Am 15. Februar im letzten Jahr wurde eine neue Version der ISO 27002 veröffentlicht. Diese berücksichtigt aktuelle technologische Entwicklungen, indem sie nicht nur neue Risiken und Szenarien betrachtet, sondern auch die Themen Cloud, Cybersicherheit und Datenschutz einbezieht. Im Folgenden werden die wichtigsten Änderungen der ISO 27002 vorgestellt und erklärt und deren Bedeutung für Unternehmen aufgezeigt.
Was ist die ISO 27002
Die ISO 27002 ist Teil der ISO 27000-Normreihe, welche die Standards zur Informationssicherheit beinhaltet. Dabei handelt es sich um eine Zusammenstellung von Best Practices in Form eines Leitfadens. Dieser enthält Hinweise für eine mögliche Umsetzung des Anhang A der ISO 27001. Die ISO 27001 bestimmt die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) und Anhang A bietet die verschiedenen Controls. Dabei ist zu berücksichtigen, dass die ISO 27002 lediglich als Orientierungshilfe dient und nur die ISO-Norm 27001 zertifizierbar ist.
Die wesentlichen Änderungen der ISO 27002
Die neue Version verfügt über eine neue Struktur, statt 14 Kapiteln und 114 Maßnahmen enthält sie nun 93 Maßnahmen, die in 4 Themen gegliedert sind:
- 8 personenbezogene Maßnahmen
- 14 physische Maßnahmen
- 34 technologische Maßnahmen
- 37 organisatorische Maßnahmen
11 der Maßnahmen wurden neu definiert:
Technologische Maßnahmen
Konfigurationsmanagement: Ermöglicht es, dass Software, Hardware, Netzwerke und Dienste mit den obligatorischen Sicherheitseinstellungen konfiguriert werden und dass die Konfiguration nicht unautorisiert verändert wird.
Löschung von Informationen: Sorgt dafür, dass die unnötige Weitergabe sensibler Daten verhindert wird und die vertraglichen und gesetzlichen Anforderungen an die Löschung von Daten erfüllt werden.
Datenmaskierung: Dadurch sollen personenbezogene Daten geschützt werden, z.B. durch Techniken wie Pseudonymisierung, Anonymisierung oder auch Datenmaskierung.
Verhinderung von Datenlecks: Unterbindet, dass Unbefugte oder Systeme auf vertrauliche Informationen zugreifen können.
Webfilterung: Um die Anfälligkeit für bösartige Inhalte zu verringern, ermöglicht diese Maßnahme den Zugriff auf externe Websites zu filtern.
Überwachung von Aktivitäten: Unterstützt die Überwachung von Anwendungen, Systemen und Netzwerken, um anormales Verhalten festzustellen und geeignete Maßnahmen zu ergreifen, um potenzielle Vorfälle in Bezug auf die Informationssicherheit zu bewerten.
Sicheres Coding: Es muss sichergestellt werden, dass bei der Entwicklung von Software die Prinzipien des sicheren Kodierens angewendet werden. Dadurch soll sowohl die Anzahl von Fehlern innerhalb der Software als auch die Anzahl potenzieller Sicherheitslücken vermindert werden.
Organisatorische Maßnahmen
Informationssicherheit für die Nutzung von Cloud-Diensten: Es werden Verfahren für Erwerb, Nutzung, Verwaltung und Einstellungen von Cloud-Computing-Diensten bestimmt, sodass diese den Anforderungen der Sicherheitspolitik gerecht werden.
Bedrohungsintelligenz: Es wird deutlich, wie wichtig es ist, Informationen über die aktuelle Bedrohungslage zu erheben, diese zu analysieren und sich, entsprechend der Situation, angemessen auf die Bedrohung vorzubereiten.
IKT-Bereitschaft für Business Continuity: Es wird sichergestellt, dass die Verfügbarkeit von Informationen innerhalb der Organisation und anderer damit verbundener Werte während einer Störung aufrechterhalten wird.
Physische Maßnahmen
Physische Sicherheitsüberwachung: Die Implementierung eines guten Systems zur ständigen Überwachung des Firmengeländes, ermöglicht es unbefugten physischen Zugang zu erfassen.
Jede Maßnahme beinhaltet zudem zusätzliche Informationen wie beispielsweise den Zweck der Maßnahme sowie eine Tabelle mit weiteren Eigenschaften wie Kontrolltyp, Betriebsfähigkeit, Cybersicherheitskonzepte, Informationssicherheitseigenschaften und Sicherheitsdomänen. Hierdurch können Controls in Bezug auf ihre jeweiligen Schutzziele, wie Integrität, Verfügbarkeit und Vertraulichkeit, besser bewertet werden und gleichzeitig nach ihrer Wirkungsweise klassifiziert werden.
Welche Auswirkungen hat die ISO 27002 für Organisation, die bereits nach ISO 27001 zertifiziert sind
Wenn Unternehmen bereits nach ISO 27001:2013 zertifiziert sind, bleibt die Zertifizierung weiterhin erhalten, da der Hauptteil, von Kapitel 4 bis Kapitel 10, der ISO 27001 unverändert ist.
Die ISO 27001, welche die Änderungen der ISO 27002:2022 einschließt, befindet sich derzeit noch in Bearbeitung. Mit der Veröffentlichung kann Ende des Jahres oder Anfang 2023 gerechnet werden. Des Weiteren erhalten Unternehmen, ab dem Tag der Veröffentlichung, eine 2-jährige Übergangsfrist, um die angepassten Anforderungen der ISO 27002:2022 ohne zeitlichen Druck in ihr jeweiliges Informationssicherheitsmanagementsystem zu implementieren.
Es ist von großer Bedeutung, sich zeitnah mit der neuen Maßnahmenstruktur auseinanderzusetzen, um zu ermitteln welche Änderungen an dem bereits bestehenden ISMS vorzunehmen sind. Auf diese Art sind Organisationen vorbereitet und können die erforderlichen Ressourcen für die Anpassungen des ISMS zeitgerecht bereitstellen.
Welche Auswirkungen hat die ISO 27002 für Organisation, die sich nach ISO 27001 zertifizieren lassen möchten
Unternehmen, die eine Zertifizierung nach ISO 27001 anstreben, sollten bereits bei der Erarbeitung des Informationssicherheitsmanagementsystems (ISMS) die neuen Controls in Form von Maßnahmen der ISO 27002 berücksichtigen, damit das ISMS von Beginn an dem neuen Standard entspricht.
Welche Auswirkungen hat die ISO 27002 für Organisation, die sich nicht nach ISO 27001 zertifizieren lassen möchten
Nichtsdestotrotz sollten sich Unternehmen mit den neuen Maßnahmen befassen, um auf deren Grundlage Sicherheitsrichtlinien auszuarbeiten, durch welche die Informationssicherheit im Unternehmen gesteigert werden kann.
Höhere Informationssicherheit durch gezielte Maßnahmen
Da Cyberkriminalität täglich zunimmt, ist Informationssicherheit heutzutage ein bedeutsames Thema in Unternehmen. Organisationen, die sich stetig über technologische Entwicklungen und die Bedrohungslage informieren, sind sich der Notwendigkeit bewusst, dass Maßnahmen zum Schutz des Unternehmens ergriffen werden müssen. Hierbei können Organisationen auf die Maßnahmen der ISO 27002 zurückgreifen, um gesetzte Sicherheitsziele zu erreichen.