Revision ISO 27002 – Das sind die Änderungen

• ISO 27002 und ISO 27001
• Neue Struktur und neue Themenbereiche
• Neue Sicherheitsmaßnahmen
• Attribute und Attributwerte
• ISO 27002 Änderungen: Ein Fazit
• Das bedeutet das Update für Ihre Zertifizierung
• Bei der DQS in guten Händen

ISO 27002 und ISO 27001

ISO 27002 definiert einen breiten Katalog allgemeiner Sicherheitsmaßnahmen, die Unternehmen bei der Umsetzung der Anforderungen aus dem Annex A von ISO 27001 unterstützen sollen. Der praxisnahe Standard-Leitfaden hat sich in vielen IT-Abteilungen und Security-Abteilungen als anerkanntes Werkzeug etabliert.

Anfang 2022 wurde ISO 27002 umfassend überarbeitet und aktualisiert – ein nach Ansicht vieler Experten überfälliger Schritt, wenn man die dynamische Entwicklung in der IT in den vergangenen Jahren betrachtet und weiß, dass Normen alle 5 Jahre auf Aktualität überprüft werden.

Für Unternehmen mit einem Zertifikat nach ISO 27001 – oder Betriebe, die die Zertifizierung demnächst angehen wollen – sind die jetzt auf den Weg gebrachten Neuerungen in doppelter Hinsicht relevant:
- zum einen mit Blick auf notwendige Aktualisierungen der eigenen Sicherheitsmaßnahmen
- zum anderen, weil diese Änderungen auch auf die im Oktober 2022 veröffentlichte neue ISO 270012022 durchgeschlagen haben und damit für alle künftigen Zertifizierungen und Rezertifizierungen relevant sein werden.

Grund genug also, die revidierte ISO 27002 genauer unter die Lupe zu nehmen.

Revision ISO 27002: neue Struktur und neue Themenbereiche

Die erste augenfällige Veränderung in ISO/IEC 27002:2022 ist die aktualisierte und deutlich gestraffte Struktur der Norm: Statt der bislang 114 Sicherheitsmaßnahmen (Controls) in 14 Abschnitten umfasst der Referenzsatz der aktualisierten Version ISO 27002 jetzt noch 93 Controls, die in 4 Themenbereichen übersichtlich untergliedert und zusammengefasst sind:

• 37 Sicherheitsmaßnahmen im Bereich „Organisatorische Maßnahmen“
• 8 Sicherheitsmaßnahmen im Bereich „Personenbezogene Maßnahmen“
• 14 Sicherheitsmaßnahmen im Bereich „Physische Maßnahmen“
• 34 Sicherheitsmaßnahmen im Bereich „Technische Maßnahmen“

Trotz der reduzierten Anzahl von Sicherheitsmaßnahmen wurde lediglich das Control „Removal of Assets“ tatsächlich gestrichen. Die Verschlankung ist darauf zurückzuführen, dass 24 Sicherheitsmaßnahmen aus bestehenden Controls zusammengefasst und neu strukturiert wurden, um den Schutzzielen der Informationssicherheit fokussierter gerecht zu werden. Weitere 58 Sicherheitsmaßnahmen wurden überarbeitet und mit zeitgemäßen Anforderungen angepasst.

Neue Sicherheitsmaßnahmen

Darüber hinaus – und das ist der wahrscheinlich spannendste Teil der Aktualisierung – wurde ISO/IEC 27002 in der neuen Version um 11 zusätzliche Sicherheitsmaßnahmen erweitert. Für Security-Experten wird keine dieser Maßnahmen überraschend sein, in der Summe setzen sie aber ein starkes Signal und helfen Unternehmen dabei, ihre Organisationsstrukturen und Sicherheitsarchitekturen zeitgemäß gegen heutige und zukünftige Bedrohungsszenarien zu wappnen.

Die neuen Maßnahmen sind:

Threat Intelligence

Die Erfassung, Konsolidierung und Analyse aktueller Bedrohungsinformationen ermöglicht Unternehmen, sich in einem zunehmend dynamischen und sich ständig weiterentwickelnden Bedrohungsumfeld auf dem Laufenden zu halten. Die evidenzbasierte Analyse von Informationen über Angriffe wird künftig eine Schlüsselrolle in der Informationssicherheit zur Entwicklung bestmöglicher Verteidigungsstrategien übernehmen.

Information Security for the Use of Cloud Services

Viele Unternehmen verlassen sich heute auf Cloud-basierte Services. Damit verbunden sind neue Angriffsvektoren und einhergehend veränderte und deutlich größere Angriffsflächen. In Zukunft müssen Unternehmen angemessene Schutzmaßnahmen für deren Einführung, Nutzung, Administration berücksichtigen und in ihren vertraglichen Regeln mit Cloud Service Providern verbindlich festlegen.

ICT Readiness for Business Continuity

Die Verfügbarkeit der Informations- und Kommunikationstechnik (IKT) und ihrer Infrastrukturen (IKT-Sicherheit) ist essentiell für den laufenden Geschäftsbetrieb in Unternehmen. Grundlage für resiliente Organisationen sind geplante Geschäftskontinuitätsziele und daraus abgeleitete, umgesetzte und überprüfte IKT‑Kontinuitätsanforderungen. Die Anforderungen an die zeitnahe, technische Wiederherstellung der IKT nach einem Ausfall begründen tragfähige Business-Continuity-Konzepte.

Physical Security Monitoring

Einbrüche, bei denen sensible Daten oder Datenträger aus dem Unternehmen gestohlen oder kompromittiert werden, stellen für Unternehmen ein erhebliches Risiko dar. Technische Kontrollen und Überwachungssysteme haben sich bewährt, um potenzielle Eindringlinge abzuschrecken bzw. deren Eindringen unmittelbar zu detektieren. Diese werden künftig Standardbausteine ganzheitlicher Sicherheitskonzepte zum Erkennen und Abschrecken unbefugten physischen Zutritts sein.

Configuration Management

Fehlerhaft konfigurierte Systeme können von Angreifern missbraucht werden, um Zugang zu kritischen Ressourcen zu erhalten. Während zuvor das systematische Konfigurationsmanagement als Teilmenge des Änderungsmanagements unterrepräsentiert war, wird es jetzt als eigenständige Sicherheitsmaßnahme fokussiert. Es fordert Unternehmen auf, die korrekte Konfiguration von Hardware, Software, Diensten und Netzen zu überwachen und ihre Systeme angemessen zu härten.

Information Deletion

Seit dem Inkrafttreten der Datenschutz-Grundverordnung müssen Unternehmen über geeignete Mechanismen verfügen, um personenbezogene Daten auf Wunsch zu löschen und sicherzustellen, dass diese nicht länger gespeichert werden als nötig. Diese Anforderung wird in ISO 27002 auf alle Informationen ausgeweitet. Sensible Informationen sollten nicht länger als nötig aufbewahrt werden, um das Risiko einer unerwünschten Offenlegung zu vermeiden.

Data Masking

Ziel dieser Sicherheitsmaßnahme ist der Schutz sensibler Daten bzw. Datenelemente, zum Beispiel personenbezogene Daten, durch Maskierung, Pseudonymisierung oder Anonymisierung. Der Rahmen für die angemessene Umsetzung dieser technischen Maßnahmen zur Informationssicherheit wird durch rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen vorgegeben.

Data Leakage Prevention

Um das Risiko der unbefugten Offenlegung und Extraktion sensibler Daten aus Systemen, Netzwerken und anderen Geräten zu mindern sind vorbeugende Sicherheitsmaßnahmen erforderlich. Mögliche Kanäle für unkontrollierten Abfluss dieser identifizierten und klassifizierten Informationen, zum Beispiel E-Mail, Dateiübertragungen, mobile Geräte und tragbare Speichergeräte, sollten überwacht werden und gegebenenfalls durch aktive Maßnahmen zur Verhinderung technisch unterstützt werden (E-Mail-Quarantäne).

Monitoring Activities

Systeme zur Überwachung von Anomalien in Netzen, Systemen und Anwendungen gehören mittlerweile zum Standardrepertoire in IT-Abteilungen. Ebenso hat die Forderung nach Einsatz von Systemen zur Angriffserkennung Einzug in aktuelle gesetzliche und regulatorische Regelungen gefunden. Die kontinuierliche Überwachung, automatische Erfassung und Auswertung geeigneter Parameter und Merkmale aus dem laufenden IT-Betrieb sind ein Muss in der proaktiven Cyberabwehr und wird die Technologien in diesem Bereich weiter vorantreiben.

Web Filtering

Viele nicht vertrauenswürdige Webseiten infizieren Besucher mit Malware oder lesen deren persönliche Daten aus. Über moderne URL-Filter lassen sich potenziell gefährliche Webseiten automatisch filtern, um die Endnutzer zu schützen. Die Sicherheitsmaßnahmen und Lösungen zur Absicherung gegen bösartige Inhalte externer Websites sind wesentlicher Bestandteil in einer global vernetzten Geschäftswelt.

Secure Coding

Schwachstellen im eigenentwickelten Code oder in Open-Source-Komponenten sind ein gefährlicher Angriffspunkt, über den Cyberkriminelle leicht Zugang zu kritischen Daten und Systemen erhalten können. Zeitgemäße Richtlinien zur Softwareentwicklung, automatisierte Testverfahren, Freigabeverfahren für Code-Änderungen, Wissensmanagement für Entwickler, aber auch durchdachte Patch- und Update-Strategien erhöhen durch Secure Coding das Schutzniveau erheblich.

Attribute und Attributwerte

Eine weitere Neuerung wurde mit ISO 27002:2022 erstmals eingeführt, um Security‑Verantwortlichen die Orientierung im breiten Maßnahmenmix zu erleichtern: In Anhang A der Norm sind für jede Maßnahme fünf Attribute mit zugehörigen Attributwerten hinterlegt.

Die mit Hashtags markierten Attributwerte sollen es Sicherheitsverantwortlichen leichter machen, sich im breiten Maßnahmenkatalog des Standard-Leitfadens zu orientieren und diesen gezielt zu durchsuchen und zu bewerten.

Die Attribute und Attributwerte sind:

Maßnahmenart (Control types)

• Maßnahmenart ist ein Attribut für die Sicht auf die Maßnahmen unter dem Gesichtspunkt, wann und wie eine Maßnahme das Risiko in Bezug auf das Auftreten eines Informationssicherheitsvorfalls verändert.
• Attributwerte: #Präventiv, #Detektiv, #Korrektiv

Informationssicherheitseigenschaften (Information security properties)

• Informationssicherheitseigenschaften sind ein Attribut, mit dem Maßnahmen unter dem Gesichtspunkt betrachtet werden können, welches Schutzziel durch die Maßnahme unterstützt werden soll.
• Attributwerte: #Vertraulichkeit, #Integrität, #Verfügbarkeit

Cybersicherheitskonzepte (Cybersecurity concepts)

• Cybersicherheitskonzepte betrachtet Maßnahmen aus der Perspektive der Zuordnung von Maßnahmen zu dem in ISO/IEC TS 27110 beschriebenen Cybersicherheitsrahmenwerk.
• Attributwerte: #Identifizieren, #Schützen, #Erkennen, #Reagieren, #Wiederherstellen

Betriebsfähigkeit (Operational capabilities)

• Betriebsfähigkeit betrachtet Maßnahmen aus der Perspektive ihrer operativen Informationssicherheitsfähigkeiten und unterstützt eine praktische Anwendersicht auf die Maßnahmen.
• Attributwerte: #Governance, #Asset_Management, #Informationsschutz, #Sicherheit_der_Humanressourcen, #Physische_Sicherheit, #System- und Netzwerksicherheit, #Anwendungssicherheit, #Sichere_Konfiguration, #Identitäts- und Zugangsverwaltung, #Bedrohungs- und Schwachstellenmanagement, #Kontinuität, #Sicherheit_der_Lieferantenbeziehungen, #Recht_und_Compliance, #Informationssicherheits-Ereignismanagement und #Vertrauenswürdigkeit_in_Bezug_auf_die_Informationssicherheit

Sicherheitsdomänen (Security domains)

• Sicherheitsdomänen sind ein Attribut, mit dem Maßnahmen aus der Perspektive von vier Informationssicherheitsdomänen betrachtet werden können.
• Attributwerte: #Governance_und_Ökosystem, #Schutz, #Verteidigung, #Resilienz

ISO 27002 Änderungen: Ein Fazit

Die Neuauflage von ISO 27002 gibt den Informationssicherheits-Verantwortlichen einen präzisen Ausblick auf die Änderungen, die mit der neuen ISO/IEC 27001:2022 zum neuen Zertifizierungsstandard werden.

Dabei halten sich die Neuerungen in einem überschaubaren Rahmen: Die Neustrukturierung des Maßnahmenkatalogs macht die Norm transparenter und ist mit Blick auf die steigende Komplexität und die abnehmende Transparenz der Security-Architekturen zweifellos ein Schritt in die richtige Richtung. Auch die neu inkludierten Maßnahmen werden für erfahrene Security-Experten nicht überraschend kommen und modernisieren den in die Jahre gekommenen ISO-Standard ganz erheblich.

Das bedeutet das Update für Ihre Zertifizierung

ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:

Letzter Termin für die Erst-/Rezertifizierungsaudits nach der „alten“ ISO 27001:2013

• nach dem 30. April 2024 wird die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen Norm ISO/IEC 27001:2022 durchführen

Umstellung aller bestehenden Zertifikate nach der „alten“ ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022

• es gilt eine 3-jährige Übergangsfrist ab dem 31. Oktober 2022
• ausgestellte Zertifikate nach ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 sind längstens bis zum 31. Oktober 2025 gültig oder müssen zu diesem Datum zurückgezogen werden.

Bei der DQS in guten Händen

Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.

Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fragen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.