UPDATE: Veröffentlichung der neuen ISO/IEC 27001:2022 sowie Verabschiedung der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“

Im Rah­men der Veröff­ent­li­chung der letz­ten blog-Ar­ti­kel ha­ben wir Ih­nen die or­ga­ni­sa­to­ri­schen und tech­ni­schen Her­aus­for­de­run­gen der neuen ISO/IEC 27002:2022 so­wie die "Ori­en­tie­rungs­hilfe zum Ein­astz von Sys­te­men zur An­griffs­er­ken­nung" des BSI. So­wohl hin­sicht­lich der ISO/IEC 27001, also der Ori­en­tie­rungs­hilfe gibt es mitt­ler­weile Up­dates.

ISO/IEC 27001:2022

Nach Veröff­ent­li­chung der FDIS (Fi­nal Draft In­ter­na­tio­nal Stan­dard) im Juli 2022, er­folgte am 25.10.2022 die Veröff­ent­li­chung der fi­na­len Ver­sion der ISO/IEC 27001:2022. Die ISO/IEC 27001 stellt die Rah­men­be­din­gun­gen für ein im­ple­men­tier­tes ISMS dar und stellt gleich­zei­tig die Norm dar, ge­gen die geprüft und da­mit zer­ti­fi­ziert wer­den kann.

Die Liste mögli­cher In­for­ma­ti­ons­si­cher­heitsmaßnah­men im nor­ma­ti­ven An­hang A der neuen ISO/IEC 27001:2022 ist iden­ti­sch aus dem über­ar­bei­te­ten Leit­fa­den ISO/IEC 27002:2022 ab­ge­lei­tet. Es er­ge­ben sich ins­be­son­dere drei erwähnens­werte An­pas­sun­gen.

Eine Ände­rung be­trifft die sog. „Har­mo­ni­zed Struc­ture“. Die Har­mo­ni­zed Struc­ture (HS), ehe­mals High Le­vel Struc­ture (HLS), wurde 2012 von der In­ter­na­tio­nal Or­ga­niza­tion for Stan­dar­diza­tion (ISO) ent­wi­ckelt und ein­geführt. Hin­ter­grund war die Schaf­fung ei­ner ein­heit­li­chen Struk­tur, wo­nach Ma­nage­ment­sys­teme ge­plant und um­ge­setzt wer­den können. Durch die Um­stel­lung auf die HS er­folgt nun, wie be­reits bei an­de­ren Nor­men, die Um­stel­lung da­hin­ge­hend, dass die Pro­zesse in den Fo­kus ei­nes ISMS rücken. Neu ist Ka­pi­tel 6.3 und da­mit die An­for­de­rung, dass Ände­run­gen am ISMS ge­plant um­zu­set­zen sind. Es han­delt sich hier­bei um eine be­reits aus an­de­ren Ma­nage­ment­sys­te­men be­kannte An­for­de­rung. Eine sol­che Ände­rung ist bei­spiels­weise der Überg­ang von der ISO/IEC 27001:2013 auf die ISO/IEC 27001:2022. Die Überführung in die HS führt an wei­te­ren Stel­len in der Norm dazu, dass for­male An­pas­sun­gen vor­ge­nom­men wer­den muss­ten (bspw. zusätz­li­che Un­ter­punkte in Ka­pi­tel 9.2 (In­ter­nes Au­dit) mit 9.2.1 und 9.2.2 so­wie Ka­pi­tel 9.3 (Ma­nage­ment­be­wer­tung) mit 9.3.1, 9.3.2, 9.3.3).

Eine wei­tere Ände­rung be­trifft Ka­pi­tel 4.4 (In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem). Die bis­he­rige An­for­de­rung war: „Die Or­ga­ni­sa­tion muss ent­spre­chend den An­for­de­run­gen die­ser In­ter­na­tio­na­len Norm ein In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem auf­bauen, ver­wirk­li­chen, auf­recht­er­hal­ten und fort­lau­fend ver­bes­sern.“ Dies wird da­hin­ge­hend er­wei­tert, dass die für eine Auf­recht­er­hal­tung und Um­set­zung er­for­der­li­chen Pro­zesse und ihre Wech­sel­wir­kun­gen im Rah­men des ISMS zu de­fi­nie­ren sind.

Die letzte Ände­rung be­trifft Ka­pi­tel 8.1 (Be­trieb­li­che Pla­nung und Steue­rung). Ergänzend muss die Or­ga­ni­sa­tion nun auch Pro­zess­kri­te­rien fest­le­gen, um die Maßnah­men zur Bewälti­gung der In­for­ma­ti­ons­si­cher­heits­ri­si­ken um­zu­set­zen. Die Steue­rung der Pro­zesse muss ent­spre­chend in Übe­rein­stim­mung mit die­sen Kri­te­rien um­ge­setzt wer­den.

Die wei­te­ren zen­tra­len Ände­run­gen lie­gen in der ISO/IEC 27002:2022 und ha­ben da­mit auch Aus­wir­kun­gen auf die ISO/IEC 27001:2022 - bei­spiels­weise hin­sicht­lich der Maßnah­men zur In­for­ma­ti­ons­si­cher­heits­ri­si­ko­be­hand­lung aus Ka­pi­tel 6.1.3. Der An­hang A der ISO/IEC 27002:2022 ist zen­tra­ler Be­stand­teil der An­for­de­rung aus 6.1.3 c)

 

Sys­teme zur An­griffs­er­ken­nung:

Am 29.9.2022 er­folgte nach Veröff­ent­li­chung der Draft-Ver­sion im Juni 2022 die fi­nale Veröff­ent­li­chung der „Ori­en­tie­rungs­hilfe zum Ein­satz von Sys­te­men zur An­griffs­er­ken­nung“ (BSI-OH-SzA) vom BSI mit Stand 26.9.2022. Die Um­set­zung nach § 8a (1a) BSIG muss ab dem 1. Mai 2023 in § 8a-KRI­TIS-Prüfun­gen be­legt wer­den.

Eine grund­le­gende Ände­rung der Ori­en­tie­rungs­hilfe er­folgte nicht - viel­mehr er­folg­ten im Ver­gleich zur Ent­wurfs­ver­sion ver­ein­zelte Ände­run­gen der ent­spre­chen­den Muss-/Kann-/Sollte-An­for­de­run­gen al­ler drei Be­rei­che - also Pro­to­kol­lie­rung, De­tek­tion und Re­ak­tion. Die BSI-OH-SzA um­fasst nun ins­ge­samt 93 um­zu­set­zende Vor­ga­ben, die sich in 67 Muss-, 19 Soll- und 7 Kann-An­for­de­run­gen glie­dern (ex­klu­sive der ver­link­ten Vor­ga­ben aus dem IT-Grund­schutz). Die 93 Vor­ga­ben sind so­wohl or­ga­ni­sa­to­ri­sche und pro­zes­suale An­for­de­run­gen wie auch tech­ni­sche Kri­te­rien, wel­che die ein­ge­setz­ten Hard- und Soft­wares erfüllen müssen.

Down­load: Check­liste Ori­en­tie­rungs­hilfe SzA

Ha­ben Sie Fra­gen, so kon­tak­tie­ren Sie uns gern.

Marc Alex­an­der Luge | No­vem­ber 2022