Mit der ISO/IEC 27002:2022 „Informationssicherheit, Cybersicherheit und Datenschutz“ wurde im Februar dieses Jahres eine Norm veröffentlicht, die neue Anforderungen an die Informationssicherheit stellt. Die neue Norm ersetzt die ISO/IEC 27002:2013-10 und damit praktisch auch die deutsche Norm DIN EN ISO/IEC 27002:2017. Unternehmen, die nach ISO 27001:2013 zertifiziert sind, haben nun zwei Jahre Zeit, die Neuerungen umzusetzen. Zu beachten sind dabei abgesehen von der aktualisierten Struktur vor allem die elf neu aufgenommenen Maßnahmen. .
Das Wichtigste in Kürze
- Die ISO/IEC 27002 stellt einen Leitfaden dar, der verschiedene allgemeingültige Informationssicherheitsmaßnahmen beschreibt.
- Die neue Norm unterstützt bei der Erfüllung der Anforderungen aus dem Annex der ISO/IEC 27001.
- Abgesehen vom Titel wurde durch die neue ISO/IEC 27002:2022 die Struktur der Norm überarbeitet.
- Da die ISO/IEC 27001:2017 die ISO/IEC 27002:2013 inkludiert, hat die Änderung der 27002 zunächst keinen Einfluss auf ein nach ISO/IEC 27001 zertifiziertes Informationssicherheits-Managementsystem.
Was ist die ISO/IEC 27002?
Datenschutz-Zertifizierungen stellen mittlerweile ein Gütesiegel für Unternehmen dar, denn oftmals sind Kunden oder Geschäftspartner nicht in der Lage, die Umsetzung des Datenschutzes durch das jeweilige Unternehmen zu beurteilen. Auch eine öffentlich zugängliche Datenschutzerklärung vermag über den jeweiligen Stand des Datenschutzmanagements nicht hinreichend Aufschluss zu geben. Insoweit kann der Nachweis einer Datenschutz-Zertifizierung Abhilfe schaffen. Diese dient der Überprüfung eines Produkts, einer Dienstleistung oder eines Unternehmens im Hinblick auf den Datenschutz. Wird ein Zertifizierungsprozess erfolgreich durchgeführt, wird ein Zertifikat oder ein Gütesiegel vergeben.
Als Teil der ISO/IEC 27000-Reihe stellt die ISO/IEC 27002 einen Leitfaden dar, der verschiedene allgemeingültige Informationssicherheitsmaßnahmen beschreibt, die in der Regel in vielen verschiedenen Organisationen bei der Implementierung eines Informationssicherheits-Managementsystems angewendet werden können. Die in der ISO/IEC 27002 genannten Richtlinien sind allgemein konzipiert, das heißt, dass sie in jeder Organisation jedweder Art und Größe angewendet werden können.
Da es sich lediglich um einen ergänzenden Standard handelt, der bloße Empfehlungen enthält, ist eine Zertifizierung nach ISO 27002 nicht möglich. Vielmehr unterstützt die neue Norm bei der Erfüllung der Anforderungen aus dem Annex der ISO/IEC 27001.
Ferner kann die neue ISO/IEC 27002 auch von solchen Organisationen als Leitfaden verwendet werden, die zwar allgemein anerkannte Informationssicherheitsmaßnahmen festlegen und implementieren wollen, auf den Betrieb eines Managementsystems nach ISO/IEC 27001 allerdings verzichten möchten.
Änderungen durch die ISO 27002:2022
Abgesehen vom Titel, der ursprünglich „Information technology – Security techniques – Code of practice for Information security controlls“ lautete und nun zu „Information security, cybersecurity and privacy protection – Information security controls“ abgeändert wurde, ist auch die Struktur des Dokuments überarbeitet worden. So wurden die zuvor bestehenden 14 Abschnitte, die 35 Maßnahmenziele und 114 Maßnahmen (sog. Controls) enthielten, abgeschafft sowie diverse Controls inhaltlich zusammengefügt und aktualisiert.
Neue Maßnahmen
Ferner sind elf Maßnahmen neu hinzugefügt worden, um Netzwerke in Zukunft besser zu schützen.
1. Threat intelligence
Hierbei sollen Bedrohungsinformationen gesammelt und analysiert werden, um Schutzanforderungen genauer bestimmen zu können.
2. Information security for use of cloud services
Da Cloud-Dienste immer mehr zu einem wichtigen Bestandteil der Infrastruktur eines Unternehmens werden, sollten Unternehmen geeignete Prozesse für die Cloud-Einführung, Nutzung, Verwaltung sowie den möglichen Ausstieg bei einem Anbieter festlegen.
3. ICT Readiness for Business Continuity
Auch wenn die Anforderungen an Business Continuity schon etwas länger bestehen, rückt die Aktualisierung die Anforderungen an technische Wiederherstellungsmaßnahmen noch mehr in den Vordergrund.
4. Physical security monitoring
Durch eine Überwachung sollen potenzielle Eindringlinge abgeschreckt und bevorstehende Angriffe erkannt werden. Hierbei sollen insbesondere Schutzwerkzeuge, Einbruchsalarme sowie weitere Funktionen vor unbefugtem Zugriff schützen.
5. Configuration management
Dadurch wird sichergestellt, dass die Dienste in Übereinstimmung mit den erforderlichen Sicherheitseinstellungen betrieben werden und eine Komprimierung der Konfiguration durch unautorisierte oder fehlerhafte Änderungen verhindert wird.
6. Information deletion
Sowohl die DSGVO als auch das britische Datenschutzgesetz erhalten Grundsätze, die Organisationen vorschreiben, Daten nur solange, wie es erforderlich ist, zu speichern. Durch diese Maßnahme wird diese Anforderung über personenbezogene Daten hinaus auf den allgemeinen Begriff „Informationen“ erweitert.
7. Data masking
Bei der „Datenmaskierung“ sollen sensible Daten so verändert werden, dass sie für einen Angreifer keinen oder nur einen geringen Wert haben, aber dennoch von Software oder autorisierten Personen oder Systemen genutzt werden können.
8. Data leakage prevention
Bei der Verhinderung von Datenlecks geht es darum, die unbefugte Offenlegung und Extraktion von Informationen durch Einzelpersonen oder Systeme zu verhindern und aufzudecken. Präventionsmaßnahmen sollten auf Systeme, Netzwerke und alle anderen Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen.
9. Monitoring activities
Einen integralen Bestandteil der ISO 27002:2022 stellt Systemüberwachung dar. Diese ist die Praxis der Überwachung von Netzwerken, Systemen und Anwendungen, um anomales Verhalten und potenzielle Informationssicherheitsvorfälle zu erkennen. Die Überwachung sollte kontinuierlich unter Verwendung eines Überwachungstools in Echtzeit oder in regelmäßigen Abständen erfolgen, je nach Bedarf und Fähigkeit der Organisation. Es sollten Verfahren vorhanden sein, um auf positive Indikatoren des Überwachungssystems rechtzeitig zu reagieren, damit die Auswirkungen negativer Ereignisse minimiert werden kann.
10. Web filtering
Das Filtern von Websites, die Malware verbreiten, Daten auslesen oder aus sonstigen Gründen nicht vertrauenswürdig sind, senkt Risiken für die Endnutzer.
11. Secure coding
Durch eine sichere Codierung wird gewährleistet, dass der Code keine Schwachstellen aufweist und auch nicht in sonstiger Weise für Angriffe anfällig ist. Hierbei spielt eine regelmäßige Aktualisierung sowie das Einspielen von Patches eine wichtige Rolle.
Änderung der Struktur
Die neue ISO 27002:2022 verfügt durch die Änderung nun über 93 Sicherheitsmaßnahmen, die in vier Kategorien unterteilt sind:
- Organiszational controls (37)
- People controls (8)
- Physical controls (14)
- Technological controls (34)
Jede dieser Kategorien wird nochmals mit Attributen verknüpft, um eine standardisierte Möglichkeit zur Sortierung der Sicherheitsmaßnahmen zu bieten und diese zu filtern:
- Control types: Die Kontrolltypen stellen ein Attribut dar, dass sich darauf fokussiert, wann und wie die Maßnahme das Risiko im Hinblick auf das Auftreten eines Informations-Sicherheits-Vorfalls verändert. Dabei können die Maßnahmen präventiv (das Auftreten eines Informations-Sicherheits-Vorfalls verhindernd), reaktiv (bei Eintritt eines Informations-Sicherheits-Vorfalls wirkend) oder korrektiv (nach dem Eintritt des Informations-Sicherheits-Vorfalls wirkend) sein.
- Information security properties: Beim Attribut der „Merkmale der Informationssicherheit“ wird dargestellt, auf welche Schutzziele die Maßnahme wirkt (Vertraulichkeit, Integrität oder Verfügbarkeit).
- Cybersecurity concepts: Durch die Attribute erfolgt eine Zuordnung von Maßnahmen zu Cybersicherheitskonzepten (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen), die in dem ISO/IEC TS 27100 beschriebenen Cybersicherheitsrahmenwerk definiert sind.
- Operational capabilities: Hier stehen die operativen Fähigkeiten der Informationssicherheit im Fokus. Die Attribute (governance, asset management, information protection, human resource security, physical security, system and network security, application security) können insbesondere bei der Überprüfung und Bewertung von Prozessen hilfreich sein.
- Security domains: Hier liegt der Fokus auf einzelnen Teilbereichen innerhalb der Informationssicherheit.
Auswirkungen der ISO/IEC 27002:2022 auf ein nach ISO/IEC 27001 zertifiziertes ISMS
Aktuell ist die deutsche Version DIN EN ISO/IEC 27001:2017 gültig, die identisch zu der ISO/IEC 27001:2013 sowie den Korrekturen Cor 1:2014 und Cor 2:2015 ist. Da die ISO/IEC 27001:2017 die ISO/IEC 27002:2013 inkludiert, hat die Änderung der 27002 zunächst keinen Einfluss auf ein nach ISO/IEC 270017 zertifiziertes Informations-Sicherheits-Management-System. Eine wesentliche Änderung besteht darin, dass durch die neue ISO/IEC 27002 eine Anpassung des Annex A der ISO/IEC 27001 erforderlich wird. Diese soll durch einen Verweis auf die neue ISO/IEC 27002:2022 im normativen Annex, voraussichtlich noch in diesem Jahr umgesetzt werden. Durch die Umstellung der Zertifizierungsnormen werden alle akkreditierten Stellen weltweit einen Änderungsantrag zur entsprechenden Änderung ihrer Akkreditierung stellen müssen. Im Rahmen des Akkreditierungsprozesses wird dann ein Transitionskonzept geprüft. Darin wird erklärt, wie die Mitteilung über die Neuerungen gegenüber zertifizierten Kunden, wie die Schulung von Auditoren und Zertifizierern zu erfolgen hat und wie Vorlagen angepasst werden müssen, sowie die maßgeblichen Fristen festgehalten.
Fazit
Die ISO 27001 hat mit den genannten Änderungen einige wichtige und längst überfällige Aktualisierungen erhalten. Obwohl noch keine Maßnahmen ergriffen werden müssen, bieten die Aktualisierungen der ISO 27002:2022 für Organisationen eine gute Gelegenheit interne Prozesse zu überprüfen und aktualisieren. Die Tatsache, dass bei der Änderung der Bezeichnung der Begriff „Informationstechnologie“ durch „Informationssicherheit“ ersetzt und mit „Cybersicherheit“ und „Schutz der Privatsphäre“ erweitert wurde, impliziert, dass der Schwerpunkt nicht auf der Technologie, sondern auf dem Schutz der Privatsphäre der Betroffenen und Cybersicherheit liegt.
