ISO 27002:2022 – Die Informationssicherheit in neuem Gewand

Mitte Februar wurde die ISO 27002:2022 veröffentlicht. Der Draft wurde bereits am 28. Januar 2021 den interessierten Personen zur Verfügung gestellt. Nach neun Jahren ist nun der Nachfolger der ISO 27002:2013 verfügbar. Während die Anforderungen an das ISMS (ISO 27001) unverändert bleiben, hat sich bei den so genannten Controls einiges getan. Dieser Artikel zeigt, was Sie erwartet und wie Sie die Veränderungen umsetzen können. Sollten Sie noch kein ISMS aufgebaut haben, können Sie direkt mit der neuen Ausgabe starten.

© Storyblocks, Registriert auf Andreas Wisler

Bereits länger wurde diskutiert, wann der Nachfolger der in die Jahre gekommenen ISO 27002 «Information technology — Security techniques — Code of practice for information» endlich veröffentlicht wird. Normalerweise haben ISO-Normen einen Lebenszyklus von ca. fünf Jahren, hier sind es bereits acht Jahre. Doch das Warten hat sich gelohnt. Die neue Ausgabe macht einen aufgeräumten und umfassenden Eindruck. Dies beginnt bereits im Titel, dieser lautet neu «Information security, cybersecurity and privacy protection — Information security controls». Es ist ersichtlich, dass die Informationssicherheit in einem globalen Kontext angeschaut wird und alle Elemente berücksichtigen möchte (Cybersecurity) und dass auch hier der Datenschutz einen grösseren Stellenwert bekommt (Privacy Protection).

Struktur

Am auffälligsten ist die neue Struktur. Während in der alten Norm die Massnahmen in 14 Kapitel unterteilt wurden, sind es nun nur noch deren vier. Es handelt sich um die Themenblöcke 5 Organizational controls (37), 6 People controls (8), 7 Physical controls (14) und 8 Technological controls (34). In Klammern habe ich die Anzahl Massnahmen aufgeführt. Wer die Norm kennt, hat sicherlich bemerkt, dass es nun «nur» noch 93 Punkte sind, gegenüber den 114 bisherigen. Zusätzlich sind 11 neue Massnahmen dazu gekommen. Gestrichen hingegen wurde genau eine einzige Massnahme (Es handelt sich um die 11.2.5 Removal of assets). Keine Angst, ich kann rechnen. Alle anderen Massnahmen wurden sinnvoll zusammengefasst. Ein Beispiel sind die beiden Massnahmen A.5.1.1 und A.5.1.2. Die erste verlangt die Erstellung, Freigabe, Verteilung und Schulung der Informationssicherheitskonzepte. Die zweite die regelmässige, sprich jährliche, Aktualisierung der Konzepte. Diese beiden Punkte sind nun in einem einzigen Satz zusammengefasst.

Mit den zusätzlichen elf Massnahmen erhöht sich der Aufwand zur Umsetzung zwar für ein Unternehmen, aber die neuen Punkte sind wichtig. Beispielsweise wird nun auch ein Augenmerk auf die Cloud gesetzt. Während 2013 dies eher ein Randthema war, ist es heute ohne Cloud-Nutzung in einem Unternehmen undenkbar.

Weiter ist es auch schwieriger Massnahmen als nicht zutreffend auszuklammern, wenn diese im eigenen Unternehmen nicht passen. Dies könnte beispielsweise der Fall sein, wenn ein Unternehmen keine Software entwickelt. Auch die klassischen Punkte «Ladebereiche» oder «Export von Kryptografie» sind in andere Massnahmen integriert worden und können damit nicht mehr ausgeschlossen werden.

Begriffe werden seit einigen Jahren zentral in der ISO 27000 definiert und beschrieben. So muss nicht jede der über 80 bereits erschienen 27000er-Normen dies wiederholen, damit diese einheitlich verwendet werden. Die 2022er-Ausgabe führt trotzdem 37 «neue» Begriffe ein. Teilweise werden diese aus anderen Normen angepasst übernommen (unter anderem aus ISO 9000, 15489, 22301, 27301, 27035, 27050, 29100, 29134, 30000, 31000). Zum ersten Mal werden auch diverse Abkürzungen aufgezeigt, insgesamt sind es deren 33. Das macht das Lesen, vor allem bei langen Begriffen wie Business Continuity Management einfacher. Nun steht einfach BCM da.

Wie bereits erwähnt, sind nur noch vier Kapitel vorhanden. Folgende Definition wurde dabei getroffen:

  • Kategorie «Menschen», wenn sie einzelne (oder mehrere) Menschen betreffen;
  • Kategorie «Physisch», wenn sie physische Objekte betreffen;
  • Kategorie «Technologie», wenn sie die Technik betreffen;
  • ansonsten werden sie als «organisatorisch» eingestuft


Bewertung

Neu wird jede Massnahmen eingestuft. Dies sieht für die 5.1 Policies for information security wie folgt aus:

Quelle: ISO 27002:2021, 8.32 Change management

Der Kontrolltyp ist ein Attribut zur Betrachtung von Kontrollen aus der Perspektive, wann und wie sich die Kontrolle auf das Risikoergebnis im Hinblick auf das Auftreten eines Informationssicherheitsvorfalls auswirkt. Die Attributwerte bestehen aus #Präventiv (die Kontrolle wirkt, bevor eine Bedrohung auftritt), #Detektiv (die Kontrolle wirkt, wenn eine Bedrohung auftritt) und #Korrektiv (die Kontrolle wirkt, nachdem eine Bedrohung aufgetreten ist).

Die Informationssicherheitseigenschaften sind die klassischen Schutzziele in der Informationssicherheit. Die Attributwerte bestehen aus #Vertraulichkeit, #Integrität und #Verfügbarkeit.

Cybersicherheitskonzepte ist ein Attribut zur Betrachtung von Kontrollen aus zeitlicher Abfolge. Sie leiten sich aus dem in der ISO/IEC TS 27101 beschriebenen Cybersicherheitsrahmenwerk ab. Die möglichen Attributwerte bestehen aus #Identify, #Protect, #Detect, #Respond und #Recover.

Operative Fähigkeiten ist das behandelte Themengebiet. Attributwerte bestehen aus #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management und #Information_security_assurance.

Sicherheitsdomänen ist ein Attribut zur Betrachtung von Kontrollen aus der Perspektive von Informationssicherheitsbereichen, Fachwissen, Dienstleistungen und Produkten. Die Attributwerte bestehen aus #Governance_und_Ecosystem, #Protection, #Defence und #Resilience.

Aufbau der Massnahmen

Jede Massnahmen hat folgende Struktur:

  • Control title: Kurzer Name des Controls
  • Attribute table: Die Tabelle zeigt den/die Wert(e) jedes Attributs für das gegebene Control (siehe vorheriges Kapitel)
  • Control: Beschreibung der Massnahme
  • Purpose: Erläutert den Zweck des Controls
  • Guidance: Implementierungsanleitung für das Control
  • Other information: Erläuternder Text oder Verweise auf andere zugehörige Dokumente

Wie bereits erwähnt, haben die Massnahmen teilweise grössere Veränderungen erhalten. Dies ist bereits bei der ersten Massnahme ersichtlich (Neu 5.1 Policies for information security). In der 2013er Ausgabe lautete die Anforderung «A set of policies for information security should be defined, approved by management, published and communicated to employees and relevant external parties», neu lautet diese «Information security policy and topic-specific policies should be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur». Es ist ersichtlich, dass einige Unklarheiten aus der bisherigen Norm präzisiert wurden. Für ein Unternehmen gilt es damit, die vorhandenen Richtlinien über den gesamten Lebenslauf aktuell zu halten.

Neue Massnahmen

Die neue 27002er-Norm bringt 11 neue Massnahmen. Es handelt sich dabei um die folgenden:

Kapitel Titel Anforderung
5.7 Threat intelligence Information relating to information security threats should be collected and analysed to produce threat intelligence

Informationen über Bedrohungen der Informationssicherheit sollten gesammelt und analysiert werden, um Erkenntnisse über Bedrohungen zu gewinnen.
5.23 Information security for use of cloud services Processes for acquisition, use, management and exit from cloud services should be established in accordance with the organization's information security requirements.

Die Verfahren für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten sollten in Übereinstimmung mit den Informationssicherheitsanforderungen der Organisation festgelegt werden.
5.30 ICT readiness for business continuity ICT readiness should be planned, implemented, maintained and tested based on business continuity objectives and ICT continuity requirements.

Die ICT-Bereitschaft sollte auf der Grundlage von Geschäftskontinuitätszielen und ICT-Kontinuitätsanforderungen geplant, umgesetzt, aufrechterhalten und getestet werden. (Hinweis: Das Kapitel A.17 ging schon auf das Thema BCM ein, nun wurde es aber klarer formuliert, was zu tun ist. Ein eigenes BCM ist aber noch immer nicht gefordert. Hier gibt es die ISO 22301, die den Aufbau eines BCM-Managementsystems beschreibt)
7.4 Physical security monitoring Premises should be continuously monitored for unauthorized physical access.

Die Räumlichkeiten sollten ständig auf unbefugten physischen Zugang überwacht werden. (Hinweis: dies erweitert die physische Zugangsregelung)
8.9 Configuration management Configurations, including security configurations, of hardware, software, services and networks should be established, documented, implemented, monitored and reviewed.

Konfigurationen, einschliesslich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzen sollten festgelegt, dokumentiert, umgesetzt, überwacht und überprüft werden. (Hinweis: dies erweitert die geforderten Betriebsdokumentationen aus A.12.1.1)
8.10 Information deletion Information stored in information systems and devices should be deleted when no longer required.

In Informationssystemen und Geräten gespeicherte Informationen sollten gelöscht werden, wenn sie nicht mehr benötigt werden. (Hinweis: hier wird der Datenschutz berücksichtigt)
8.11 Data masking Data masking should be used in accordance with the organization's topic-specific policy on access control and business requirement, taking legal requirements into consideration.

Die Datenmaskierung sollte in Übereinstimmung mit den themenspezifischen Richtlinien der Organisation zur Zugriffskontrolle und den geschäftlichen Erfordernissen unter Berücksichtigung der rechtlichen Anforderungen eingesetzt werden. (Hinweis: zum Beispiel durch Pseudonymisierung)
8.12 Data leakage prevention Data leakage prevention measures should be applied to systems, networks and endpoint devices that process, store or transmit sensitive information.

Massnahmen zur Verhinderung von Datenlecks sollten auf Systeme, Netzwerke und Endgeräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen. (Hinweis: hier rechne ich mit dem grössten Aufwand für ein Unternehmen. So einfach ist diese Massnahme nicht umzusetzen. Ein umfassendes Konzept muss im Vorfeld erstellt werden)
8.16 Monitoring activities Networks, systems and applications should be monitored for anomalous behaviour and appropriate actions taken to evaluate potential information security incidents.

Netze, Systeme und Anwendungen sollten auf anormales Verhalten hin überwacht und geeignete Massnahmen ergriffen werden, um mögliche Vorfälle im Bereich der Informationssicherheit zu bewerten. (Hinweis: damit sind klassische Monitoring-, aber auch Intrusion Detection Systeme gemeint)
8.22 Web filtering Access to external websites should be managed to reduce exposure to malicious content.

Der Zugang zu externen Websites sollte verwaltet werden, um die Gefährdung durch bösartige Inhalte zu verringern. (Hinweis: damit sind unter anderem Web-Filter, wie sie die meisten Firewalls heute bieten, gemeint)
8.28 Secure coding Secure coding principles should be applied to software development.

Bei der Softwareentwicklung sollten die Grundsätze der sicheren Kodierung angewandt werden. (Hinweis: dies präzisiert Massnahmen aus dem alten Kapitel A.14.2. Hier waren die Grundsätze «gut» versteckt)

Anhang

Im Anhang A der Norm werden alle Steuerelemente und Attribute der Massnahmen nochmals aufgezeigt. Es wird ebenfalls aufgezeigt, wie die entsprechenden Massnahmen auszuwählen und zu bewerten sind.

Der Anhang B zeigt die Verknüpfung der neuen Massnahmen zu den Massnahmen aus ISO 27002:2013 sowie umgekehrt von der alten zur neuen ISO 27002:2021.

Fazit

Die ISO 27002 hat einen komplett neuen Anstrich bekommen. Die bisherigen Massnahmen wurden in vier Kategorien unterteilt und wo sinnvoll zusammengeführt. 11 Massnahmen sind neu dazugekommen, jedoch nur eine einzige gestrichen. In der Summe sind es nun 93 Massnahmen. Die Erweiterung mit Steuerelementen und Attributen zeigt, was mit einer Massnahme bezweckt wird.

Die 2022er-Version hinterlässt einen sauberen und umfassenden Eindruck. Jedoch ist es nicht damit getan, nur die 11 neuen Massnahmen umzusetzen, denn in den bekannten Massnahmen «verstecken» sich neue bzw. erweiterte Anforderungen. Für alle aktiven ISMS startet mit der Veröffentlichung eine Übergangs- oder Schonfrist von zwei Jahren. Danach muss Ihr ISMS ebenfalls nach der neuen Norm aufgebaut sein. Da «nur» die Massnahmen ändern, ist dies aber gut machbar.

Hinweis: In der Folge 31 des Podcasts «Angriffslustig» besprechen Andreas Wisler und Sandro Müller die Draft-Version der ISO 27002:2021. Anzuhören ist der Podcast hier.

Die Norm kann hier gekauft werden: https://www.iso.org/standard/75652.html

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

ISO 27004 - Informationssicherheit messen
Audit – Planung und Durchführung

Related Posts

 

Comments

No comments made yet. Be the first to submit a comment
Guest
Freitag, 20. Mai 2022

Captcha Image