Neuerungen der ISO/IEC DIS 27002:2021

29 Jul

  • in ISMS
  • von
  • 0

Am 28. Januar 2021 wurde nach mehreren Jahren der Überarbeitung die ISO/IEC DIS 27002:2021 veröffentlicht. Die ISO/IEC 27002 ist nach der ISO/IEC 27001 die zweitwichtigste Norm, wenn es darum geht ein ISMS gem. ISO/IEC 27001 in einem Unternehmen einzuführen. Auch wenn sie derzeit noch in einem Draft International Standard (DIS) und damit als „Entwurf“ vorliegt, ist davon auszugehen, dass sich die finale Fassung nur noch marginal ändern wird. Die 27002 ist zwar nicht normativ, sondern nur informativ, was bedeutet, dass in einem Zertifikatsaudit die 27002 nicht Bestandteil der Auditierung ist, weil sie lediglich Umsetzungsempfehlungen für Controls bietet, aber sie hat dennoch gewichtigen Einfluss.

In sog. Controls werden in der 27000-Welt technische- und organisatorische Maßnahmen beschrieben, deren Zweck es ist, bestehende Risiken in der informationstechnischen Landschaft von Unternehmen zu behandeln.

Bedeutung der ISO/IEC 27002

Die Controls der 27002 zeigen den Umfang und Aufbau des Controlsets (derzeit Anhang A genannt) der zukünftigen 27001.

Die Umsetzungsempfehlungen der 27002 sind

  • für alle die eine 27001 implementieren wollen ein hilfreicher Orientierungsrahmen, um zu verstehen, welche Inhalte ein Control abdecken möchte.
  • für Auditoren eine inoffizielle „Orientierung“ in einem Zertifikatsaudit, um die Angemessenheit eines implementierten Controls im Unternehmen zu bewerten.

Die Gliederung der 27002-Controls dürfte das Controlset der zukünftigen 27001 direkt widerspiegeln, was auch Auswirkungen auf weitere Normen hat, die die Gliederungsstruktur der 27002 nutzen, z.B. die ISO/IEC 27019 für Energieversorger oder ISO 27799 für den Bereich Krankenhäuser).

 

Aufbau ISO/IEC DIS 27002:2021

4 Hauptbereiche (vormals 14), welche derzeit 93 Controls (vormals 114) beherbergen.

  • Organizational controls
  • People controls
  • Physical controls
  • Technological controls

Jedes Control besitzt neuerdings jeweils 5 Attribute:

  1. Control type
  2. Information security properties
  3. Cybersecurity concepts
  4. Operational capabilities
  5. Security domains

Attribute dienen der Bildung von Sichten (Views) auf das gesamte Controlset. Jedes Attribut besitzt sogenannte Hashtags (#-), die es ermöglichen Controls semantisch zusammenzufassen.

Das wichtigste Attribut dürfte „Operational capabilities“ werden. Die Reduktion der Hauptabschnitte auf nur noch 4 Bereiche erschwert es zwar auf den ersten Blick Controls für Einzelthemen wie z.B. Incident-Management zu finden, aber mit den Tags z.B. #Asset_management (vormals A.8) oder #Supplier_relationships_security (vormals A.15) lassen sich thematisch zusammenhängende Subsets bilden, was den Umstieg von der alten auf die neue Fassung für alle fachkundigen erheblich erleichtert. Damit trägt die neue Struktur der Erkenntnis Rechnung, dass Controls oftmals in verschiedenen Bereichen bedeutsam sind und bisher „künstlich“ in ein Korsett aus Hauptabschnitten und Unterabschnitten gepresst wurden.

Alle 5 Attribute können jeweils mehrere #-Tags haben, weshalb versierte Anwender beliebter Tabellenkalkulations-Software ihre Freude haben werden, weil nur relationale Datenbank-Schemata eine adäquate Abbildung ermöglichen.

Hilfreich sind die angefügten Mapping- und Übersichtstabellen, welche sich in der neuen 27002 finden.

  • Auflistung aller Controls und ihrer Attribute sowie #-Tags
  • 2 Mappings, welche Controls aus der alten 27002 sind den neuen Controls zuordenbar sind und umgekehrt.

 

Neu ist auch, dass jedes Control eine eigene Zweckbeschreibung (Purpose) erhält (vormals hatte nur jeder der 35 Unterabschnitte in 14 Hauptabschnitten eine Zielbeschreibung). Nahmen diese Control-Ziele realiter weder in der Implementierung noch in der Auditierung eine große Bedeutung ein, dürfte sich dies ändern, da für ein bestimmtes Control eine Zweckbestimmung geliefert wird, die sich wunderbar in der Implementierung im Unternehmen als Auditor „erörtern“ lässt.

 

Neue Controls – Indikatoren neuer Schwerpunkte

Der DIS listet derzeit 11 Controls als „New“:

  1. Die Organistion muss sich nun aktiv darum kümmern, Angreifer und ihre Methoden zu verstehen vor dem Hintergrund der eigenen IT-Landschaft.
  2. Die Organisation muss ihre Cloud-Aktivitäten von der Einführung, über den Betrieb bis hin zur Exit-Strategie betrachten.
  3. Die Anforderungen der IT-Landschaft aus der Business-Prozess Perspektive muss nun betrachtet werden, was z.B. Business Impact Analysen (BIA) liefern.
  4. Die Vermeidung unautorisierter physischer Zutritte durch Alarmierungs- und Überwachungssysteme rückt stärker in den Fokus.
  5. Die sichere Konfiguration von IT-Systemen und die Härtung erhält nun erhöhte Aufmerksamkeit.
  6. Das sichere Löschen und insbesondere die Wahrung externer Anforderungen, z.B. Löschkonzepte des Datenschutzes wird Rechnung getragen.
  7. Die Maskierung von Daten durch verschiedene Techniken, wie Anonymisierung, Pseudonymisierung soll den Schutz von Daten erhöhen.
  8. Das Konzept der Data Leakage Prevention erhält nun Beachtung und soll den unautorisierten Abfluss von Daten vermeiden helfen.
  9. Die Überwachung von Netzwerken und Anwendungsverhalten sollen Anomalien detektieren. Dies zielt insbesondere auf den Einsatz von Intrustion Detection und Prevention Systemen (IDS, IPS).
  10. Der Zugriff auf externe Websites, die Schadcodes enthalten können ist zu berücksichtigen durch Webfilter-Methoden.
  11. Das sichere Programmieren, die Nutzung von Tools, die Überwachung genutzter Bibliotheken und Repositorien, die Kommentierung und Nachvollziehbarkeit von Änderungen, das Vermeiden unsicherer Programmiermethoden legt einen neuen Schwerpunkt.

Zusammenfassend – was ist neu?

  • Es gibt nur noch 4 Hauptabschnitte statt 14. Die 35 Unterabschnitte entfallen und werden durch das Attribut „Operational capabilities“ ersetzt.
  • Es sind weniger Controls (derzeit 93 statt 114) und es wurden Controls zusammengefasst.
  • Es gibt derzeit 11 neue Controls (z.B. für Cloud Services).
  • Viele Controls haben neue Benennungen erhalten, um den Fokus des Controls neu zu beschreiben.
  • Ein Controls entfällt.
  • Es gibt Attribute zu jedem Control.
  • Es gibt keine Ziele von Unterabschnitten mehr, sondern jedes Control besitzt einen eigenen Zweck.

Wird es einfacher oder schwerer Controls zu implementieren?

Auch wenn die Anzahl der Controls sich reduziert hat, ist das kein Hinweis darauf, dass die Themenvielfalt abgenommen hat. Es wurden Controls zusammengefasst, z.B. im Zugriffsrechte-Management. Auf der anderen Seite wurden viele neue Controls ergänzt und neue Schwerpunkte gelegt, welche v.a. die die Vermeidung, Entdeckung und Reaktion bezüglich Cyberangriffen sowie den Schutz von Daten stärker in den Fokus rücken.

Die Änderungen wissen durchaus zu gefallen, zumindest auf den ersten Blick, weil es in der alten Fassung Überschneidungen von Controls oder kleinteilige Aufsplittungen gab, über deren Zweck sich trefflich „frotzeln“ ließ. Einige davon wurden aufgelöst.

Auch die Stärkung des Monitorings der IT-Landschaft ist direkt anschlussfähig an die geplanten Anforderungen des IT-Sicherheitsgesetzes 2.0 das „Systeme zur Angriffserkennung“ fordert im Sinne von Intrustion Detection und Prevention Systemen.

 Umstieg – der Early Adopter bekommt den Wurm?

Eine Frage, die Unternehmen derzeit beschäftigen dürfte: wann sollte auf die neue Fassung umgestiegen werden. Grundsätzlich gilt, Ruhe bewahren und keinen Schnellschuss machen, da es sich nur um einen Draft-Standard handelt.

Alle die ein natives 27001-Zertifikat aktiv betreiben müssen vorerst bei ihrem Controlset ohnhin bleiben, selbst wenn die 27002 final veröffentlich sein wird. Sie müssen warten, bis die 27001 final erschienen ist. Und selbst dann wird es eine Übergangsfrist geben, bis diese verpflichtend sein wird. Dies schließt jedoch nicht aus, dass man nach Veröffentlichung der finalen 27002 sein Controlset im Statement of Applicability (SoA) um Maßnahmen wie z.B. Cloud Security „freiwillig“ erweitert. Dies ist sogar anzuraten, da es einen wirklichen Mehrwert liefert.

Alle die ein ISMS auf Basis 27001 nach §8a BSI-Gesetz betreiben und kritische Infrastruktur sind und als Prüfgrundlage keinen Branchenspezifischen Sicherheitsstandard (B3S) verwenden oder aufgrund gesetzlicher Vorgaben ein ISMS bzw. Sicherheitskonzept ohne weitere Spezifizierung betreiben müssen oder ein nichtzertifiziertes ISMS ihr Eigen nennen können jetzt schon loslegen

Alle die ein ISMS-Framework aufbauen oder dieses derzeit anpassen (z.B. Konzern-Rahmenwerke) können theoretisch auch heute schon beginnen. Mit Mappingtabellen der 27002 lässt sich im Konzern jedes native 27001-Zertifikat das lokal betrieben wird konform zum Konzern-Framework halten.

Für alle die ihr ISMS der neuen Welt als „Early Adopters“ anpassen, gilt, dass sich das eine oder andere Control noch ändern könnte.

Und wie immer gilt, eine Norm Spaß, #mehr Normen mehr Spaß!

 

Autor: Alexander Burgis

Senior Berater, Projektleiter und ISMS Implementierer, berufener Auditor (27001, Kritische Infrastrukturen, Energienetz- und Anlagenbetreiber), Seminarleiter.

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.