ESecurity Cert

ISO/IEC DIS 27002:2021-01 - Überarbeitung oder Erweiterung der Version aus 2013?

Die in­ter­na­tio­nale Norm ISO/IEC 27002 ist ein Leit­fa­den für In­for­ma­ti­ons­si­cher­heitsmaßnah­men, wel­cher mo­men­tan noch in der eng­li­schen Fas­sung aus dem Jahr 2013 bzw. in der deut­schen Fas­sung aus dem Jahr 2017 an­zu­wen­den ist.

Die Vor­ga­ben der Norm sind nicht ver­pflich­tend an­zu­wen­den, es han­delt sich viel­mehr um Emp­feh­lun­gen, die um­ge­setzt wer­den können. Al­ler­dings er­ge­ben sich durch­aus Aus­wir­kun­gen auf an­dere Stan­dards aus der 27000-Nor­men­reihe, da die Norm die In­for­ma­ti­ons­si­cher­heitsmaßnah­men (Con­trols) des An­hangs A der Norm ISO/IEC 27001, wel­che die zen­trale Norm für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­teme dar­stellt, kon­kre­ti­siert und erläutert.

Für die Norm ist je­weils fünf Jahre nach dem In­kraft­tre­ten eine Über­ar­bei­tung vor­ge­se­hen, wel­che planmäßig im März 2018 be­gann. Nach ei­ner knapp dreijähri­gen Über­ar­bei­tungs­phase ha­ben die In­ter­na­tio­nal Or­ga­niza­tion for Stan­dar­diza­tion (ISO) und die In­ter­na­tio­nal Elec­tro­tech­ni­cal Com­mis­sion (IEC) im Ja­nuar die­sen Jah­res den Ent­wurf für die Norm ISO/IEC DIS 27002:2021-01 veröff­ent­licht. Der Er­lass der fi­na­len Ver­sion wird spätes­tens Ende des lau­fen­den Jah­res er­war­tet.

Allgemein

Be­reits die Tat­sa­che, dass die Be­zeich­nung der Norm geändert wurde, lässt dar­auf schließen, dass weit­rei­chende Ände­run­gen vor­ge­nom­men wur­den. Während ISO/IEC 27002:2013 den Ti­tel „In­for­ma­tion tech­no­logy - Se­cu­rity tech­ni­ques - Code of prac­tice for in­for­ma­tion se­cu­rity con­trols” trägt, wurde die neue Norm mit dem Ti­tel „In­for­ma­tion se­cu­rity, cy­ber­se­cu­rity and pri­vacy pro­tec­tion - in­for­ma­tion se­cu­rity con­trols” be­zeich­net. Dem­nach be­schäftigt sich die neue Norm ne­ben der In­for­ma­ti­ons­si­cher­heit auch ex­pli­zit mit den The­men­ge­bie­ten Cy­ber-Si­cher­heit und Da­ten­schutz. Ebenso wird bei dem Ver­gleich des Um­fangs deut­lich, dass die ge­plante Norm ISO/IEC DIS 27002:2021-01 mit 50 Sei­ten mehr deut­lich um­fas­sen­der ist.

Anwendungsbereich

Der An­wen­dungs­be­reich der Norm hat sich nicht verändert. Sie rich­tet sich wei­ter­hin so­wohl an Or­ga­ni­sa­tio­nen, die ein In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem gemäß ISO/IEC 27001 ein­ge­rich­tet ha­ben und hierfür Maßnah­men auswählen, als auch an Or­ga­ni­sa­tio­nen, die all­ge­mein ak­zep­tierte bzw. selbst ent­wi­ckelte Maßnah­men für In­for­ma­ti­ons­si­cher­heit um­set­zen bzw. ent­wi­ckeln möch­ten. Bis­lang wurde hin­sicht­lich De­fi­ni­tio­nen und Abkürzun­gen auf die über­ge­ord­nete Norm ISO/IEC 27000 ver­wie­sen. Da sich je­doch Ände­run­gen er­ge­ben ha­ben, bzw. ergänzende Be­griffs­de­fi­ni­tio­nen not­wen­dig wa­ren, wurde ein se­pa­ra­ter Ab­schnitt hierfür in die neue Norm auf­ge­nom­men.

Aufbau

Der Auf­bau der Norm ISO/IEC 27002 wurde vollständig über­ar­bei­tet. Während in der bis­he­ri­gen Norm 14 Con­trol Clau­ses (Si­cher­heitsmaßnah­men) mit 35 Se­cu­rity Ca­te­go­ries (Haupt­si­cher­heits­ka­te­go­rien) und 114 Con­trols (Maßnah­men) ent­hal­ten wa­ren, un­ter­teilt die neue Norm nur noch in die vier The­mes (The­men): or­ga­niza­tio­nal con­trols, peo­ple con­trols, phy­si­cal con­trols und tech­no­lo­gi­cal con­trols. Das Thema or­ga­niza­tio­nal con­trols ist da­bei als eine Art Re­si­dual­ka­te­go­rie an­zu­se­hen, der alle Con­trols (Maßnah­men) zu­ge­ord­net wur­den, die the­ma­ti­sch nicht den an­de­ren The­men­be­rei­chen zu­ge­ord­net wer­den konn­ten. Den The­men sind wie­der­rum ins­ge­samt 93 Con­trols (Maßnah­men) zu­ge­ord­net. Auch wenn die Struk­tur der Norm kom­plett geändert wurde, dürf­ten die je­wei­li­gen Maßnah­men ver­gleichs­weise leicht zu fin­den sein, da die Zu­ord­nung zu den The­men selbst­erklärend ist. Zu­dem ist im An­hang der Ent­wurfs­fas­sung ein Map­ping ent­hal­ten, wel­ches be­schreibt, an wel­cher Stelle sich die je­wei­li­gen Con­trols (Maßnah­men) aus der al­ten 27002-Norm in der neuen Norm wie­der­fin­den las­sen.
Jede die­ser Con­trols setzt sich nun aus den fol­gen­den Be­stand­tei­len zu­sam­men:

  • Con­trol Title — Be­zeich­nung der Maßnahme
  • At­tri­bute Title — Werte der je­wei­li­gen At­tri­bute
  • Con­trol — Be­schrei­bung der Maßnahme
  • Pur­pose — Zweck der Maßnahme
  • Gui­dance — Im­ple­men­tie­rungs­an­lei­tung
  • Other In­for­ma­tion — Erläutern­der Text, Ver­weise

Attributes

Zu den in der Norm auf­geführ­ten Con­trols (Maßnah­men) wur­den sog. At­tri­bu­tes aus fünf ver­schie­de­nen Ka­te­go­rien hin­zu­gefügt:

  • Con­trol Type — Kon­troll­typ
  • In­for­ma­tion se­cu­rity pro­per­ties — In­for­ma­ti­ons­si­cher­heits­ei­gen­schaf­ten
  • Cy­ber­se­cu­rity con­cepts — Cy­ber­si­cher­heits­kon­zepte
  • Ope­ra­tio­nal ca­pa­bi­li­ties — Ope­ra­tive Fähig­kei­ten
  • Se­cu­rity do­mains — Si­cher­heits­domänen

Je­der Con­trol  (Maßnahme) wird zu je­dem At­tri­but min­des­tens ein Wert zu­ge­ord­net. Bspw. wer­den für das At­tri­but Con­trol Type (Kon­troll­typ) die Con­trols (Maßnah­men) mit den Wer­ten #Pre­ven­tive (#Präven­tiv), #De­tec­tive (#Er­ken­nend) oder #Cor­rec­tive (#Kor­ri­gie­rend) ver­bun­den. Im An­hang der Norm ISO/IEC DIS 27002:2021 fin­det sich eine Ta­belle zur Ver­wen­dung die­ser At­tri­bute. Durch die Zu­ord­nung der At­tri­bute zu den Con­trols (Maßnah­men) wird den Or­ga­ni­sa­tio­nen zum einen eine ziel­ge­rich­tete und fo­kus­sierte An­wen­dung der Norm ermöglicht, zum an­de­ren be­steht da­durch ein ge­rin­ge­rer In­ter­pre­ta­ti­ons­spiel­raum bei der An­wen­dung. Bspw. kann so di­rekt nach al­len Maßnah­men ge­fil­tert wer­den, die sich auf eine be­stimmte In­for­ma­ti­ons­si­cher­heits­ei­gen­schaft wie die Ver­trau­lich­keit be­zie­hen.

Kontroll-Ebene

Bei der Be­trach­tung der neuen Norm auf Kon­trol­le­bene lässt sich fest­stel­len, dass keine ein­zige Con­trol (Maßnahme) un­verändert aus der bis­her gülti­gen Norm über­nom­men wurde. Statt­des­sen gibt es 11 kom­plett neue Con­trols, eine Con­trol wurde nicht über­nom­men, eine Con­trol wurde auf­ge­teilt, 56 Con­trols wur­den auf 24 Con­trols kom­pri­miert und die ver­blei­ben­den Con­trols wur­den neu for­mu­liert.
Die neuen Con­trols (Maßnah­men) stam­men über­wie­gend aus dem The­men­be­reich tech­no­lo­gi­cal con­trols. Bei der ent­fern­ten Con­trol (Maßnahme) han­delt es sich um die Con­trol 11.2.5 Re­mo­val of as­sets (Ent­fer­nen von Wer­ten), wel­che sich mit der Ent­fer­nung von Geräten, Be­triebs­mit­teln, In­for­ma­tio­nen und Soft­ware vom Be­triebs­gelände ohne vor­he­rige Ge­neh­mi­gung be­fasst. Diese Con­trol (Maßnahme) wurde als re­dun­dant an­ge­se­hen, da die­selbe The­ma­tik be­reits in der Con­trol (Maßnahme) zur Si­cher­heit von Geräten, Be­triebs­mit­teln und Wer­ten außer­halb der Räum­lich­kei­ten (11.2.6. ISO/IEC 27002-2017) be­han­delt wird. Durch die Zu­sam­men­fas­sung und In­te­gra­tion meh­re­rer Kon­trollmaßnah­men dürfte es in der Zu­kunft schwie­ri­ger wer­den, be­stimmte Maßnah­men nicht um­zu­set­zen, so­fern sie im ei­ge­nen Un­ter­neh­men nicht vor­han­den sind.

Guidance and other Information (Maßnahmen zur Umsetzung und andere Informationen)


Im Rah­men der Über­ar­bei­tung der Norm wurde zu je­der Con­trol (Maßnahme) ein Ab­schnitt zu Gui­dance and Other In­for­ma­tion (Maßnah­men zur Um­set­zung und an­dere In­for­ma­tio­nen) for­mu­liert. Bis­lang gab es auch ver­ein­zelt Maßnah­men, bei de­nen diese An­ga­ben nicht vor­han­den wa­ren. Zu­dem sind diese Be­rei­che nun deut­lich um­fas­sen­der ge­stal­tet und kon­kre­ti­sie­ren die je­wei­li­gen Um­set­zungsmöglich­kei­ten. Der höhere De­tail­lie­rungs­grad ist zwar mit­ver­ant­wort­lich für den größeren Um­fang der Norm, al­ler­dings bie­tet er durch­aus eine nütz­li­che Hil­fe­stel­lung, insb. auch bei der Er­stel­lung von un­ter­neh­mens­in­ter­nen Richt­li­nien.

Fazit

Mit der ISO/IEC DIS 27002:2021-01 ist eine um­fas­sende Über­ar­bei­tung der bis­he­ri­gen Vor­ga­ben vor­ge­se­hen. In der Pra­xis wird nur die Um­set­zung der 11 neu im­ple­men­tier­ten Maßnah­men nicht aus­rei­chend sein, denn auch die über­nom­me­nen Maßnah­men ha­ben weit­rei­chende Ände­run­gen er­fah­ren. Es han­delt sich bei der Norm um einen Code of Prac­tice, das be­deu­tet, eine Zer­ti­fi­zie­rung nach die­ser Norm ist nicht möglich. Dem­nach bleibt eine Ak­tua­li­sie­rung der ISO 27001 ab­zu­war­ten, um an­schließend zer­ti­fi­ziert wer­den zu können.

Hin­sicht­lich der in­halt­li­chen Ände­run­gen der Norm lässt sich al­ler­dings fest­hal­ten, dass sich keine tief­grei­fen­den neuen As­pekte in der Norm vor­fin­den. Bei den auf­geführ­ten Maßnah­men han­delt es sich um all­ge­mein ak­zep­tierte Maßnah­men, die teil­weise be­reits in der Pra­xis um­ge­setzt wer­den.

Auch wenn es sich bis­lang nur um einen Ent­wurf han­delt, ist da­mit zu rech­nen, dass des­sen In­halt größten­teils in die fi­nale Fas­sung über­nom­men wird. Or­ga­ni­sa­tio­nen, die ein In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem im­ple­men­tiert ha­ben, soll­ten sich da­her be­reits jetzt mit den Ände­run­gen aus­ein­an­der­set­zen.


Wir hal­ten Sie auf dem Lau­fen­den.

Ha­ben Sie bis Fra­gen, so kon­tak­tie­ren Sie uns gern.

Marc Alex­an­der Luge | Juli 2021