ISIS12 Phase 3: Sicherheitskonzeption

ISIS12 Vorgehensmodell - 3 PhasenNach den sachlogisch vorangestellten Phasen der „Initialisierung“ und der „Aufbau- und Ablauforganisation“ wird in der ISIS12 Phase 3 mit dem Schritt 6: Konzeption und Implementierung mit der Erstellung der Sicherheitskonzeption begonnen. Die Vorgehensweise orientiert sich am BSI Standard BSI 100-2, der jedoch an verschiedenen Stellen vereinfacht und modifiziert wurde um die Sicherheitskonzeption mittelstandsgerecht anzupassen.

Schritt 6: Kritische Applikationen identifizieren

Im ersten Schritt der operativen Phase werden die für die Organisation kritische Anwendungen identifiziert. Die Kritikalität ergibt sich aus eventuell negativen Konsequenzen bei Verletzung der drei Grundwerte Integrität, Verfügbarkeit und Vertraulichkeit. Standardsoftware und Anwendungen, deren ständige Funktion nicht erforderlich ist, (Verfügbarkeit) mit denen keine geheimen Informationen (Vertraulichkeit) verarbeitet werden und bei denen die Korrektheit der verarbeiteten Daten (Integrität) nicht essentiell für die Geschäftsprozesse der Organisation sind, werden hier nicht näher betrachtet. Standardsoftware wird durch generische Sicherheitsmaßnahmen im modifizierten Maßnahmenkatalog B 1.7 „Hard- und Softwaremanagement“ abgedeckt.
Der Schutzbedarf der lokalisierten Applikationen wird von den hierfür Verantwortlichen, bezogen auf die drei angeführten Grundwerte, klassifiziert. Diese Einstufung ist an das Vorgehen des BSI Standards 100-2 angelehnt. Allerdings werden anstatt sechs Schutzbedarfskategorien nur die vier folgenden Kategorien verwendet: Verstoß gegen Gesetze und Verträge, Beeinträchtigung des informationellen Selbstbestimmungsrechts, Beeinträchtigung der Aufgabenerfüllung und finanzielle Auswirkungen. Die ursprüngliche Ratingskala „normal“, „hoch“ und „sehr hoch“ wurde durch die neutralen Werte „A“, „B“ und „C“ ersetzt, um bekannte Umfrageartefakte zu vermeiden. Es wird für jede lokalisierte Applikationen eine Bewertung für den Schutzbedarf der drei Grundwerte ermittelt und die Information, ob personenbezogene Daten (§ 3 BDSG) verarbeitet werden.
Daraus wird die für das ITSM wichtige Parameter „Maximal tolerierbare Ausfallzeit“ (MTA) aus der Klassifizierung der Kategorie „Verfügbarkeit“ abgeleitet und anschließend im Service-Katalog dokumentiert.

Schritt 7: IT-Struktur analysieren

Nach erfolgter Identifizierung unternehmenskritischer Anwendungen werden die für deren Betrieb technischen, organisatorischen, personellen und infrastrukturelle Objekte ermittelt und erfasst. Im nächsten Schritt werden diese Objekte mit den Anwendungen verknüpft, so dass der in Phase 6 erhobene Schutzbedarf und die MTA auf diese Objekte vererben werden können. An dieser Stelle wird das ISMS mit dem ITSM inhaltlich verbunden.
Neben dem Standardverfahren „Maximumprinzip“, also der Vererbung des maximalen Schutzbedarfs, werden zwei weitere Prinzipien bei der Vererbung verwendet: Beim „Kumulationseffekt“ wird als Beispiel der Schuttbedarf „Verfügbarkeit: A“ von 10 Anwendungen auf einen gemeinsamen Server nicht „A“ sein, sondern „B“ oder „C“, da bei Ausfall des Servers 10 Anwendungen nicht zur Verfügung stehen würden (single point of failure). Beim sogenannten „Verteilungseffekt“ werden Anwendungen von „B“ oder „C“ herabgestuft, wenn Backup-Systeme den angebotenen Dienst automatisch von anderen Systemen übernommen werden.

Schritt 8: Modellierung

Für die Auswahl, der in Frage kommenden umzusetzenden Sicherheitsmaßnahmen, wird ein spezieller Maßnahmenkatalog verwendet. Dieser angepasste ISIS12 Katalog wurde aus den BSI IT-Grundschutzkatalogen, den Maßnahmenzielen A.5 – A.15 des Standards ISO/IEC 270001 und den Konkretisierungen aus ISO/IEC 27002 abgeleitet. Für die definierte Zielgruppe wurde die Fülle der Sicherheitsmaßnahmen reduziert. Die Breitenwirkung und Umsetzbarkeit der Maßnahmen waren für die durchgeführte Reduzierung entscheidend. Auch der Detailierungsgrad, zwischen BSI IT-Grundschutz (extrem) und der ISO/IEC 27001 (minimalistisch und abstrakt), wurde bewusst für mittelständische Unternehmen reduziert, zusammengefasst und vereinfacht: So wurde als Beispiel zur Reduktion von Komplexität bewusst auf betriebssystemspezifische Besonderheiten verzichtet. Nur ein allgemeiner Client-Baustein kommt beim angepassten Maßnahmenkatalog für alle Client-Betriebssysteme zum Einsatz. Die Anwender bekommen damit konkret umzusetzende empfohlene Sicherheitsmaßnahmen für das zu erstellende Sicherheitskonzepts. Im Gegensatz zur ISO/IEC 27001 stehen mit diesem angepassten Maßnahmenkatalog konkrete Handlungsempfehlungen zur Verfügung, deren Umfang und Komplexität entsprechend der Zielgruppe angepasst sind.
Der angepasste ISIS12 Maßnahmenkatalog enthält Bausteine die in vier Schichten unterteilt sind: Universale Aspekte (S1), Infrastruktur (S2), IT-Systeme/Netze (S3) und Anwendungen (S4). In jedem Baustein werden Sicherheitsmaßnahmen aufgeführt, die als empfohlene Maßnahmen umzusetzen sind.

Bausteine des ISIS12 Kataloges

S1: Universale Aspekte
B 1.1 ISMS
B 1.2 Organisation / Personal
B 1.3 Notfallmanagement
B 1.4 Datensicherung
B 1.5 Datenschutz
B 1.6 Schutz vor Malware
B 1.7 Hard- und Softwaremanagement
B 1.8 Outsourcing

S2: Infrastruktur
B 2.1 Gebäude
B 2.2 Büroraum
B 2.3 Serverraum
B 2.4 Raum Technik
B 2.5 Häuslicher / Mobiler Arbeitsplatz
B 2.6 Besprechungs- und Schulungsräume

S3: IT-Systeme und Netze
B 3.1 Server
B 3.2 Client
B 3.3 Notebook
B 3.4 Security Gateway (Firewall)
B 3.5 Router / Switch
B 3.6 Speichersysteme(SAN, NAS)
B 3.7 Virtualisierung
B 3.8 Terminalserver
B 3.9 TK-Anlage
B 3.10 Mobiltelefon / Smartphone
B 3.11 Drucker und Multifunktionsgeräte
B 3.12 LAN
B 3.13 VPN
B 3.14 WLAN
B 3.15 VoIP
B 3.16 Netz- und Systemmanagement
B 3.17 Fax und Faxserver Nutzung

S4: Anwendungen
B 4.1 Webserver
B 4.2 Datenbankbasierende Anwendungen
B 4.3 E-Mail (Server und Client)
B 4.4 Mobile Datenträger
B 4.5 Verzeichnisdienst
B 4.6 Internet-Nutzung
B 4.7 Cloud Nutzung
B 4.8 Nutzung von Webanwendungen
B 4.9 Archivierung

Im ISIS12 Schritt 8 erfolgt die Zuordnung der relevanten Bausteine mit den empfohlenen Sicherheitsmaßnahmen aus dem modifizierten Maßnahmenkatalog zu den in Schritt sieben ermittelten Objekten des definierten Geltungsbereiches. Hierbei sind alle Bausteine mit den entsprechenden Sicherheitsmaßnahmen der Schicht 1 „Universale Aspekte“ für alle Unternehmer verbindlich auszuwählen und die darin enthaltenen Maßnahmen wirksam umzusetzen. Bei den Schichten 2, 3 und 4 werden nur die Bausteine ausgewählt, für die auch Objekte in der IT-Strukturanalyse (Schritt 7) ermittelt werden konnten.

Schritt 9: Ist-Soll Vergleich

In diesem Schritt wird der Umsetzungsgrad, der im vorangegangen Schritt ermittelten Bausteine und den darin enthaltenen Sicherheitsmaßnahmen, erfragt und bewertet. Der jeweilige Umsetzungsgrad wird mit den Antwortkategorien „ja“, „teilweise“, „nein“ oder „nicht notwendig“ bewertet. Ziel ist es, die noch nicht vollständig umgesetzten Sicherheitsmaßnahmen zu identifizierten, damit diese in den nachfolgenden Schritten wirksam umgesetzt werden können. Für Maßnahmen die mit „ja“ bzw. mit „nicht notwendig“ beantwortet wurden, werden jeweils mit einem Revisionstermin versehen (12 Monate). Diese werden dann im Rahmen einer Revision, als wesentlicher Schritt des PDCA-Zyklus, zum geplanten Zeitpunkt erneut auf Wirksamkeit und Angemessenheit überprüft.

Schritt 10: Realisierungsplanung

Die noch ganz oder teilweise umzusetzenden Sicherheitsmaßnahmen, deren Umsetzungsgrad im Schritt 9 mit „nein“ bzw. „teilweise“ eingestuft wurden, werden zunächst konsolidiert, anschließend priorisiert und zusammen mit einer durchgeführten Kostenschätzung der Geschäftsführung als Entscheidungsvorlage zur Genehmigung vorgelegt. Nach erfolgter Genehmigung werden die Maßnahmen entsprechend des festgelegten Umsetzungszeitraums und der Umsetzungsreihenfolge im Schritt 11 umgesetzt.

Schritt 11: Umsetzung

Die genehmigten Sicherheitsmaßnahmen werden in diesem Schritt umgesetzt. Für jede Maßnahme werden die Rollen des Initiators und des Umsetzers inkl. des Zeitpunkts der Realisierung und eventuell zu erstellender Umsetzungsberichte festgelegt. Da bei mittelständischen Unternehmen in der Regel nur wenig Erfahrung mit Projekten vorhanden ist, werden für die Umsetzung entsprechende Hilfestellungen gegeben, damit die Umsetzung der Sicherheitsmaßnahmen effektiv erfolgt. Begleitende Schulungen für die Mitarbeiter sorgen für die Motivation und die nachhaltige Wirksamkeit der neu einzuführenden Sicherheitsmaßnahmen.

Schritt 12: Revision

Im letzten ISIS12 Schritt werden, im Sinne der Sicherheitskonzeption zu Grunde liegenden PDCA-Prinzips, die Aktualität der Schritte eins bis elf und die wirksame Umsetzung der noch offenen Sicherheitsmaßnahmen, im Sinne einer Revision, kontinuierlich überwacht. Das ISMS ist nach dem ersten Durchlauf etabliert und wird durch interne und optional externe Audits permanent weiter entwickelt.
Nach dem ersten Durchlauf der 12 Schritte des Vorgehensmodells und die damit verbundenen Umsetzung der offenen Sicherheitsmaßnahmen kann das ISMS von einer externen Zertifizierungsstelle zertifiziert werden. Dazu müssen für jeden der 12 Schritte alle Kontrollfragen mit „ja“ beantwortet und die in Frage kommenden Sicherheitsmaßnahmen wirksam umgesetzt sein.
Dadurch können Organisationen  ihre Aktivitäten zur Steigerung der Informationssicherheit nach außen hin darstellen oder den Anforderungen von Kunden an ein zertifiziertes ISMS entsprechen.