Beratung zu ISMS

20220627_beratung_web
© Landesamt für Sicherheit in der Informationstechnik

Seit dem 01.01.2020 sind nach Art. 43 Abs. 1 Satz 2 BayDiG bayerische Behörden verpflichtet ein Informationssicherheitskonzept zu erstellen, was das LSI mit dem Siegel „Kommunale IT-Sicherheit“ bestätigen würde. Aufgrund einer stetig steigenden Bedrohungslage ist dieses Informationssicherheitskonzept als erster grundlegender Schritt in Richtung eines ISMS und damit einer besser geschützten IT-Infrastruktur zu sehen.

Ein ISMS sorgt mit Konzepten, Dokumentationen, Richtlinien und Sensibilisierungen dafür, dass Verantwortliche und Mitarbeiter wissen was bei IT-Notfällen zu tun ist. Mit einem ISMS soll die Informationssicherheit erhöht und kontinuierlich verbessert werden. Ein ISMS bezieht sich dabei nicht nur rein auf die IT, sondern auch auf Gebäude, Personal und die Organisation. Im Laufe der Zeit haben sich verschiedene ISMS-Standards auf dem Markt etabliert.

Welche Standards gibt es?

Es gibt verschiedene zertifizierbare ISMS-Standards welche sich qualitativ und quantitativ, sowie hinsichtlich konkreter Maßnahmenempfehlungen stark unterscheiden. Daraus ableitend ist der benötigte Beratungsaufwand unterschiedlich hoch. Dieser wird neben der Frage nach einem generischen oder konkreten Ansatz maßgeblich von der internen Expertise beeinflusst.  

Bei der Zertifizierung sollte darauf geachtet werden, dass diese durch eine unabhängige und akkreditierte Person durchgeführt wird.

  •   BSI IT-Grundschutz

Der IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) baut auf ISO 27001 auf und ist vom Umfang der größte Standard, welcher aber auch zwischen vielen organisatorischen Maßnahmen und IT-Systemen differenziert.

Beim BSI IT-Grundschutz gibt es verschiedene Abstufungen. Zum einen gibt es die Basis-, Standard- und Kern-Absicherung, sowie das IT-Grundschutzprofil Basis-Absicherung Kommunalverwaltung.

Unterteilt ist der BSI IT-Grundschutz in folgende Standards:

   BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)

   BSI-Standard 200-2: IT-Grundschutz-Methodik

   BSI-Standard 200-3: Risikomanagement

   BSI-Standard 200-4: Business Continuity Management

  •   ISO 27001

ISO 27001 von der International Organization for Standardization spezifiziert die Anforderungen an das Festlegen, Umsetzen, Betreiben, Überwachen, Überprüfen, Instandhalten und Verbessern eines dokumentierten Informationssicherheits-Managementsystems (ISMS) im Kontext zu den allgemeinen Geschäftsrisiken einer Organisation. Die Normreihe ist somit generisch gehalten, um möglichst auf alle Organisationen unabhängig von Größe, Typ und Geschäftsfeld anwendbar zu sein.

  •    CISIS12

Ziel des Standards mit seinen 12 Schritten ist die Komplexität der Einführung eines ISMS für seine Zielgruppe zu reduzieren. Er bezieht Best Practice Beispiele mit ein und orientiert sich mit allgemeinen Handlungsempfehlungen, ab der Version 2.0 in Richtung der ISO/IEC 27001. Es ist damit möglich CISIS12 als Zwischenschritt zu ISO/IEC 27001 oder zum BSI IT-Grundschutz zu sehen.

  •   VDS 10000

VdS 10000 (vormals VdS 3473) von der VdS Schadenverhütung GmbH ist ein speziell auf die Anforderungen kleiner und mittlerer Unternehmen / Organisationen ausgerichtetes Sicherheitsmanagementsystem. Es bildet die Mindestanforderungen an die Informationssicherheit ab und hat eine breite Verständlichkeit zum Ziel. VdS 10000 ist im Vergleich zu anderen ISMS-Standards kürzer gefasst. Im Gegensatz zu den bisher genannten ISMS-Standards erfolgt die Auditierung nicht durch unabhängige und akkreditierte Personen, sondern durch die VdS Schadenverhütung GmbH selbst.

Konkrete Maßnahmenempfehlungen und eine differenzierte Betrachtung beispielsweise bezüglich der Umsetzung von Maßnahmen je nach Betriebssystemen (wie im Maßnahmenkatalog des BSI IT-Grundschutz) sind in VdS 10000 nicht enthalten. Ebenso enthält VdS 10000 keine formalisierte schrittweise Vorgehensweise zur Einführung eines ISMS wie das z.B. bei CISIS12 der Fall ist.

Einstiegshilfen

  • Arbeitshilfe der Innovationsstiftung Bayerische Kommune

Die Arbeitshilfe wurde von der Innovationsstiftung Bayerische Kommune herausgegeben. Sie ist als Einstieg in das Thema Informationssicherheit zu sehen und eignet sich insbesondere für kleinere und mittlere Kommunen, die vor dem Hintergrund der gesetzlichen Verpflichtung des BayDiG ein erstes Informationssicherheitskonzept verabschiedet haben müssen. Ab der Version 3.0 ist die Arbeitshilfe stark mit dem Siegel "Kommunale IT-Sicherheit" verknüpft. Das Ziel, nach erfolgreichem Abschluss des Arbeitshilfe-Prozesses, ist daher der Erhalt des Siegels "Kommunale IT-Sicherheit" des LSI.

ISMS Förderung

Nach Maßgabe der Förderrichtlinie, fördert der Freistaat Bayern die Umsetzung eines ISMS Standards nach ISO 27001, BSI IT-Grundschutz (Standardabsicherung, Basisabsicherung, Kommunalprofil), CISIS12 und den niederschwelligen Einstieg mit der Arbeitshilfe der Innovationsstiftung Bayerische Kommune mit dem Siegel „Kommunale IT-Sicherheit“ des LSI als Abnahmekriterium . Die hierfür zuständige Bewilligungsstelle für ganz Bayern ist die Regierung von Oberfranken. Die Höhe der Förderung orientiert sich dabei am gewählten ISMS-Standard.

Sofern Kommunen das Siegel „Kommunale IT-Sicherheit“ vom Landesamt für Sicherheit in der Informationstechnik (LSI) erworben haben oder über ein kommunales Behördennetz an das Bayerische Behördennetz angebunden sind, erhöht sich der Förderhöchstbetrag um jeweils 10%.