Das nächste Ziel ist die ISO/IEC-27001-Zertifizierung
Von Sandra Wiesbeck, Bayerischer IT-Sicherheitscluster
ISIS12 ist ein Managementsystem für IT-Sicherheit (ISMS), das sich dank seiner Praxisfreundlichkeit auch für kleine Kommunen gut eignet. Aktuell wird es in Richtung ISO/IEC-27001-Zertifizierung modernisiert und soll als ISIS12 2.0 noch mehr Praxisnähe beweisen.
Informationssicherheit in zwölf einfachen Schritten
Gerade kleine und mittlere Kommunen stehen personell und inhaltlich oft vor echten Herausforderungen, wenn es um die Sicherheit der Daten ihrer Bürger geht. Helfen können in Sachen Cybersicherheit Systeme wie ISIS12, das Maßnahmen zur Erhöhung der Informationssicherheit mit solchen zur Umsetzung der Datenschutzgrundverordnung (EU-DSGVO) kombiniert. ISIS12 wurde im Netzwerk des Bayerischen IT-Sicherheitsclusters e.V. unter der Prämisse entwickelt, ein ISMS zu schaffen, das durch seine gute Skalierbarkeit Organisationen ganz unterschiedlicher Größe in die Lage versetzt, das System mit einer hohen Erfolgsquote selbst einzuführen. So entstand eine Struktur aus zwölf Schritten, die ganz konkrete und nachvollziehbare Handlungsanweisungen enthalten und dem Modell seinen Namen gaben. Zum System gehören eine unterstützende Software und ein Handbuch, sodass auch kleinere Kommunen oder Firmen mit wenigen Mitarbeitern viele Maßnahmen in Eigenregie umsetzen können.
ISIS12 ist ein einfacher, zwölfstufiger Workflow zur Etablierung eines Informationssicherheitsmanagementsystems (Bild: Bayerischer IT-Sicherheitscluster e.V.)
ISIS12 hat sich in den vergangenen Jahren zu einem Standard unter den ISMS entwickelt. Es lässt es sich mit relativ geringer externer Unterstützung einführen, wie die hohe Fertigstellungsquote zeigt. Zuletzt wurde ein Zusatzmodul zur Umsetzung der DSGVO integriert. Ein wirksames Werkzeug also, besonders wenn – wie in Bayern – alle Kommunen verpflichtet sind, Maßnahmen zur Verbesserung der Informationssicherheit zu ergreifen. Dabei geht es nicht nur um den Schutz von IT-Systemen und personenbezogenen Daten in elektronischer Form, sondern auch um Papierunterlagen.
Die wichtigsten Neuerungen von ISIS12 2.0
Bereits ISIS12 bietet eine gut verständliche Führung, um alle Bereiche einer Kommune einzubeziehen. In die neue Version ISIS12 2.0, die gerade unter Federführung von BSP-Security in Regensburg entwickelt wird, fließen die Erfahrungen aus zahlreichen Projekten ein, auch Best-Practice-Beispiele und der Wunsch zahlreicher Anwender, von ISIS12 möglichst einfach zu einer ISO/IEC-27001-Zertifizierung zu kommen. Die Nutzerfreundlichkeit bleibt dabei erhalten.
Besonderer Wert wird bei der Weiterentwicklung von ISIS12 darauf gelegt, dass Anwender ihre bereits erhobenen Datenbestände einfach in die Version 2.0 übernehmen können. Die bislang verwendeten Rahmenbedingungen bleiben unverändert, Nutzer müssen sich nicht umstellen. Die Struktur mit Handbuch, Katalog und unterstützender Software hat sich bewährt und wird beibehalten. Wie bisher sollen auch in Zukunft alle Dokumente für Kommunen kostenfrei zur Verfügung stehen.
Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)
Roadmap 2019: Von ISIS12 2.0 zur ISO/IEC 27001
Die größte Neuerung besteht darin, dass die IT-Grundschutz Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht mehr Grundlage der empfohlenen Sicherheitsmaßnahmen sein werden. Vielmehr orientiert sich die Weiterentwicklung in Richtung der ISO/IEC-27001-Zertifizierung. Konkret bedeutet dies, dass mehrere Schritte im Vorgehensmodell an die ISO/IEC 27001 angepasst werden: In Schritt 8 wird beispielsweise eine optionale Risikoanalyse eingearbeitet. Zu den Schritten 10 bis 12 gehören künftig interne Audits, die Messung der Sicherheit und der Prozess der kontinuierlichen Verbesserung (KVP). Das Zusatzmodul ISIS12/DSGVO, das bereits im Einsatz ist, wird auch für die Version 2.0 angeboten – als sinnvoller Beitrag zur Integration des Datenschutzmanagementsystems in das ISMS.
Dem Bayerischen IT-Sicherheitscluster e.V. ist es wichtig, mit ISIS12 2.0 ein Produkt auf den Markt zu bringen, das nicht nur die bisherigen Ansprüche an ISIS12 erfüllt, sondern noch einen Schritt weiter geht. Daher wird die Entwicklung noch etwas Zeit benötigen. Aktuell wird mit der Veröffentlichung im dritten Quartal 2019 gerechnet.
Sandra Wiesbeck ist Vorstandsvorsitzende und Leiterin des Bayerischen IT-Sicherheitsclusters. Der Zusammenschluss von IT- und Anwenderunternehmen, Universitäten und Instituten erarbeitet in Netzwerken und Projektgruppen konkrete Security- und Safety-Lösungen für den Mittelstand und überschaubare Organisationen.
Sandra Wiesbeck, Bayerischer IT-Sicherheitscluster e.V., Franz-Mayer-Str. 1, 93053 Regensburg, Tel: 0941-60488918, sandra.wiesbeck@it-sec-cluster.de, www.it-sicherheit-bayern.de
