Mit der Veröffentlichung der ISO 27002:2022 gab es nun ein Update zur 27002, welche in der Form seit 2013 verfügbar ist und inhaltlich unverändert stand. Mit dieser neuen Version kommen Änderungen auf Organisationen mit bereits etabliertem ISMS, sowie auf solche, die eines einführen wollen, zu.
Experten haben diese Überarbeitung schon länger erwartet, besonders da eine ISO-Norm üblicherweise nur einen regulären Lebenszyklus von etwa fünf Jahren hat. Die vier einleitenden Kapitel der Norm bleiben in ähnlicher Form enthalten, wichtig sind die zum Teil gravierenden Änderungen bei den normativen Anforderungen sowie dem sog. Anhang A.

Neustrukturierung und Präzisierung

Die vierzehn relevanten Kapitel aus der bisherigen Version (27002:2013) wurden neu strukturiert – und dem zur Folge wurden aus 14 Kapiteln nun lediglich vier.

Wie bisher soll die Norm Unternehmend und Organisationen bei der Einführung und dem Betrieb eines Informationssicherheitsmanagements unterstützen. Daher wurde ein Fokus auf die Präzisierung des Ausdrucks sowie eine bessere Umsetzbarkeit gelegt und dem zur Folge die Anzahl der Maßnahmen von 114 auf 93 reduziert. Die enthaltenen Maßnahmen bzw. Controls wurden mit diesem Update außerdem auf die aktuellen Bedürfnisse an die Informationssicherheit angepasst.

Entgegen der eigentlichen Erwartung bei einer Reduzierung wurde jedoch lediglich eine einzige Maßnahme gestrichen; das Kapitel 11.2.5 „Entfernen von Werten“. Die deutliche Reduzierung, von 114 auf zukünftig lediglich 93 Maßnahmen, ist auf das logische Zusammenführen zuvor einzelner Controls zurückzuführen. Darüber hinaus gibt es zudem elf neue Maßnahmen mit dem Fokus auf Informationssicherheit im Kontext Cloud gibt. Dieses Thema war im Jahr 2013 noch ferner als heute und ist inzwischen nicht mehr wegzudenken.

Die neuen Kapitel und kategorisierte Maßnahmen

Die Controls im Anhang A werden mit der Version ISO 27002:2022 wie folgt strukturiert:

▪ Organizational Controls organisatorische Maßnahmen (37)
▪ People Controls Maßnahmen mit Bezug zu Menschen (8)
▪ Physical Controls Maßnahmen mit Bezug zu (physischen) Objekten (14)
▪ Technological Controls Maßnahmen mit Bezug zu Technik (34)

Maßnahmen werden mit dem Update in mehreren Kategorien bewertet. Die dafür vorgesehenen Kategorien umfassen den Control Type, die Information security properties, Cybersecurity concepts, Operational capabilities und Security domains.

• Der Control Type ordnet Maßnahmen nach ihrer jeweiligen Anwendbarkeit als #Preventive, #Detective oder #Corrective ein. Dabei sollen präventive Maßnahmen helfen Informationssicherheitsfälle zu verhindern oder mildern, aufdeckende Maßnahmen sollen bei auftretender Bedrohung zur Identifikation und Bestandsaufnahme angewandt werden und korrektive Maßnahmen sollen zur Behebung und Nachbehandlung angewandt werden.
• Die einzelnen Maßnahmen werden mit dem Update auch den klassischen Schutzzielen der Informationssicherheit (Vertraulichkeit, Integrität sowie Verfügbarkeit) zugeordnet, sie können dabei auch mehreren oder allen Zielen entsprechen.
• Die Konzepte der Cybersicherheit leiten sich aus der ISO/ IEC TS 27101 ab und weisen den einzelnen Maßnahmen Attribute zur Einordnung nach zeitlichen Kriterien zu. Die möglichen Attribute für eine Control lauten: #Identify, #Protect, #Detect, #Respond, #Recover
• Die Spalte der Operative Capabilites ordnet Maßnahmen den Themengebieten zu, auf welche diese anzuwenden sind. Da einzelne Maßnahmen verschiedene Themengebiete in einer Organisation behandeln können sind auch hier Mehrfachzuweisungen möglich! Folgende Themenbereiche sind in der ISO 27002:2022 enthalten:
  #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management und #Information_security_assurance
• Die Security Domains ordnen, wie der Name dieser Spalte suggeriert, die einzelnen Maßnahmen ihren jeweiligen Informationssicherheitsbereichen zu; #Governance_and_Ecosystem, #Protection, #Defence und #Resilience. Auch in dieser Spalte können einzelne Maßnahmen mehrere Attribute zugeordnet erhalten, wenn mehrere Bereiche betroffen sind.

11 neue Controls des ISO/IEC 27002:2022

ISO/IEC 27002:2022 listet derzeit 11 neue Controls auf. Dies sind auch gleichzeitig Indikatoren für die neuen thematischen Schwerpunkte. Diese sind:

1. Threat intelligence: Threat Intelligence bezeichnet das strategische Sammeln an Informationen über potenzielle Bedrohungen und Bedrohungs-Akteure für die Informationssicherheit. Entsprechende Systeme sammeln unterschiedliche Rohdaten, analysieren sie und ermitteln so digitale Risiken. Die Sammlung und Analyse erfolgen kontinuierlich. Die Ergebnisse werden in Data-Feeds oder Reports in eine auswertbare Form zusammengestellt. IT-Verantwortliche und Sicherheitsexperten nutzen die Threat Intelligence als Ausgangspunkt für zeitnahe Sicherheitsmaßnahmen. In manchen Fällen fließen die Daten auch direkt in bestehende Systeme und führen automatisiert Aktionen durch. Ziel ist es Angriffe frühzeitig zu erkennen und präventiv abzuwehren.
2. Information security for use of cloud services: Cloud-Aktivitäten müssen ganzheitlich von der Einführung über den Betrieb bis hin zur Exit-Strategie betrachtet werden und es müssen Konzepte für die Waghrung der Inform
3. ICT Readiness for Business Continuity: Die Anforderungen der IT-Landschaft müssen aus der Business-Prozess-Perspektive abgeleitet werden.
4. Physical security monitoring: Die Vermeidung unautorisierter physischer Zutritte rückt stärker in den Fokus und soll mittels Alarmierungs- und Überwachungssystemen verhindert werden.
5. Configuration management: Die sichere Konfiguration von IT-Systemen und die Härtung gewinnen an Bedeutung.
6. Information deletion: Hierbei geht es um das sichere Löschen und insbesondere die Wahrung externer Anforderungen, beispielsweise Löschkonzepte aus dem Datenschutz, die umgesetzt/sichergestellt werden müssen.
7. Data masking: Mittels verschiedener Methoden wie Anonymisierung und Pseudonymisierung soll der Schutz von Daten erhöht werden.
8. Data leakage prevention: Data Leakage Prevention (DLP) erhält neu Beachtung und soll helfen, den unautorisierten Datenabfluss zu vermeiden.
9. Monitoring activities: Netzwerk- und Anwendungsverhalten sollen überwacht werden, um Anomalien zu detektieren.
10. Web filtering: Dieses Control betrifft den Zugriff auf externe Websites, die Schadcode enthalten können. Hierbei soll Webfiltering genutzt werden.
11. Secure coding: Hierbei geht es um das sichere Programmieren, die Nutzung von Tools, die Überwachung genutzter Bibliotheken und Repositorien, das Kommentieren und Nachvollziehen von Änderungen und das Vermeiden unsicherer Programmiermethoden

Die hinzugekommen Controls in der 27002:2022 finden sich lediglich in den Kapiteln 5, 7 und 8 und werden im Folgenden auch hinsichtlich Ihrer Kategorisierung/Zuordnung (Art des Controls, Maßnahmen-Attribut, Zuordnung zu Themengebieten/Anwendungsgebiet) und sowie den Schutzzielen dargestellt.

Wie man sieht, wird die Erklärung zur Anwendbarkeit (Statement of Applicability [SoA]) zukünftig etwas komplexer werden, wenn nun zusätzlich eine Kategorisierung/Zuordnung nach Art des Controls, Maßnahmen-Attribut, Zuordnung zu Themengebieten/Anwendungsgebiet sowie unterstütze Schutzziele erfolgen muss.

Annex der ISO/IEC 27002

Der Anhang der ISO 27002:2022 bietet allerlei hilfreiche Informationen bezüglich der Maßnahmen, ihrer jeweiligen Steuerelemente und Attribute. Weiterhin wird dargestellt, welche der Controls aus der 2013er Norm die neuen, aktualisierten Controls ausmachen; also welche Maßnahmen wie zusammengefasst wurden.

Was bringt das Update der Norm nun?

Die ISO/IEC 27002:2022 hat sprichwörtlich ein komplett neues Layout bekommen. Die bisherigen 14 Kontrollziele wurden in vier Kategorien gruppiert und, wo sinnvoll, zusammengefasst. Die deutliche Reduzierung, von 114 auf zukünftig lediglich 93 Maßnahmen, ist auf das logische Zusammenführen zuvor einzelner Controls zurückzuführen. Insgesamt sind 11 neue Controls hinzugekommen. Insbesondere rücken dabei die Identifikation, Vermeidung, Entdeckung und Reaktion von bzw. auf Cyberattacken sowie der Schutz von Daten stärker in den Fokus. Dadurch ist die überarbeite Version der ISO/IEC 27002 umfassender und trägt aktuellen IT-Trends aber auch aktuellen Gefährdungen Rechnung. Jedoch ist es nicht damit getan, nur die neuen 11 Controls nur umzusetzen, denn auch in den bekannten Controls sind neue beziehungsweise erweiterte Umsetzungshinweise enthalten.

Noch gibt es keine überarbeitete ISO/IEC 27001. Doch schon jetzt sollten sich alle, die ein ISMS nach ISO/IEC 27001 betreiben, mit der neuen ISO/IEC 27002 bzw. der neuen Struktur, den neuen Controls und erweiterten Umsetzungshinweisen auseinandersetzen und bereits jetzt Schritte einleiten. Ab Veröffentlichung einer neuen ISO/IEC 27001, die für Ende 2022 erwartet wird, besteht voraussichtlich eine Übergangszeit von einem Jahr, in der die alte Struktur noch für eine Managementsystem-Zertifizierung herangezogen werden kann. Bestehende Zertifizierungen müssen voraussichtlich erst nach drei Jahren auf die neue Struktur umstellen.

Auswirkung auf andere Regelwerke und Branchenspezifische Sicherheitsstandards

Viele andere Regelwerke, Handlungs- und Orientierungshilfen zum Informationssicherheits-management sowie Branchenspezifische Sicherheitsstandards (siehe Webseite bsi) verweisen nicht selten auf Controls der ISO/IEC 27701 oder Umsetzungshinweise der ISO/IEC 27002.
Diese Dokumente werden – sofern eine Überarbeitung bzw. Weiterentwicklung erfolgt, ebenfalls überarbeitet bzw. an die neue Struktur und Kennzeichnung angepasst werden. Das bedeutet, dass sich auch Unternehmen und Organisationen mit der neuen Norm auseinandersetzen sollten, deren Normen- /Umsetzungsgrundlage nur indirekt etwas mit der ISO/IEC 27000er Normenreihe zu tun hat. Beispielsweise der überwiegende Teil der Betreiber kritischer Infrastrukturen.

Haben Sie Fragen dazu? Unsere Experten unterstützen Sie gerne!
Bei Interesse vereinbaren Sie gerne einen Termin mit uns unter info@hbsn-ag.de | 030 408173352