es passt in keine der anderen drei Themenbereiche)

Controls

Auf der nächsten Ebene wurde der Aufbau der Controls geändert. Eine Control gliedert sich nun in die folgenden Bausteine:

• Control title – Bezeichnung des Controls
• Attribute – Die Tabelle zeigt Wert(e) des Attributs für das jeweilige Control
• Control – Beschreibung des Controls
• Purpose – Zweck des Controls wird erläutert (es gibt keine Ziele mehr in Unterabschnitten, dafür hat jede Control jetzt ihren eigenen Zweck)
• Guidance – Implementierungsanleitung für das Control
• Other Information – Erläuternder Text, Verweise auf zugehörige Dokumente

Attribute

Nicht nur der Aufbau der Controls hat sich geändert. Jede Control wurde mit 5 Attributen ausgestattet, wobei jedem Attribut mindestens ein Wert mittels Hashtags (#) zugeordnet wird. Der Vorteil hierbei ist, dass die Controls somit semantisch zusammengefasst werden können.

Control type	Information security properties	Cyber security concept	Operational capabilities	Security domains
#Preventive (Präventiv, Control wirkt, bevor Bedrohung auftritt) #Detective (Detektiv, Control wirkt, wenn eine Bedrohung auftritt) #Corrective (Korrektiv, Control wirkt, nachdem eine Bedrohung aufgetreten ist)	#Confidentiality (Vertraulichkeit) #Integrity (Integrität) #Availability (Verfügbarkeit)	#Identify (Identifizieren von Assets) #Protect (Schutz von Assets) #Detect (Monitoring und Erkennen von Anomalien) #Respond (Reaktionsprozesse auf Vorfälle und Notfälle) #Recover (Prozesse zur Wiederherstellung des Normalzustands und zur Verbesserung nach Vorfällen)	#Governance #Asset_management #Information_protection #Human_resource_security #Physical_security #System_and_network_security #Application_security #Secure_configuration #Identity_and_access_management #Threat_and_vulnerability_management #Continuity #Supplier_relationships_security #Legal_and_compliance #Information_security_event_management #Information_security_assurance	#Governance_and_Ecosystem #Protection #Defence #Resilience

Am Beispiel „5.1 Policies for Information security“ ist der Aufbau der Control ersichtlich:

Vorteil dieser Attribute

Nun kann nach individuellen Aspekten gefiltert werden. Zum Beispiel alle #Preventive Controls, welche auf das Schutzziel #Availability wirken.

So kann mit wenig Aufwand zielgerichtet agiert und das ISM nach individuellen Gegebenheiten bzw. Rangfolge ausgeprägt werden.

Ideale Unterstützung durch ibi systems iris

Anhand unseres Beispiels filtern wir die aktuelle Draft der ISO/IEC 27002:2021 nach dem Control type #Corrective und Schutzziel #Availability. Als Ergebnis bekommen wir alle Controls ausgegeben, die die entsprechenden Attribute enthalten. Dies lässt sich später selbstverständlich auch auf Risiken oder Maßnahmen anwenden.

Just to Know – Was außerdem noch neu ist: Weggefallene und neue Controls

Die bisherigen 114 Controls wurden auf 93 komprimiert. Lediglich eine einzige Control, nämlich die „11.2.5 Removal of asset“ ist dabei tatsächlich weggefallen. Die Controls “8.2.3 Handling of Assets” und “16.1.3 Reporting information security weaknesses“ wurden in anderen Controls konsolidiert. Die übrigen Controls wurden zusammengefasst und komprimiert. Zudem wurden elf Controls neu aufgenommen:

ISO/IEC 27002 control identifier	Control name
5.7	Threat intelligence
5.23	Information security for use of cloud services
5.30	ICT readiness for business continuity
7.4	Securing offices, rooms and facilities
8.9	Configuration management
8.10	Information deletion
8.11	Data masking
8.12	Data leakage prevention
8.16	Monitoring activities
8.22	Web filtering
8.28	Secure coding

Die ISO/IEC27002:2022 – ein Fazit

Wie sich hier schon abzeichnet, bleiben die Komplexität und die Anforderungen der Norm von 2013 erhalten. Jedoch erscheint sie in einem neuen, verbesserten Gewand.

Aufgrund der stetigen Veränderung der Bedrohungslage im digitalen Raum wurde von der Normungsorganisation die ISO/IEC 27002 durch die Umstrukturierungen an einigen Stellen wesentlich expliziter gestaltet als die Vorgängerversion.

In Kapitel „5.7 Threat Intelligence“ beispielsweise wird die Sammlung und Auswertung von Informationen über Bedrohungen gefordert. Dies bedeutet zwar einen Mehraufwand, hilft den umsetzenden Organisationen aber dabei, ein aktuelles Bild von vorhandenen Bedrohungsszenarien vor Augen zu haben. Das dadurch entstandene Wissen kann dann dazu genutzt werden, Prozesse neu zu bewerten, verantwortliche Personen in der Organisation zu informieren und den Schutz der betroffenen Assets zu verbessern.

Ein weiterer, sehr wichtiger Punkt der Verjüngungskur wird in Kapitel „5.23 Information security for use of cloud services“ im Hinblick auf die Nutzung von Cloud-Infrastruktur deutlich. Auch hier geht das Update sehr viel genauer ins Detail als noch in früheren Fassungen der Norm. Neben Verantwortlichkeiten in der Organisation und der Prüfung der technisch organisatorischen Maßnahmen der Cloudanbieter fordert die Norm auch eine Exit-Strategie inklusive Maßnahmen und Prozessen für Informationssicherheitsvorfälle bei den Clouddiensten. Weiterhin wird in diesem und anderen Kapiteln ein stärkerer Fokus auf den Schutz von personenbezogenen Daten gelegt.

Auch wenn die ISO/IEC 27002 informativ und nicht normativ anzusehen ist, spiegeln sich in der Struktur der Norm der Umfang und Aufbau der noch neu erscheinenden ISO/IEC 27001 wider.

Es gibt zwar eine Übergangsfrist von einem Jahr, in der die 2013er-Fassung noch für eine Zertifizierung verwendet werden kann, nachdem die endgültige Fassung der ISO/IEC 27002 veröffentlicht wurde. Dennoch empfiehlt es sich aufgrund der umfangreichen Änderungen, schon bald mit der Implementierung zu beginnen, da diese nicht nur die Struktur betreffen. Mit Hilfe unserer softwaregestützten ISMS- und GRC-Lösung können die anstehenden Änderungen einfach und effektiv umgesetzt werden.

 

 

Zurück zur Übersicht

____________________

Ausgangslage und Inhalte der betrachteten Studie

Der Support für das GSTOOL des BSI wurde zum Ende des Jahres 2016 aus wirtschaftlichen Gründen eingestellt. Somit sollten alle Anwender bereits ein Nachfolgetool ausgewählt und im Einsatz haben. Für alle Anwender die nach wie vor das GSTOOL des BSI nutzen, kann die im Folgenden betrachtete Studie als Entscheidungshilfe dienen.

Am Markt sind eine Vielzahl von ISMS-Tools als Alternative zum GSTOOL vertreten. Für diese Studie wurden die Produkte von acht Herstellern analysiert. Zur besseren Vergleichbarkeit wurde das GSTOOL ebenso in die Studie mit einbezogen. Dabei mussten die Hersteller Fragenkataloge mit den wichtigsten Anforderungen beantworten. Diese wurden anschließend zusammen mit den Ergebnissen eines Anwendungstest durch ein Team von Grundschutz und Informationssicherheitsexperten ausgewertet.

Ergebnisse der Studie zu ISMS-Tools als GSTOOL-Alternative

Schließlich wurde nach Auswertung der Fragebögen und Ergebnisvalidierung mittels Produkttests unter anderem ibi systems iris die Eignung als ISMS-Tool in heterogenen und geografisch verteilten Umgebungen attestiert und als sehr empfehlenswert eingestuft. Weitere Details können ferner den aufgeführten Grafiken weiter unten in diesem Beitrag entnommen werden.

Im Folgenden sind die Kriterien kurz aufgelistet und in Stichpunkten erläutert, die im Fragebogen berücksichtigt wurden:

Systemvoraussetzungen

• Clients
• Server
• Datenbanken

Benutzbarkeit (Usability)

• Mehrbenutzerfähigkeit
• Mandantenfähigkeit
• Integriertes Berechtigungssystem
• Netzwerkfähigkeit
• Offlinefähigkeit
• Mehrsprachigkeit
• Modellierung von IT-Verbünden

Risikoanalyse

• Konfiguration der Schutzbedarfskategorien
• Manuelle Anpassung des vererbten Schutzbedarfs

IT Grundschutz (BSI)

• Importierbarkeit der Grundschutz-Kataloge
• Erstellung eigener Bausteine, Gefährdungen und Maßnahmen
• Dokumentation Basis-Sicherheitscheck

ISO 27001

• Nativer Support
• Parallel/alternatives Arbeiten nach ISO 27001 (Controls implementierbar etc.)

ISMS Managementprozesse und Workflows

• DMS und Versionierung
• Integration anderer Tools (z. B. Vulnerability Scanner)

Reporting

• Reporting-Funktion mit individuell konfigurierbaren Reports
• Import-/Exportfunktion (Microsoft Office kompatibel)

---

Fazit

Das ISMS-Tool ibi systems iris überzeugte schließlich in der Studie. Darüber hinaus kamen bis heute viele weitere Funktionen in der Software ibi systems iris hinzu. Dabei wurde insbesondere zum Thema Reporting eine umfangreiche und vom Kunden individuell konfigurierbare Reporting-Engine integriert. Damit ist folglich die Erstellung eigener Reportingvorlagen über die Benutzeroberfläche möglich. Somit ist anzunehmen, dass das Kriterium sieben („REPORTING“) heute eine noch höhere Bewertung erzielen würde.

Es wurde aber auch deutlich, dass die untersuchten ISMS-Tools in den Bewertungskategorien heterogene Stärken und Schwächen aufweisen. Eine eindeutige Empfehlung für ein Produkt ist daher nicht möglich. Die Ergebnisse erlauben jedoch GSTOOL-Nutzern, ein für ihre Bedürfnisse geeignetes Produkt zu ermitteln. Somit bestimmen die individuellen Anforderungen der Nutzer, welche ISMS-Tools zum Einsatz kommen sollten.

 

 

Zurück zur Übersicht

____________________

---

Quellen:

• BSI (2015): GS-TOOL Quo Vadis? – Evaluation von ISMS Alternativen, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/3GS_Tag_2015/04_Rehaeusser_GSTOOL.html, Abfrage: 17.03.2020, 09:37 Uhr.
• CSC Deutschland GmbH (2015): GSTOOL QUO VADIS? EVALUATION VON INFORMATION SECURITY MANAGEMENT SYSTEM TOOLS ALS GRUNDSCHUTZ TOOL ALTERNATIVEN.

Allgemeines und Zielgruppe von ISIS12

ISIS12 ist ein sequenzielles Vorgehensmodell (bestehend aus Katalog und Handbuch) zur Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Die im Katalog definierten Bausteine von ISIS12 enthalten allerdings Anforderungen aus der ISO/IEC 27000-Normenreihe, dem IT-Grundschutz und der Datenschutzgrundverordnung (DSGVO). Somit kann das mit Hilfe von ISIS12 aufgebaute ISMS auch als Grundlage für eine später angestrebte ISO/IEC 27001-Zertifizierung dienen. Schließlich besteht das Vorgehen aus zwölf Schritten, die sich in drei Phasen einteilen lassen:

• Initialisierungsphase
• Aufbau- und Ablauforganisation
• Entwicklung und Umsetzung ISIS12Konzept

Die Zielgruppe von ISIS12 ist dabei klar definiert. Es richtet sich an kleine und mittlere Unternehmen (KMUs) sowie kommunale Verwaltungen und zeichnet sich durch Kompaktheit, Überschaubarkeit und Strukturierung aus.  

Neuerungen und Änderungen in ISIS12 2.0

In ISIS12 2.0 sind nicht alle zwölf Schritte von Änderungen betroffen. Schritt 9 und 10 werden zu „Planen und Umsetzen“ zusammengefasst. Darüber hinaus werden optionale Einstiegsmöglichkeiten für wichtige Anforderungen aus der ISO/IEC 27000-Normenreihe und IT-Grundschutz ergänzt. Das Thema Risikomanagement (BSI-Standard 200-3 bzw. ISO/IEC 27005) wird ferner optional als neuer Schritt 8 hinzugenommen. Die Modellierung der Sicherheitsmaßnahmen (bis ISIS12 1.9 in Schritt 8) wird unter Schritt 6 ebenfalls mit der Identifikation kritischer Applikationen zusammengeführt. Darüber hinaus wird in Schritt 11 mit dem internen Audit ein optionaler Pfad aufgenommen, was insbesondere im Rahmen der ISO/IEC 27000-Normenreihe ein wichtiger Punkt ist.

ISIS12 2.0 zeichnet sich insbesondere durch die Flexibilität hinsichtlich des möglichen Ausbaus hin zu IT-Grundschutz und/oder der ISO/IEC 27000-Normenreihe aus. Des Weiteren wird die Einbindung individueller Anforderungen wie eine alleinstehende Risikobetrachtung deutlich verbessert.

Vor allem die Einbindung optionaler Pfade wird es dem Anwender erleichtern, ISIS12 auf seine Bedürfnisse und perspektivischen Anforderungen hin anzupassen.

Sandra Wiesbeck, Vorstandsvorsitzende & Leiterin Bayerischer IT-Sicherheitscluster e.V.

Softwaregestützte Umsetzung von ISIS12 2.0 mit ibi systems iris

Die Software ibi systems iris unterstützt neben den gängigen Standards wie IT-Grundschutz und der ISO/IEC 27000-Normenreihe selbstverständlich auch ISIS12 2.0, welches einen sehr guten Einstieg in das Thema Informationssicherheit für KMUs darstellt. ibi systems iris findet dabei insbesondere für die Schritte 6 – 11 Anwendung:

Schritt 6, Kritische Applikationen identifizieren + Sicherheitsmaßnahmen modellieren

In ibi systems iris können alle kritischen Applikationen als Assets angelegt, als kritisch gekennzeichnet und später danach gefiltert werden. Maßnahmen (inkl. Angabe der Verantwortlichkeiten) werden auf Basis von Maßnahmenkatalogen, Handlungsempfehlungen und/oder manuell definiert.

Schritt 7, IT-Struktur analysieren

Die IT-Struktur wird in ibi systems iris unter dem Funktionsbereich Architektur abgebildet. Hier werden Assets und Prozesse erfasst und zueinander modelliert sowie eine Schutzbedarfsfeststellung durchgeführt. Auf Basis der Modellierung findet eine Vererbung des Schutzbedarfs nach dem Maximalprinzip statt.

Schritt 8, Risikomanagement (optional)

ibi systems iris ermöglicht ein umfassendes Risikomanagement. Bei der Beschreibung eines Risikos kann dabei eine Vielzahl an Verknüpfungen (u. a. mit Bedrohungen/Gefährdungen, Schwachstellen, Assets) hinzugefügt werden. Das Risiko wird im Anschluss bewertet und dabei auh eine Risikobehandlungsstrategie inkl. Maßnahmen zugewiesen. Nach der Risikobehandlung erfolgt eine Neubewertung des Risikos. Dieser iterative Bewertungs- und Behandlungsprozess wird so lange durchlaufen, bis das Risiko akzeptiert werden kann und dann so im Unternehmen verbleibt. Die Dokumentation der Risikobehandlung (auch über den Zeitverlauf) kann dabei jederzeit eingesehen und exportiert werden. Außerdem wird mit der Software ein schneller Überblick über den Status quo aller aktuellen Risiken ermöglicht.

Schritt 9, SOLL-IST vergleichen

Ein SOLL-IST-Vergleich wird in ibi systems iris durch eine Prüfung ermöglicht. Bei den einzelnen Kontrollen wird festgehalten, ob eine Anforderung umgesetzt wurde oder ob Nachbesserung erforderlich ist. Allgemein können bei den Kontrollen einer Prüfung Feststellungen (z. B. Abweichungen, Schwachstellen, Verbesserungspotenziale) identifiziert und darauf wiederum Maßnahmen zugewiesen werden.

Schritt 10, Umsetzung planen + Umsetzung

Die unter Schritt 6 definierten Maßnahmen werden in iris den Empfängern zur Umsetzung zugewiesen. Die Software unterstützt folglich eine Rollentrennung zwischen Maßnahmenverantwortlichem und Maßnahmenumsetzer.

Schritt 11, Jährlicher Bericht des Informationssicherheitsbeauftragten + internes Audit (optional)

Durch Dashboards, Exportmöglichkeiten der Listenansichten und Generierung von Reports basierend auf Vorlagen sind die Berichtsmöglichkeiten durch ibi systems iris sehr umfangreich. Ein internes Audit inkl. Feststellungen und weiterem Follow-up durch Maßnahmen ist in Form von Prüfungen in ibi systems iris möglich.

Übergreifend zum Thema DSGVO

Hinsichtlich DSGVO unterstützt ibi systems iris bei der Erstellung eines Verfahrensverzeichnisses und der Risikofolgeabschätzung.

Fazit

Durch den Einsatz der Software ibi systems iris wird die Umsetzung von ISIS12 maßgeblich unterstützt. Mit der softwaregestützten ISIS12-Umsetzung als Einstiegspunkt zur Informationssicherheit schlagen Sie eine Brücke zur möglichen Zertifizierung z. B. nach ISO 27001. Mit ibi systems iris haben Sie von Anfang an ein verlässliches Tool zur Hand, welches Sie in allen Belangen der Informationssicherheit unterstützt.

 

 

Zurück zur Übersicht

____________________

Quellen:

• Struve, Felix (2019): ISIS12 Version 2.0: Veränderung mit stabilem Rückrat, Online im Internet: https://www.mittelstandswiki.de/themencode-pdf-viewer/?file=https://www.mittelstandswiki.de/wp-content/uploads/2019/09/Kommunale_ITK_2019-09.pdf, Abfrage: 23.10.2019, 09:20 Uhr.