UPDATE: Veröffentlichung der neuen ISO/IEC 27001:2022 sowie Verabschiedung der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“
Im Rahmen der Veröffentlichung der letzten blog-Artikel haben wir Ihnen die organisatorischen und technischen Herausforderungen der neuen ISO/IEC 27002:2022 sowie die "Orientierungshilfe zum Einastz von Systemen zur Angriffserkennung" des BSI. Sowohl hinsichtlich der ISO/IEC 27001, also der Orientierungshilfe gibt es mittlerweile Updates.
ISO/IEC 27001:2022
Nach Veröffentlichung der FDIS (Final Draft International Standard) im Juli 2022, erfolgte am 25.10.2022 die Veröffentlichung der finalen Version der ISO/IEC 27001:2022. Die ISO/IEC 27001 stellt die Rahmenbedingungen für ein implementiertes ISMS dar und stellt gleichzeitig die Norm dar, gegen die geprüft und damit zertifiziert werden kann.
Die Liste möglicher Informationssicherheitsmaßnahmen im normativen Anhang A der neuen ISO/IEC 27001:2022 ist identisch aus dem überarbeiteten Leitfaden ISO/IEC 27002:2022 abgeleitet. Es ergeben sich insbesondere drei erwähnenswerte Anpassungen.
Eine Änderung betrifft die sog. „Harmonized Structure“. Die Harmonized Structure (HS), ehemals High Level Structure (HLS), wurde 2012 von der International Organization for Standardization (ISO) entwickelt und eingeführt. Hintergrund war die Schaffung einer einheitlichen Struktur, wonach Managementsysteme geplant und umgesetzt werden können. Durch die Umstellung auf die HS erfolgt nun, wie bereits bei anderen Normen, die Umstellung dahingehend, dass die Prozesse in den Fokus eines ISMS rücken. Neu ist Kapitel 6.3 und damit die Anforderung, dass Änderungen am ISMS geplant umzusetzen sind. Es handelt sich hierbei um eine bereits aus anderen Managementsystemen bekannte Anforderung. Eine solche Änderung ist beispielsweise der Übergang von der ISO/IEC 27001:2013 auf die ISO/IEC 27001:2022. Die Überführung in die HS führt an weiteren Stellen in der Norm dazu, dass formale Anpassungen vorgenommen werden mussten (bspw. zusätzliche Unterpunkte in Kapitel 9.2 (Internes Audit) mit 9.2.1 und 9.2.2 sowie Kapitel 9.3 (Managementbewertung) mit 9.3.1, 9.3.2, 9.3.3).
Eine weitere Änderung betrifft Kapitel 4.4 (Informationssicherheitsmanagementsystem). Die bisherige Anforderung war: „Die Organisation muss entsprechend den Anforderungen dieser Internationalen Norm ein Informationssicherheitsmanagementsystem aufbauen, verwirklichen, aufrechterhalten und fortlaufend verbessern.“ Dies wird dahingehend erweitert, dass die für eine Aufrechterhaltung und Umsetzung erforderlichen Prozesse und ihre Wechselwirkungen im Rahmen des ISMS zu definieren sind.
Die letzte Änderung betrifft Kapitel 8.1 (Betriebliche Planung und Steuerung). Ergänzend muss die Organisation nun auch Prozesskriterien festlegen, um die Maßnahmen zur Bewältigung der Informationssicherheitsrisiken umzusetzen. Die Steuerung der Prozesse muss entsprechend in Übereinstimmung mit diesen Kriterien umgesetzt werden.
Die weiteren zentralen Änderungen liegen in der ISO/IEC 27002:2022 und haben damit auch Auswirkungen auf die ISO/IEC 27001:2022 - beispielsweise hinsichtlich der Maßnahmen zur Informationssicherheitsrisikobehandlung aus Kapitel 6.1.3. Der Anhang A der ISO/IEC 27002:2022 ist zentraler Bestandteil der Anforderung aus 6.1.3 c)
Systeme zur Angriffserkennung:
Am 29.9.2022 erfolgte nach Veröffentlichung der Draft-Version im Juni 2022 die finale Veröffentlichung der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ (BSI-OH-SzA) vom BSI mit Stand 26.9.2022. Die Umsetzung nach § 8a (1a) BSIG muss ab dem 1. Mai 2023 in § 8a-KRITIS-Prüfungen belegt werden.
Eine grundlegende Änderung der Orientierungshilfe erfolgte nicht - vielmehr erfolgten im Vergleich zur Entwurfsversion vereinzelte Änderungen der entsprechenden Muss-/Kann-/Sollte-Anforderungen aller drei Bereiche - also Protokollierung, Detektion und Reaktion. Die BSI-OH-SzA umfasst nun insgesamt 93 umzusetzende Vorgaben, die sich in 67 Muss-, 19 Soll- und 7 Kann-Anforderungen gliedern (exklusive der verlinkten Vorgaben aus dem IT-Grundschutz). Die 93 Vorgaben sind sowohl organisatorische und prozessuale Anforderungen wie auch technische Kriterien, welche die eingesetzten Hard- und Softwares erfüllen müssen.
Download: Checkliste Orientierungshilfe SzA
Haben Sie Fragen, so kontaktieren Sie uns gern.
Marc Alexander Luge | November 2022