ISIS12 Phase 3: Sicherheitskonzeption

Nach den sachlogisch vorangestellten Phasen der „Initialisierung“ und der „Aufbau- und Ablauforganisation“ wird in der ISIS12 Phase 3 mit dem Schritt 6: Konzeption und Implementierung mit der Erstellung der Sicherheitskonzeption begonnen. Die Vorgehensweise orientiert sich am BSI Standard BSI 100-2, der jedoch an verschiedenen Stellen vereinfacht und modifiziert wurde um die Sicherheitskonzeption mittelstandsgerecht anzupassen.

Schritt 6: Kritische Applikationen identifizieren

Im ersten Schritt der operativen Phase werden die für die Organisation kritische Anwendungen identifiziert. Die Kritikalität ergibt sich aus eventuell negativen Konsequenzen bei Verletzung der drei Grundwerte Integrität, Verfügbarkeit und Vertraulichkeit. Standardsoftware und Anwendungen, deren ständige Funktion nicht erforderlich ist, (Verfügbarkeit) mit denen keine geheimen Informationen (Vertraulichkeit) verarbeitet werden und bei denen die Korrektheit der verarbeiteten Daten (Integrität) nicht essentiell für die Geschäftsprozesse der Organisation sind, werden hier nicht näher betrachtet. Standardsoftware wird durch generische Sicherheitsmaßnahmen im modifizierten Maßnahmenkatalog abgedeckt.
Der Schutzbedarf der lokalisierten Applikationen wird von den hierfür Verantwortlichen, bezogen auf die drei angeführten Grundwerte, klassifiziert. Diese Einstufung ist an das Vorgehen des BSI Standards 100-2 angelehnt. Allerdings werden anstatt sechs Schutzbedarfskategorien nur die vier folgenden Kategorien verwendet: Verstoß gegen Gesetze und Verträge, Beeinträchtigung des informationellen Selbstbestimmungsrechts, Beeinträchtigung der Aufgabenerfüllung und finanzielle Auswirkungen. Die ursprüngliche Ratingskala „normal“, „hoch“ und „sehr hoch“ wurde durch die neutralen Werte „A“, „B“ und „C“ ersetzt, um bekannte Umfrageartefakte zu vermeiden. Es wird für jede lokalisierte Applikationen eine Bewertung für den Schutzbedarf der drei Grundwerte ermittelt und die Information, ob personenbezogene Daten (§ 3 BDSG) verarbeitet werden.
Daraus wird die für das ITSM wichtige Parameter „Maximal tolerierbare Ausfallzeit“ (MTA) aus der Klassifizierung der Kategorie „Verfügbarkeit“ abgeleitet und anschließend im Service-Katalog dokumentiert.

Schritt 7: IT-Struktur analysieren

Nach erfolgter Identifizierung unternehmenskritischer Anwendungen werden die für deren Betrieb technischen, organisatorischen, personellen und infrastrukturelle Objekte ermittelt und erfasst. Im nächsten Schritt werden diese Objekte mit den Anwendungen verknüpft, so dass der in Phase 6 erhobene Schutzbedarf und die MTA auf diese Objekte vererben werden können. An dieser Stelle wird das ISMS mit dem ITSM inhaltlich verbunden.
Neben dem Standardverfahren „Maximumprinzip“, also der Vererbung des maximalen Schutzbedarfs, werden zwei weitere Prinzipien bei der Vererbung verwendet: Beim „Kumulationseffekt“ wird als Beispiel der Schuttbedarf „Verfügbarkeit: A“ von 10 Anwendungen auf einen gemeinsamen Server nicht „A“ sein, sondern „B“ oder „C“, da bei Ausfall des Servers 10 Anwendungen nicht zur Verfügung stehen würden (single point of failure). Beim sogenannten „Verteilungseffekt“ werden Anwendungen von „B“ oder „C“ herabgestuft, wenn Backup-Systeme den angebotenen Dienst automatisch von anderen Systemen übernommen werden.

Schritt 8: Modellierung

Für die Auswahl, der in Frage kommenden umzusetzenden Sicherheitsmaßnahmen, wird ein spezieller Maßnahmenkatalog verwendet. Der  ISIS12 Katalog orientiert sich am Standard ISO/IEC 270001 und den Konkretisierungen aus ISO/IEC 27002 . Für die definierte Zielgruppe wurde die Fülle der Sicherheitsmaßnahmen reduziert. Die Breitenwirkung und Umsetzbarkeit der Maßnahmen waren für die durchgeführte Reduzierung entscheidend. Auch der Detailierungsgrad, zwischen BSI IT-Grundschutz (extrem) und der ISO/IEC 27001 (minimalistisch und abstrakt), wurde bewusst für mittelständische Unternehmen reduziert, zusammengefasst und vereinfacht: So wurde als Beispiel zur Reduktion von Komplexität bewusst auf betriebssystemspezifische Besonderheiten verzichtet. Nur ein allgemeiner Client-Baustein kommt beim angepassten Maßnahmenkatalog für alle Client-Betriebssysteme zum Einsatz. Die Anwender bekommen damit konkret umzusetzende empfohlene Sicherheitsmaßnahmen für das zu erstellende Sicherheitskonzepts. Im Gegensatz zur ISO/IEC 27001 stehen mit diesem angepassten Maßnahmenkatalog konkrete Handlungsempfehlungen zur Verfügung, deren Umfang und Komplexität entsprechend der Zielgruppe angepasst sind.
Der angepasste ISIS12 Maßnahmenkatalog enthält Bausteine die in vier Schichten unterteilt sind: Universale Aspekte (S1), Infrastruktur (S2), IT-Systeme/Netze (S3) und Anwendungen (S4). In jedem Baustein werden Sicherheitsmaßnahmen aufgeführt, die als empfohlene Maßnahmen umzusetzen sind.

Im ISIS12 Schritt 8 erfolgt die Zuordnung der relevanten Bausteine mit den empfohlenen Sicherheitsmaßnahmen aus dem modifizierten Maßnahmenkatalog zu den in Schritt sieben ermittelten Objekten des definierten Geltungsbereiches. Hierbei sind alle Bausteine mit den entsprechenden Sicherheitsmaßnahmen der Schicht 1 „Universale Aspekte“ für alle Unternehmer verbindlich auszuwählen und die darin enthaltenen Maßnahmen wirksam umzusetzen. Bei den Schichten 2, 3 und 4 werden nur die Bausteine ausgewählt, für die auch Objekte in der IT-Strukturanalyse (Schritt 7) ermittelt werden konnten.

Schritt 9: Ist-Soll Vergleich

In diesem Schritt wird der Umsetzungsgrad, der im vorangegangen Schritt ermittelten Bausteine und den darin enthaltenen Sicherheitsmaßnahmen, erfragt und bewertet. Der jeweilige Umsetzungsgrad wird mit den Antwortkategorien „ja“, „teilweise“, „nein“ oder „nicht notwendig“ bewertet. Ziel ist es, die noch nicht vollständig umgesetzten Sicherheitsmaßnahmen zu identifizierten, damit diese in den nachfolgenden Schritten wirksam umgesetzt werden können. Für Maßnahmen die mit „ja“ bzw. mit „nicht notwendig“ beantwortet wurden, werden jeweils mit einem Revisionstermin versehen (12 Monate). Diese werden dann im Rahmen einer Revision, als wesentlicher Schritt des PDCA-Zyklus, zum geplanten Zeitpunkt erneut auf Wirksamkeit und Angemessenheit überprüft.

Schritt 10: Planung und Umsetzung

Die noch ganz oder teilweise umzusetzenden Sicherheitsmaßnahmen, deren Umsetzungsgrad im Schritt 9 mit „nein“ bzw. „teilweise“ eingestuft wurden, werden zunächst konsolidiert, anschließend priorisiert und zusammen mit einer durchgeführten Kostenschätzung der Geschäftsführung als Entscheidungsvorlage zur Genehmigung vorgelegt. Nach erfolgter Genehmigung werden die Maßnahmen entsprechend des festgelegten Umsetzungszeitraums und der Umsetzungsreihenfolge umgesetzt. Die genehmigten Sicherheitsmaßnahmen werden in diesem Schritt umgesetzt. Für jede Maßnahme werden die Rollen des Initiators und des Umsetzers inkl. des Zeitpunkts der Realisierung und eventuell zu erstellender Umsetzungsberichte festgelegt. Da bei mittelständischen Unternehmen in der Regel nur wenig Erfahrung mit Projekten vorhanden ist, werden für die Umsetzung entsprechende Hilfestellungen gegeben, damit die Umsetzung der Sicherheitsmaßnahmen effektiv erfolgt. Begleitende Schulungen für die Mitarbeiter sorgen für die Motivation und die nachhaltige Wirksamkeit der neu einzuführenden Sicherheitsmaßnahmen.

Schritt 11: Internes Audit

Nach Realisierung von ISIS12-Schritt 10 ergibt sich ein Überblick darüber, welche Maßnahmen bereits vollständig umgesetzt sind und welche noch in der Umsetzung sind. In diesem Schritt werden wir prüfen, wie gut die einzelnen Maßnahmen umgesetzt sind und damit den Vorgaben entsprechen. Der Schritt 11 ist im ISIS12 Vorgehensmodell als optionaler, aber empfohlener Schritt anzusehen. Sollte zu einem späteren Zeitpunkt eine Zertifizierung nach ISO/IEC 27001 gewünscht sein, so ist dieser Schritt verpflichtend.
Jedes Managementsystem sollte auf kontinuierliche Verbesserung hin angelegt sein. Ein Managementsystem, dass nur den Status quo aufrechterhält, ist wirkungslos.
Das interne Audit kann als Werkzeug zur Identifikation von Verbesserungspotentialen fungieren. Als „intern“ wird ein Audit bezeichnet, wenn es in der Verantwortung der Organisation selbst liegt, die Auditkriterien und den Umfang des Audits festzulegen. Somit unterstützt das interne Audit den Wunsch nach kontinuierlicher Verbesserung aus dem PDCA-Zyklus (Plan, Do, Check, Act).

Schritt 12: Revision

Im letzten ISIS12 Schritt werden, im Sinne der Sicherheitskonzeption zu Grunde liegenden PDCA-Prinzips, die Aktualität der Schritte eins bis elf und die wirksame Umsetzung der noch offenen Sicherheitsmaßnahmen, im Sinne einer Revision, kontinuierlich überwacht. Das ISMS ist nach dem ersten Durchlauf etabliert und wird durch interne und optional externe Audits permanent weiter entwickelt.
Nach dem ersten Durchlauf der 12 Schritte des Vorgehensmodells und die damit verbundenen Umsetzung der offenen Sicherheitsmaßnahmen kann das ISMS von einer externen Zertifizierungsstelle zertifiziert werden. Dazu müssen für jeden der 12 Schritte alle Kontrollfragen mit „ja“ beantwortet und die in Frage kommenden Sicherheitsmaßnahmen wirksam umgesetzt sein.
Dadurch können Organisationen  ihre Aktivitäten zur Steigerung der Informationssicherheit nach außen hin darstellen oder den Anforderungen von Kunden an ein zertifiziertes ISMS entsprechen.