Die neue ISO/IEC 27002
Die ISO/IEC 27002 ist der „praktische Teil“ der 2700x-Familie und beschreibt Umsetzungshinweise für Sicherheitsmaßnahmen. In der aktuellen Überarbeitung hat sich inhaltlich einiges getan – unsere Autoren beschreiben, welche Änderungen die Novellierung mit sich bringt, wie man mit der neuen Norm arbeiten kann und wer jetzt aktiv werden sollte.
Von Eike Zimmermann und Henning Krockauer, Berlin
Nach langer Überarbeitung wurde am 28. Januar 2021 ein erster Entwurf der ISO/IEC 27002 veröffentlicht – zuvor war der Standard zuletzt 2005 und 2013 aktualisiert worden. Die Norm enthält Umsetzungshinweise zu den einzelnen Controls, die in Annex A der ISO/IEC 27001 referenziert werden, um so eine Zertifizierung zu ermöglichen.
Die Controls der ISO/IEC 27002 lassen sich nutzen, um Risiken zu behandeln, die man im Rahmen des Informationssicherheits-Risikomanagements identifiziert hat. Der Standard wurde im Rahmen der Novellierung grundlegend überarbeitet: Einige Controls sind zusammengefasst worden, eines wurde entfernt und 11 neue eingeführt.
Die wohl auffälligsten Änderungen sind struktureller Art und sollen helfen, effizienter mit Controls aus dem Annex A der ISO/IEC 27001 zu arbeiten: Die ehemals 14 Kapitel der „Control categories“ wurden zu vier Kapiteln „Organizational controls“, „People controls“, „Physical controls“ und „Technological controls“ zusammengefasst – gleichzeitig hat man die ehemals 114 Controls auf 93 reduziert. Dabei ist jedoch nur das Control A.11.2.5 „Removal of assets“ tatsächlich entfernt worden – alle weiteren hat man, wenn möglich, sinnvoll zusammengefasst und in die vier neuen Kapitel einsortiert.
Durch die Überarbeitung haben die einzelnen Controls stark an Übersichtlichkeit gewonnen. Neben einem detaillierteren Aufbau der einzelnen Controls wurden diese auch jeweils mit Attributen verschiedener Kategorien in Form von Hashtags verschlagwortet, um so eine bessere Durchsuchbarkeit zu gewährleisten und zweckgebunden filtern zu können.
Darüber hinaus sind sind zwei neue Anhänge zur ISO/IEC 27002 hinzugekommen: zum einen eine Erläuterung der neuen Struktur inklusive einer Matrix aller Controls und ihrer Attribute – zum anderen Zuordnungstabellen zwischen den alten und den neuen Controls, die man beim Übergang zwischen den Versionen der Norm nutzen sollte.
Änderungen im Detail
Weggefallen ist das Control A.11.2.5 „Removal of assets“ – vermutlich, weil eine Nutzung von Assets außerhalb des eigenen Betriebsgeländes heutzutage kaum noch auszuschließen ist. Die entsprechende Nutzung wird über das auch vorher schon bestehende Control A.7.9 „Security of assets off-premises“ (ehemals A.11.2.6 „Security of equipment and assets off-premises“) geregelt.
Alles neu oder nur neu geordnet?
Neu eingeführt wurden 11 Controls (Tab. 1) – viele davon sollten schon längst Teil von „Good Practices“ sein und wurden teilweise bereits in den Umsetzungshinweisen bestehender Controls erwähnt. Beispielsweise hat das Control A.14.2.1 „Secure development policy“ schon in der alten Version Grundsätze zur sicheren Programmierung impliziert – in der neuen Fassung bekommen diese Grundsätze ein eigenes Control mit umfangreichen Umsetzungshinweisen. Und waren Verfahren bezüglich Cloud-Services bisher in A.15.1.3 „Information and communication technology supply chain“ in das Thema Supply-Chain einbezogen, bekommen sie nun mit A.5.23 ebenfalls ein eigenes Control. So wird Klarheit bei der Umsetzung der Sicherheitsmaßnahmen geschaffen.
Teilweise gehen die neuen Controls auch einen Schritt weiter: Bisher wurde zum Beispiel lediglich das Logging von sicherheitsrelevanten Ereignissen in Netzen, Systemen oder Anwendungen verlangt. In Zukunft verlangt A.8.16 „Monitoring activities“ die Erkennung von Anomalien mittels Monitoring und die Bewertung potenzieller Sicherheitsvorfälle. Ein weiteres entscheidendes Control ist A.5.7 „Threat intelligence“: Früher wurde der Austausch von Informationen bezüglich Bedrohungen ganz nebenbei unter A.6.1.4 „Contact with special interest groups“ erwähnt. Von nun an ist die Bedrohungslage kontinuierlich zu beobachten und zu analysieren – dies sollte auf strategischer, taktischer und operativer Ebene geschehen.
Die inhaltlichen Änderungen sind letzten Endes überschaubar – ein genauerer Blick lohnt sich aber dennoch. Denn teilweise wurden die bestehenden Controls konkretisiert und um Prüf- und Verbesserungsschritte ergänzt.
Strukturelle Anpassungen
Um mit dem überarbeiteten Standard effizient umzugehen, sollte man sich die neue Ordnung genauer anschauen. Beim Überfliegen des Inhaltsverzeichnisses der neuen ISO/IEC 27002 fällt sofort die Reduzierung der Kapitelzahl auf – die neue Norm wirkt aufgeräumter. Statt 14 feinkörniger Kapitel, deren Controls sich unter Umständen auf mehrere Bereiche beziehen, wurden die vier Bereiche „organisatorisch“, „Menschen“, „physisch“ und „technologisch“ eingeführt und die Controls entsprechend zugewiesen.
Bei den einzelnen Controls springt sofort eine Tabelle ins Auge, in der jeweils alle mit dem Control verknüpften Attribute enthalten sind. So bleibt die Verbindung des Controls zu speziellen Themengebieten erhalten und wird sogar noch verfeinert. Die früheren „Control Objectives“, in denen die Ziele mehrerer Controls zusammengefasst wurden, sind in der aktuellen Version nicht mehr zu finden – stattdessen besitzt nun jedes Control einen eigenen Absatz, der seinen Zweck erläutert.
Mittels der Attribute, die in Tabelle 2 dargestellt sind, lassen sich Controls aus verschiedenen Sichtweisen filtern: So gibt es Attribute für den Control-Typ, die Schutzziele, das Cybersicherheitskonzept (in Bezug auf das Cybersecurity-Framework aus ISO/IEC TS 27101), operative Fähigkeiten und die Sicherheitsdomäne, auf die sich ein Control bezieht – Abbildung 1 zeigt einen Überblick der neu eingeführten Attributtypen.
Anhand des allgemeinen Control-Typs kann man Controls nach präventivem, erkennendem oder behebendem Charakter filtern. Bei den zugewiesenen Schutzzielen („Information security properties“) handelt es sich um die klassischen Ziele Vertraulichkeit, Integrität und Verfügbarkeit, abhängig davon, auf welches Schutzziel ein Control einwirkt. Um eine mögliche Integration der ISO/IEC TS 27101 zu gewährleisten, wurde bei den einzelnen Controls zudem hinterlegt, auf welches Konzept aus der ISO/IEC TS 27101 sie sich beziehen („Cyber Security Concepts“). Bei den operativen Fähigkeiten („Operative capabilities“) handelt es sich um die Themenfelder, die von dem Control betroffen sind. Die zugehörigen Attributwerte sind teilweise an die ehemaligen Kapitel der ISO/IEC 27002:2013 angelehnt, allerdings nicht 1:1 übertragbar. Das Attribut Sicherheitsdomäne („Security domains“) deckt den Blickwinkel von verschiedenen Sicherheitsbereichen ab.
Die verwendeten Attribute sind Vorschläge, die das Arbeiten mit dem Standard und den Controls erleichtern sollen. Es wird explizit darauf hingewiesen, dass manche Attribute für einzelne Unternehmen obsolet sein könnten. Außerdem wird angeregt, bei Bedarf eigene Attribute zu definieren und die Controls dadurch unternehmensgerecht filtern zu können.
Den Umgang mit den Attributen sowie eine Erläuterung zu den Attributtypen behandelt Annex A der ISO/IEC 27002:2021 – außerdem listet er noch einmal alle Controls mit ihren zugehörigen Attributen auf. Als Beispiel für die Nutzbarkeit der Attribute wird eine Liste vorgestellt, in der nach „behebenden“ Controls gefiltert wurde. Zusätzlich erläutert ein Beispiel, wie ein Unternehmen Attribute definieren könnte, mittels derer sich die Controls verschiedenen Sicherheitsvorfällen zuordnen ließen. Andere mögliche Attribute könnten die von Controls betroffenen Assets, Abteilungen, Prozesse oder unternehmensspezifische Prioritäten sein.
Wer bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2013 implementiert hat, findet im Annex B der ISO/IEC 27002:2021 zwei Zuordnungstabellen, die bei der Übergangsphase helfen sollen. Hier kann man sowohl ermitteln, aus welchen alten Controls ein neues entstanden ist, als auch, in welchen
neuen Controls die ehemaligen jetzt zu finden sind.
„Überblick der Attributtypen“
„Attribute der Controls“
Mehrwerte
Ein großer Vorteil der überarbeiteten ISO/IEC 27002 ist, dass thematisch verwandte Controls nun zusammengefasst wurden. Das betrifft hauptsächlich Controls gleicher „Control categories“, allerdings wurden auch solche zusammengefasst, die vorher auf mehrere Kategorien verteilt waren. So zum Beispiel die ehemaligen Controls A.6.2.1 und A.11.2.8, die den Umgang mit Mobilgeräten und nicht-beaufsichtigten Benutzergeräten regeln – in Zukunft werden diese unter A.8.1 „User endpoint devices“ zusammengefasst. An den Umsetzungshinweisen hat sich in diesem Fall nicht viel geändert, denn im Grunde wurde A.11.2.8 in A.6.2.1 integriert. Neu hinzugekommen sind allerdings Umsetzungshinweise zum Umgang mit eingebrachten privaten Geräten (BYOD).
Die neue Struktur hilft, den Überblick zu behalten – relevante Kriterien werden in einzelnen Controls gesammelt. Zum Beispiel umfasst das neue Control A.7.10 alle relevanten Kriterien zum Lebenszyklus von Speichermedien – von der Beschaffung über die Nutzung, den Transport und die Entsorgung. Diese Kriterien waren vorher auf drei Controls unter A.8.3 verteilt.
Sehr hilfreich können außerdem die neu eingeführten Attribute sein, welche die Durchsuchbarkeit der ISO/IEC 27002 um einiges erhöhen. Wem die vorgeschlagenen Attributen nicht so viel nützen, der kann sich zumindest von ihnen inspirieren lassen. Beispielsweise könnte man Attribute einführen, an denen erkennbar ist, wer für die Umsetzung einzelner Controls verantwortlich oder von den im Rahmen eines Controls umgesetzten Maßnahmen betroffen ist. Auch ein Attribut, dass den Umsetzungsstatus enthält, ist denkbar. Die Norm regt hier explizit an, organisationsspezifische Attribute zu definieren.
To-dos
Bei genauer Betrachtung der neuen ISO/IEC 27001 fällt auf, dass der Annex A komplett überarbeitet wurde, der Kern des ISMS jedoch unangetastet blieb. Den Großteil der Arbeit bei der Überführung eines bestehenden ISMS wird das Mapping der alten und neuen Controls und damit die Aktualisierung vorhandener Prozesse, Richtlinien und Werkzeuge ausmachen. Beim Mapping kann man sich glücklicherweise an die Verknüpfungstabellen im Annex B der neuen ISO/IEC 27002 halten. Die Novellierung bedeutet aber zunächst durchaus zusätzlichen Aufwand im kontinuierlichen Verbesserungsprozess (KVP).
Wer sich vor der Überarbeitung der eigenen Prozesse und Richtlinien schon organisationsspezifische Attribute überlegt hat, kann Prozesse und Richtlinien nun um ein schönes Feature erweitern. Von der strukturierteren und besser durchsuchbaren Form kann man sicherlich profitieren.
Wer ein zertifiziertes ISMS nach ISO/IEC 27001 zu verantworten hat, sollte jetzt aktiv werden: Im besten Fall wurde der Zertifizierungs- oder Re-Zertifizierungsprozess gerade erst abgeschlossen – dann erfolgt erst die nächste Re-Zertifizierung auf Grundlage der novellierten Fassung, Überwachungsaudits werden bis dahin anhand der bisherigen Version durchgeführt.
An dieser Stelle sei auf den informativen Charakter der stark überarbeiteten ISO/IEC 27002 verwiesen: Im Gegensatz zur ISO/IEC 27001 ist sie nicht normativ und muss nicht eins zu eins umgesetzt werden. Über die Controls von deren Annex A werden jedoch zumindest grundlegende normative Anforderungen gestellt. Es führt also kein Weg an der Anpassung eines bestehenden ISMS vorbei, wenn eine Zertifizierung erhalten bleiben soll. Mindestens die neu eingeführten Controls sollten dabei besonders beachtet werden – im Rahmen der Anpassung sollte man aber auch die restlichen Controls dahingehend überprüfen, ob es weitergehende normative Anforderungen gibt als zuvor.
In Panik muss man jetzt jedoch nicht verfallen: Wie bereits erwähnt bleiben die Kernanforderungen an ein ISMS dieselben wie vor der Novellierung – ein bereits funktionierendes ISMS nach bisheriger ISO/IEC 27001 wird auch die grundlegenden Anforderungen der neuen Norm erfüllen.
Eike Zimmermann ist Managing Consultant, Henning Krockauer ist Security Consultant bei der HiSolutions AG.