Sicheres eGovernment

IT-Planungsrat empfiehlt ISIS12 für kommunale IT-Sicherheit

Seite: 2/2

Firmen zum Thema

Marx weiter: „Mit dem Verfahren ISIS12 können Kommunen in wenigen, transparenten und nachvollziehbaren Schritten sowie in einem überschaubaren finanziellen Rahmen ein Sicherheits-Management etablieren. Die Implementierung nach ISIS12 orientiert sich dabei sehr stark an der Grundschutzmethodik des Bundesamtes für Sicherheit in der Informationstechnik (BS) und deckt somit die grundlegenden Gefährdungen für die Informationssicherheit in der öffentlichen Verwaltung vollständig ab.“

Im vom Bundesland Bayern bei Fraunhofer AISEC in Auftrag gegebenen „Gutachten zur Anwendbarkeit von ISIS12 in der Öffentlichen Verwaltung“ heißt es unter anderem: „ISIS12 erfüllt im Groben die Mindestanforderungen des IT-Planungsrats. Laut der durchgeführten Prüfung stellt ISIS12 eine geeignete Vorgehensweise für eine definierte Standardbehörde mit ca. 500 Mitarbeitern, möglichst homogener IT-Basisinfrastruktur, keinen über öffentliche Netze ungeschützt angebundenen Außenstellen, überwiegend normalem Schutzbedarf, keinen Hochverfügbarkeitsanforderungen an IT-Systeme und keinen kritischen Anwendungen (im Sinne keine kritischen Infrastrukturen) dar.“

Da ISIS12 speziell mit der Möglichkeit der Skalierbarkeit entwickelt wurde, könne das nach ISIS12 implementierte und etablierte Sicherheitssystem (ISMS) nach dem Durchlauf weiterer erforderlichen Schritte und entsprechender Dokumentation ausgebaut werden und eine weiterführende Zertifizierung wie „ISO 27001 auf Basis von IT-Grundschutz“ beziehungsweise „ISO/IEC 27001 nativ“ erreicht werden.

Das Gutachten weiter: „Im Fall einer späteren Einführung der erwähnten Standards sind durch ISIS12 bereits essentielle Schritte eingeführt worden. Zum Beispiel wurden bereits Leitlinien für Informationssicherheit und IT-Dokumentation erstellt sowie kritische Systeme identifiziert und die entsprechenden Sicherheitsmaßnahmen eingeführt.“

Da in ISIS12 allerdings nur eine indirekte Risikoanalyse durchgeführt werde, müsse diese diese im Rahmen von ISO/IEC 27001 vorangestellt beziehungsweise bei der IT-Grundschutz-Vorgehensweise nachgelagert erfolgen und dokumentiert werden. Da für die ISIS12 Zertifizierung nur sieben Referenzdokumente vorgesehen seien, müssten für die weiterführenden Zertifizierungen noch einige mehr erstellt werden.

Es würden jedoch die wichtigen Schritte im Rahmen des ISIS12 eingeführt und die spätere Einführung von ISO 27001 oder IT-Grundschutz wird dadurch erleichtert.

Das Fokus-Gutachten weiter: „Behörden und Verwaltungen nach obiger Definition profitierten von einer Einführung eines ISMS nach ISIS12 insbesondere von der hohen Skalierbarkeit, dem generischen Aufbau, der Einführung von grundlegenden IT-Service-Management-Prozessen sowie den konkreten Handlungsempfehlungen und der stringenten Struktur mit Kontrollfragen.“

Und: „Die Implementierung eines ISMS nach ISIS12 deckt die grundlegenden Gefährdungen für die Informationssicherheit in der Öffentlichen Verwaltung ab. Mit ISIS12 ließe sich ein Managementsystem für die Informationssicherheit einführen, das eine kontinuierliche Weiterentwicklung ermöglicht und einen nachweislich dokumentierten Sicherheitsprozess unterstützt.“

(ID:43356256)