Im 4. Quartal 2022 wird die neue ISO Norm 27001 und folgerichtig auch die ISO 27002, die die Vorgaben aus der 27001 mit konkreten Maßnahmen untermauert, durch die International Organisation for Standardisation (ISO, UK) veröffentlicht.

Die ISO 27002 definiert einen breiten Katalog allgemeiner Sicherheitsmaßnahmen, die Unternehmen bei der Umsetzung der Anforderungen aus dem Annex A von ISO 27001 unterstützen sollten – und hat sich als praxisnaher Standard-Leitfaden in vielen IT- und Security-Abteilungen als anerkanntes Werkzeug etabliert. Anfang 2022 wurde ISO 27002 umfassend überarbeitet und aktualisiert – ein nach Ansicht vieler Experten überfälliger Schritt, wenn man die dynamische Entwicklung in der IT in den vergangenen Jahren betrachtet und weiß, dass Normen alle 5 Jahre auf Aktualität überprüft werden.

Für Unternehmen mit einem Zertifikat nach ISO 27001 – oder Betriebe, die die Zertifizierung demnächst angehen wollen – sind die jetzt auf den Weg gebrachten Neuerungen in doppelter Hinsicht relevant: Zum einen mit Blick auf notwendige Aktualisierungen der eigenen Sicherheitsmaßnahmen; zum anderen aber auch, weil diese Änderungen auf die zum Jahresende erwartete Aktualisierung von  ISO 27001 durchschlagen werden und damit für alle künftigen Zertifizierungen und Rezertifizierungen relevant sein werden. Grund genug also, die neue ISO 27002 genauer unter die Lupe zu nehmen.

Neue Struktur und neue Themenbereiche

Die erste augenfällige Veränderung von ISO 27002:2022 ist die aktualisierte und deutlich gestraffte Struktur des Umsetzungsleitfadens zur Norm: Statt der bislang 114 Sicherheitsmaßnahmen (Controls) in 14 Abschnitten umfasst der Referenzsatz der aktualisierten Version ISO 27002 jetzt noch 93 Controls, die in 4 Themenbereichen übersichtlich untergliedert und zusammengefasst sind:

- 37 Sicherheitsmaßnahmen im Bereich „Organizational controls“

- 8 Sicherheitsmaßnahmen im Bereich „People controls“

- 14 Sicherheitsmaßnahmen im Bereich „Physical controls“

- 34 Sicherheitsmaßnahmen im Bereich „Technological controls“

Trotz der reduzierten Anzahl von Sicherheitsmaßnahmen wurde lediglich das Control „Removal of Assets“ tatsächlich gestrichen. Die Verschlankung ist darauf zurückzuführen, dass 24 Sicherheitsmaßnahmen aus bestehenden Controls zusammengefasst und neu strukturiert wurden, um den Schutzzielen fokussierter gerecht zu werden. Weitere 58 Sicherheitsmaßnahmen wurden überarbeitet und mit zeitgemäßen Anforderungen angepasst.

Neue Sicherheitsmaßnahmen

Darüber hinaus – und das ist der wahrscheinlich spannendste Teil der Aktualisierung – wurde ISO 27002 in der neuen Version um 11 zusätzliche Sicherheitsmaßnahmen erweitert. Für Security-Experten wird keine dieser Maßnahmen überraschend sein, in der Summe setzen sie aber ein starkes Signal und helfen Unternehmen dabei, ihre Organisationsstrukturen und Sicherheitsarchitekturen zeitgemäß gegen heutige und zukünftige Bedrohungsszenarien zu wappnen.

Die neuen Maßnahmen sind:

Threat Intelligence

Erfassung, Konsolidierung und Analyse aktueller Bedrohungsinformationen ermöglicht Unternehmen, sich in einem zunehmend dynamischen und sich ständig weiterentwickelnden Bedrohungsumfeld auf dem Laufenden zu halten. Die evidenzbasierte Analyse von Informationen über Angriffe wird künftig eine Schlüsselrolle in der Informationssicherheit zur Entwicklung bestmöglicher Verteidigungsstrategien übernehmen.

Information Security for the Use of Cloud Services

Viele Unternehmen verlassen sich heute auf Cloud-basierte Services. Damit verbunden sind neue Angriffsvektoren und einhergehend veränderte und deutlich größere Angriffsflächen. In Zukunft müssen Unternehmen angemessene Schutzmaßnahmen für deren Einführung, Nutzung, Administration berücksichtigen und in ihren vertraglichen Regeln mit Cloud Service Providern verbindlich festlegen.

ICT Readiness for Business Continuity

Verfügbarkeit der Informations- und Kommunikationstechnik (IKT) und ihrer Infrastrukturen ist essentiell für den laufenden Geschäftsbetrieb in Unternehmen. Grundlage für resiliente Organisationen sind geplante Geschäftskontinuitätsziele und daraus abgeleitete, umgesetzte und überprüfte ITK‑Kontinuitätsanforderungen. Die Anforderungen an die zeitnahe, technische Wiederherstellung der ITK nach einem Ausfall begründen tragfähige Business-Continuity-Konzepte.

Physical Security Monitoring

Einbrüche, bei denen sensible Daten oder Datenträger aus dem Unternehmen gestohlen oder kompromittiert werden, stellen für Unternehmen ein erhebliches Risiko dar. Technische Kontrollen und Überwachungssysteme haben sich bewährt, um potenzielle Eindringlinge abzuschrecken bzw. deren Eindringen unmittelbar zu detektieren. Diese werden künftig Standardbausteine ganzheitlicher Sicherheitskonzepte zum Erkennen und Abschrecken unbefugten physischen Zutritts sein.

Configuration Management

Fehlerhaft konfigurierte Systeme können von Angreifern missbraucht werden, um Zugang zu kritischen Ressourcen zu erhalten. Während zuvor das systematische Konfigurationsmanagement als Teilmenge des Änderungsmanagements unterrepräsentiert war, wird es jetzt als eigenständige Sicherheitsmaßnahme fokussiert. Es fordert Unternehmen auf, die korrekte Konfiguration von Hardware, Software, Diensten und Netzen zu überwachen und ihre Systeme angemessen zu härten.

Information Deletion

Seit dem Inkrafttreten der Datenschutz-Grundverordnung müssen Unternehmen über geeignete Mechanismen verfügen, um personenbezogene Daten auf Wunsch zu löschen und sicherzustellen, dass diese nicht länger gespeichert werden als nötig. Diese Anforderung wird in ISO 27002 auf alle Informationen ausgeweitet. Sensible Informationen sollten nicht länger als nötig aufbewahrt werden, um das Risiko einer unerwünschten Offenlegung zu vermeiden.

Quelle: dqsglobal