Blog

Was ist neu in ISO 27002:2022?

/ Kategorie: CISO

Viele Unternehmen richten sich bei der Ausgestaltung ihrer Information Security Strategie bzw. ihrer Security Policies nach dem weltweit anerkannten Standard ISO/IEC 27000 (oder kurz ISO 27k). ISO 27k besteht aus einer ganzen Serie von Standards, wobei ISO27001 2013 zuletzt revidiert wurde – im Cyber Security Bereich also vor einer Epoche. Daher war eine Aktualisierung aufgrund der technischen Entwicklung und der zunehmenden Cyber Risiken mehr als notwendig.

Die ISO 27000 Familie

Zunächst zu den Basics: ISO 27001 ist die internationale Norm für das Informationssicherheitsmanagement, nach der sich Organisationen zertifizieren lassen. ISO 27002 ist eine unterstützende Norm, die Leitlinien für die Umsetzung von Informationssicherheitskontrollen enthält. Daran hat sich durch die Aktualisierung nichts geändert. Nach wie vor können sich Organisationen nach ISO 27001 zertifizieren lassen und 27002 als unterstützenden Leitfaden verwenden. 

Allerdings hat die ISO 27k schon einige Jahre auf dem Buckel. Angesichts der rasanten Entwicklungen im Cyber Security Bereich war es höchst an der Zeit, die Norm zu aktualisieren. Sie besteht aus einer ganzen Serie von Standards. Die bekanntesten beiden sind sicher ISO 27001 und ISO 27002. ISO 27001 beschreibt die Anforderungen an das Information Security Management System, während ISO 27002:2013 die Security Anforderungen in insgesamt 114 Massnahmen (Controls) verteilt auf 14 Kategorien (Domains) als Empfehlungen definiert. Mittlerweile befindet sich die gesamte ISO 27k Familie in Überarbeitung. Im Februar wurde nun als erstes ISO 27002:2022 veröffentlicht, welche die 2013er Version ersetzt. Später in diesem Jahr soll dann 27001:2022 folgen. Bei den Änderungen handelt es sich nicht nur um eine Neugestaltung, sondern um eine radikale, zeitgemässe Neufassung.

Welche Änderungen sind damit verbunden?

Die erste Änderung finden wir bereits im Titel von ISO 27002. Dieser lautet neu Information Security, Cybersecurity and Privacy Protection — Information Security Controls. Diese Erweiterung lässt bereits auf die inhaltlichen Neuerungen schliessen.

Aus Information Technology — Security Techniques wird Information Security, Cyber Security and Privacy Protection
ISO 27002:2022 umfasst neu noch 93 Controls (gegenüber 114 unter ISO 27002:2013).
Diese Controls werden in 4 Domains unterteilt (gegenüber den bisherigen 14) und umfassen:

  • People (8 controls)
  • Organizational (37 controls)
  • Technological (34 controls)
  • Physical (14 controls)

Neue Controls in ISO 27002:2022

Neben einer verbesserten und aktualisierten Struktur sind vor allem die 11 neuen Massnahmen von Relevanz. Sie sorgen dafür, dass die Norm auch den Anforderungen an die IT-Sicherheit in den nächsten Jahren gerecht werden wird. 

  • Threat Intelligence (5.07)  
    Bedrohungsinformationen zu sammeln und zu analysieren, ermöglicht eine genauere Einschätzung der Situation und somit einen besseren Schutz. Dies wird immer wichtiger, da in praktisch allen Unternehmen zunehmend mehr Cloud-Dienste verwendet werden und man über geeignete Prozesse für den Umgang mit diesen verfügen sollte.
     
  • Information security for the use of cloud services (5.23)    
    Cloud-Dienste sind mittlerweile ein unverzichtbarer Bestandteil der Infrastruktur eines Unternehmens. Aus diesem Grund sollten Firmen über geeignete Prozesse für das Onboarding, die Nutzung, die Verwaltung und den möglichen Ausstieg bei einem Anbieter verfügen. Diese Prozesse sollten zudem den Informationssicherheitsanforderungen des Unternehmens entsprechen.
     
  • ICT readiness for business continuity (5.30)    
    Die Erwartungen an die Kontinuität von Geschäftsprozessen haben sich verändert. Dies hat auch Auswirkungen auf die technischen Wiederherstellungsmassnahmen. Die ICT-Bereitschaft sollte auf der Grundlage von Geschäftskontinuitätszielen und den erforderlichen ICT-Kontinuitätsanforderungen geplant, implementiert, überwacht und regelmässig getestet werden.
     
  • Physical security monitoring (7.4)    
    Die Überwachung der Räumlichkeiten hilft, potenziellen Eindringlingen den Zugang zu verwehren und Angriffe zu erkennen. Durch die Installation von Schutzwerkzeugen, Einbruchsalarmen und weiteren Funktionen kann sichergestellt werden, dass nur berechtigte Personen Zugang zu den Räumlichkeiten haben.
     
  • Configuration management (8.9)    
    Dient der Sicherheit von Diensten, Netzen und Konfigurationen. Es legt fest, dokumentiert, überwacht und überprüft diese, um Fehler und unautorisierte Zugriffe zu verhindern.
     
  • Information Deletion (8.10)    
    Die Datenschutzgrundverordnung (DSGVO / GDPR) sowie das britische Datenschutzgesetz beinhalten Regeln, die Organisationen verpflichten, nur die notwendige Zeit Daten zu speichern. Diese Anforderung gilt auch für den allgemeinen Begriff "Information". Informationen, die in Informationssystemen und Geräten gespeichert werden, sollten gelöscht werden, sobald sie nicht mehr benötigt werden.
     
  • Data Masking (8.11)    
    Anonyme oder pseudonymisierte Daten sind in den letzten Jahren immer wichtiger geworden. Es ist kein neues Konzept, die Menge an Daten zu begrenzen, die für eine Aufgabe notwendig ist. Aber es ist ein neues Konzept, dies auf Daten durch Datenmaskierung anzuwenden. Die Datenmaskierung sollte in Übereinstimmung mit den themenspezifischen Richtlinien der Organisation zur Zugriffskontrolle und den geschäftlichen Erfordernissen unter Berücksichtigung der rechtlichen Anforderungen eingesetzt werden.
     
  • Data leakage prevention (8.12)    
    Wenn es darum geht, Ihre Daten zu schützen, ist die Erkennung von Datenextraktionen der Schlüssel. Mit zunehmender Nutzung von Cloud-Diensten und Endgeräten besteht ein immer grösserer Bedarf an Überwachung dieser Dienste auf eventuelle Datenverluste. Um Datenlecks vorzubeugen, sollten Massnahmen auf Systeme, Netzwerke und Endgeräte angewendet werden, die empfindliche Informationen verarbeiten, speichern oder übertragen.
     
  • Monitoring Activities (8.16)    
    Aktivitäten, die von Standards oder Erwartungen abweichen, sollten jetzt überwacht werden. Das Sammeln der Protokolle steht nicht mehr länger allein im Fokus. Netze, Systeme und Anwendungen sollten auf anormales Verhalten hin überwacht und geeignete Massnahmen ergriffen werden, um mögliche Vorfälle im Bereich der Informationssicherheit zu bewerten.
     
  • Web Filtering (8.22)    
    Leider gibt es viele Websites, die Malware verbreiten oder Ihre Daten ausspähen. Durch das Filtern solcher Websites können Sie die Risiken für die Privatsphäre Ihrer Mitarbeitenden und die Sicherheit Ihrer Daten reduzieren. Es ist wichtig, den Zugang zu externen Websites zu verwalten und bösartigen Inhalten keine Chance zu geben. 
     
  • Secure Coding (8.28)    
    Die sichere Softwareentwicklung ist ein wichtiger Bestandteil des Security by Design Prinzips und muss und sollte dafür sorgen, dass der Code keine Schwachstellen aufweist oder sonst anfällig für Angriffe ist. Zur sicheren Softwareentwicklung zählt auch das regelmässige Aktualisieren und Einspielen von Patches.

Neues Klassifizierungsschema

Den Controls wurde zudem ein neues Klassifizierungsschema (Attributes) verpasst, welches die Kategorisierung, in Anlehnung an NIST oder andere Standards, vereinfacht. Die Attribute umfassen:

  • Control type (preventive, detective, corrective) – Wirkungsweise der Massnahme
  • Information security properties (confidentiality, integrity, availability) – Auswirkung auf Sicherheitsziele
  • Cybersecurity concepts (identify, protect, detect, respond, recover) – Einordnung in Frameworks für Cybersecurity
  • Operational capabilities (governance, asset management, etc.) – operative Fähigkeiten
  • Security domains (governance and ecosystem, protection, defense, resilience) – NIS Sicherheitsdomänen

ISO/IEC 27002:2022 wurde im Februar 2022 publiziert und ersetzt ISO/IEC 27002:2013
ISO/IEC 27001:2022 soll später in diesem Jahr veröffentlicht werden und ersetzt die 27001:2013

Was bedeutet der aktualisierte Standard für ISO 27001 zertifizierte Unternehmen?

Zunächst einmal ist die ISO 27001:2022 aktuell noch nicht publiziert. Das heisst, alle laufenden oder anstehenden Re-zertifizierungen werden nach ISO 27001:2013 durchgeführt. In der Regel gilt dann eine Zweijahresfrist ab der Publikation, bis die neuen Controls angewendet werden müssen. Trotzdem empfiehlt es sich, sich bereits jetzt mit den Anpassungen aus ISO 27002:2022 zu beschäftigen. Insbesondere dürfte es sich lohnen, die neuen Controls bereits in den Risk Management Prozess aufzunehmen.

Es ist wahrscheinlich, dass die Zertifizierungsstellen eine gewisse Zeit brauchen werden, um die neue Norm und die Änderungen an den Kontrollen zu interpretieren und zu übernehmen, was bedeutet, dass viele Zertifizierungsstellen möglicherweise erst drei bis sechs Monate nach Veröffentlichung der Norm Bewertungen nach der aktualisierten Norm anbieten.

Die Umstellung auf die neue Taxonomie wird also einige Zeit in Anspruch nehmen. Der einfachste Weg, den Übergang zu bewältigen, besteht wahrscheinlich darin, die Risikobehandlungsprozesse zu aktualisieren und einige Abschnitte der Richtlinien und Verfahren sorgfältig zu überprüfen, denn auch dies ist Teil des kontinuierlichen Verbesserungsprozesses. 

Andererseits ist es für diejenigen, die beabsichtigen, im Laufe des Jahres zum ersten Mal zu zertifizieren, ratsam, mit der - nicht obligatorischen, aber nützlichen - Analyse der neuen ISO/IEC 27002:2022 zu beginnen und mit Hilfe des Anhangs B des Leitfadens, der die Referenzen der neuen Kontrollen im Vergleich zu denen der vorherigen Version der ISO 27002 genau auflistet, an den aktuellen Konzepten zu arbeiten.

Insgesamt dürfte der Aufwand für die Aktualisierung in den meisten Organisationen aber moderat ausfallen. Die Aktualisierung bedeutet in erster Linie eine Umgruppierung von Controls. In den meisten Fällen dürfte sich das in der Aktualisierung bzw. Erweiterung von bestehenden Security Policies auswirken. Die Norm ist konzeptionell erneuert und besser auf den heutigen Kontext abgestimmt. Auch, wenn sie in Bezug auf die technische Tiefe nicht sehr ausgewogen ist, da einige Kontrollen tiefgreifend und andere weniger tiefgreifend sind, stellt sie einen hervorragenden Ausgangspunkt für die Entwicklung eines Informationssicherheitsmanagementsystems dar.

Zusammen. Sicher.

Sie möchten Ihr Unternehmen nach ISO 27001 zertifizieren lassen oder sind bereits mitten im Zertifizierungsverfahren und brauchen Unterstützung? Unsere erfahrenen Cybersecurity Experten helfen Ihnen gerne weiter. Kontaktieren Sie uns. Wir sind für Sie da.

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.