83© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2013#6

Die wohl auffälligste Än-derung durch die aktuelle Revision zur ISO/IEC 27001:2013 ist eine abweichende Kapitelstruktur. Die-se entspringt der Anwendung der neuen Regelungen des „Annex SL“ aus den überarbeiteten ISO/IEC-Directives, Part 1. Die hierdurch vor-gegebene Struktur ist verpflichtend für alle neuen und überarbeiteten Managementsystemstandards – und somit beispielsweise auch für die revidierten Fassungen der ISO 9001, ISO 14001 und ISO 22301 anzuwen-den, um einige bekannte Manage-mentsysteme zu nennen. Das Ziel ist, eine bessere Integration mit anderen Managementsystem-Standards zu ermöglichen.

ISO/IEC 27001:2013

Abbildung 1 auf Seite 84 zeigt grafisch, wie sich die Inhalte der ISO/IEC 27001 in der bekannten Fas-sung von 2005 auf die neue Struktur der Revision von 2013 verteilen – be-sonders im Bereich der ehemaligen Sektion 4 hat sich viel getan.

Vorgeplänkel

Vergleichsweise wenig än-dert sich in den ersten Abschnitten: Die Einleitung (Introduction) zur neuen Version des Standards ist vergleichbar mit der 2005er-Version

Von Andreas Rauer und Oliver Weissmann, Königswinter

Management und Wissen Sicherheitsmanagement

Neues von der ISO 2700xÄnderungen in ISO 27001 und ISO 27002 durch die Revision von 2013

Nach sechsjähriger Gremienarbeit wurden zum 1. Oktober 2013 die neuen Fassungen der

ISO/IEC 27001 und ISO/IEC 27002 veröffentlicht. ISO/IEC 27001:2005 wurde umfassend

überarbeitet und an die einheitliche Struktur für Managementsystemstandards angepasst,

ISO/IEC 27002:2005 um Redundanzen und unklare Themenzuordnungen bereinigt sowie

in den technischen Bereichen aktualisiert.

und wurde lediglich aktualisiert (Markierung 1 in Abb. 1 auf S. 84). Insbesondere wird die neue Struktur des Standards in Übereinstimmung mit Annex SL hervorgehoben.

Auch der Anwendungsrah-men (Scope) der neuen Fassung (Markierung 2) ist vergleichbar zur bisherigen Version, jedoch knapper gefasst. Die zentrale Aussage lautet, dass eine Konformität mit dem Stan-dard erfordert, alle Anforderungen der Sektionen 4 bis 10 vollumfäng-lich zu erfüllen – es dürfen, wie bis-her, keine Sektionen der ISO 27001 ausgeschlossen werden.

In den normativen Refe-renzen (Markierung 3) entfällt der Verweis auf ISO/IEC 27002:2013 – da weiterhin unter Berücksichtigung des Annex A ein „Statement of Appli-cability“ erstellt werden muss, wäre dies auch redundant (Annex A re-flektiert, wie in der vorhergehenden Fassung auch, die Schutzmaßnah-men aus der ISO/IEC 27002:2013). Es verbleibt der Verweis auf die ISO/IEC 27000, in der alle spezifischen Definitionen aufgeführt sind und die einen Überblick über die gesamte ISO-2700x-Familie enthält.

Nicht viel bleibt indessen von den „Terms and definitions“ (Markierung 4): Alle Definitionen,

die noch in der 2005er-Fassung aufgeführt waren, wurden entfernt – stattdessen wird nun auf die zentra-len Definitionen in ISO/IEC 27000 verwiesen. Wichtiger Hinweis an die-ser Stelle: Ist ein Begriff nicht in der ISO/IEC 27000 enthalten, so gelten der allgemeine Sprachgebrauch und die Definition des Oxford English Dictionary. Dies gilt für die gesamte ISO 2700x-Familie und soll verhin-dern, dass an der gebräuchlichen Sprache vorbei Begriffe definiert werden, die man dann womöglich nicht mehr in die verschiedenen Landessprachen übersetzen kann.

Überführung in die neue,formale Kapitelstruktur

Gemäß der Annex-SL-Struk-tur beginnen die Normforderungen mit der neu gestalteten Sektion 4 „Context of the organisation“: In diesem Abschnitt sind das alte Kapi-tel 4.1 „General“ sowie die Definition des ISMS-Scope aus 4.2.1a aufgegan-gen (Markierung 5 in Abb. 1). Die Definition des Scopes wird deutlich erweitert um die Anforderung zur Darlegung des Verständnisses der Or-ganisation und ihrer Rahmenbedin-gungen sowie des Verständnisses von Bedürfnissen und Erwartungen von interessierten Dritten wie beispiels-weise Stakeholdern. Die Darlegung des ausführlichen Kontexts für das

84 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2013#6

Abbildung 1:Veränderungen

in der ISO/IEC 27001:2013

14

13

12

11

10

9

8

7

6

5

4

3

2

1

Management und Wissen Sicherheitsmanagement

Informationssicherheits-Manage-mentsystem (ISMS) ist insbesondere deshalb notwendig, damit sich die ISO 31000:2009 „Risk management – Principles and guidelines“ besser anwenden lässt.

Die ehemaligen Sektionen 4.2.1 bis 4.2.4 der 2005er-Fassung werden am umfassendsten umge-staltet: Die von der neuen Struktur vorgegebene Sektion 5 „Leadership“ in der 2013er-Fassung besteht zum einen aus der ehemaligen Sektion 5.1 „Management committment“ (nun: „Leadership and commitment“), zum anderen aus der überarbeiteten Sektion 4.2.1.b (neu: 5.2 „Policy“) bezüglich einer Information-Securi-ty-Policy (Markierung 6). Ergänzt wird dies durch die explizite Ver-pflichtung des Managements, für den Betrieb des ISMS angemessene

organisatorische Rollen, Rechte und Kompetenzen zu definieren und ein-zuführen (5.3 „Organisational roles, responsibilities and authorities“) .

Die ISO/IEC 27001:2013 spricht dabei nicht mehr von ei-ner ISMS-Policy, sondern verweist namentlich auf eine „Information Security Policy“ – der Schwerpunkt der Richtlinie liegt jetzt, anders als es der Name vermuten lässt, stärker auf dem Managementsystem selbst. Da die neue Fassung des Standards aber Dokumentnamen nicht mehr expli-zit vorschreibt, ist es kein Problem, eine bestehende ISMS-Policy mit bestehendem Namen unter Berück-sichtigung der erweiterten Anforde-rungen fortzuführen. Diese liegen in der Formulierung eines stärkeren Commitment des Managements bei der Definition von Sicherheitszielen,

der Befriedigung von Sicherheitsan-forderungen, Bereitstellung organi-satorischer Mittel sowie der fortlau-fenden Verbesserung des ISMS.

Die Sektion 6 „Planning“ in der Revision übernimmt die Inhalte der ehemaligen Sektionen 4.2.1.c–j (Markierung 7) und fordert in zwei Untersektionen das IS-Risikomana-gement ein (6.1.2 „Information se-curity risk assessment“ und 6.1.3 „In-formation security risk treatment“).

Die starke Annäherung an ISO 31000:2009 bewirkt mehrere Veränderungen:

Die Anforderungen an die Risikomanagementmethodik sind deutlich allgemeiner gefasst.

Daraus resultiert, dass es nicht mehr erforderlich ist, Assets, Bedrohungen und Schwachstellen zu erfassen, um Risiken zu identi-fizieren. Daher können jetzt auch eher allgemein gefasste Methoden und Tools aus beispielsweise dem Enterprise-Risk-Management (ERM) zum Einsatz kommen. Dies stellt eine nicht unerhebliche Erleichterung dar, wenn es darum geht, sich in ein bestehendes Risikomanagement zu integrieren. Außerdem können bereits vorhandene ERM-Lösungen und/oder eine harmonisierte Risi-koinventarisierung dabei helfen, Kosten zu sparen.

Bei der Erstellung des wei-terhin benötigten „Statement of Applicability“ (SoA) werden die Con-trols zur Risikobehandlung nicht mehr aus dem Annex A ausgewählt, sondern die zur Risikobehandlung benötigten Maßnahmen innerhalb des Prozesses frei bestimmt und da-nach mit den im Annex A gelisteten Controls verglichen – erst durch diesen Vergleich kommt die jeweilige Maßnahme (Control) zur Anwen-dung. Wie bereits zuvor, dürfen die gewählten Maßnahmen auch über die im Annex A aufgeführten Schutz-maßnahmen hinausgehen. Dies ist

85© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2013#6

besonders dann wichtig, wenn man beispielsweise ein übergreifendes ISMS von der Bürowelt bis in die Welt der Automation betreiben möchte. Gleiches gilt für die Anwendung von sektorspezifischen Standards aus der Reihe 2701x, welche Ergän-zungen zu den Maßnahmen der ISO/IEC 27002:2013 darstellen.

Durch die Anlehnung an ISO 31000:2009 ergeben sich in Sektion 6.1.1 auch neue Anforderun-gen an die Betrachtung allgemeiner Risiken (also nicht nur IS-spezifischer Risiken). Über diesen Weg werden zukünftig auch potenzielle Probleme im Managementsystem adressiert, die bisher gemäß der Sektion 8.3

„Preventive actions“ behandelt wurden.

Sektion 6.2 der revidierten Fassung erweitert die ehemalige Sektion 4.2.1.b.1 umfassend und fordert die Aufstellung expliziter Sicherheitsziele für relevante Funk-tionen und Ebenen. Hierbei betont

Abbildung 2:Überblick zur ISO 2700x-Standards-Familie

Seit der Veröffentlichung der ersten Ausgaben von ISO/IEC 27001 und ISO/IEC 27002 im Jahr 2005 ist die Anzahl der Standards innerhalb der Standards-Familie zu Informa-tionssicherheits-Managementsyste-men (ISMS) stark gestiegen: Sie um-fasst derzeit 15 publizierte Standards im Zahlenraum von 27000–27019, die durch maßnahmenspezifische Leitfäden im Nummernbereich 27030–27049 ergänzt werden. En detail gliedert sich die Familie (vgl. Abb. 2) in :

den Vokabular-Standard ISO/IEC 27000 mit allen Begriffsde-finitionen,

die beiden Vorgaben-Stan-dards mit Anforderungen an Ma-nagementsysteme (ISO/IEC 27001) beziehungsweise Zertifizierungsstel-len (ISO/IEC 27006),

derzeit neun Leitfäden zu spezifischen Themen des Aufbaus und Betriebs eines ISMS sowie

momentan drei sektor-spezifischen Ausprägungen der ISO/IEC 27002:2005.

Übersicht über die ISO-2700x-Familie

Die weiter gehenden Stan-dards mit maßnahmenspezifischen Leitfäden umfassen beispielweise die ISO/IEC 27035:2011 „Informati-on security incident management“ sowie die in Entwicklung befind-lichen ISO/IEC 27036 „Information security for supplier relationships“ und ISO/IEC 27044 „Guidelines for Security Information and Event Ma-nagement (SIEM)“.

86 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2013#6

Management und Wissen Sicherheitsmanagement

die Norm, dass es sich nicht um strategische Ziele handeln darf, die einmal aufgestellt und danach „vergessen“ wer-den können – vielmehr bedarf es regelmäßig aktualisierter Ziele auf strategischer, taktischer und operativer Ebene. Eine Möglichkeit zur Adressierung dieser Forderungen ist das kürzlich in der <kes> beschriebene C4P-Modell (<kes> 2013#4, S. 33). Zudem fordert der Standard, dass die Organisation eine Planung betreibt, um die Wirksamkeit aller getroffenen Maßnahmen zu überprüfen und auf die Resultate angemessen zu reagieren.

Die ehemalige Sektion 4.3 „Documentation requirements“ mit den Anforderungen an die Verwal-tung von (Vorgabe-)Dokumenten und Aufzeichnungen („documents“ und „records“) wurde zum einen in die neue Sektion 7 „Support“ verschoben, zum anderen die Trennung zwischen Dokumenten und Aufzeichnungen aufgehoben – die Norm spricht in der 2013er-Fassung nur noch von „dokumentierten Informationen“ (Mar-kierung 8 in Abb. 1).

An der Beschreibung des bekannten Doku-mentenlebenszyklusmodells ändert sich inhaltlich kaum etwas. Die bemerkenswertesten Änderungen für den Bereich des Dokumentationsmanagements sind indessen,

dass es keine Liste explizit geforderter Dokumente mehr gibt (vgl. die ehemalige Sektion 4.3.3),

das keine bestimmten Namen mehr für Doku-mente vorgeschrieben werden – es zählt der Inhalt, nicht der Dokumententitel (die Ausnahme bildet hier das „State-ment of Applicability“) und

die Anforderungen nach (expliziter) Dokumen-tation in den jeweiligen anderen Sektionen der ISO/IEC 27001:2013 stehen.

Die Forderungen aus der bisherigen Sektion 5.2 „Resource management“ wurden übernommen und the-matisch aufgesplittet: Aus der vormaligen Sektion 5.2.1 „Provision of resources“ wurde 7.1 „Resources“, aus 5.2.2 „Training, awareness and competence“ wurden die separaten Untersektionen 7.2 „Competence“ und 7.3 „Awareness“. Mit der Revision wurden diese Forderungen auch entscheidend überarbeitet: Es müssen nun nicht mehr nur die Personen, die an Aufbau und Betrieb des ISMS beteiligt sind, angemessen qualifiziert und über Informationssicherheit aufgeklärt sein, sondern zukünftig alle Personen im Anwendungsbereich des ISMS.

Zusätzlich wurden in der neuen Sektion 7.4 „Com-munication“ die bisher verteilten Informationspflichten zusammengefasst aufgestellt: Die Organisation ist nun explizit dazu verpflichtet, im Kontext des ISMS zu prüfen und zu definieren, ob, wann, was, durch wen, an wen, auf welchem Wege, nach intern/extern kommuniziert wird. Dies wird in Standards wie der ISO/IEC 9001 ebenfalls gefordert und im Allgemeinen durch Kommunikations-

matrizen umgesetzt. So lässt sich sicherstellen, dass auch wirklich alle notwendigen Meldewege nachvollziehbar und dokumentiert sind.

Verstärkte Forderungen der Norm nachZielsetzung und Selbstevaluation

Die Sektion 8 „Operation“ der ISO/IEC 27001:2013 umfasst die ehemalige Sektion 4.2.2 (Markierung 9) sowie die Forderungen zur Planung und Umsetzung aller benö-tigten Prozesse zur Erreichung der gesetzten Sicherheits-ziele sowie der durch die Norm gestellten Anforderungen. Explizit werden die geplante sowie die situationsbedingte Ausführung des Risikoassessments sowie die sukzessive Umsetzung des aktualisierten Risikobehandlungsplanes gefordert.

Die in der 2005er Fassung befindlichen Sekti-onen 6 zu internen ISMS-Audits und 7 zum Management-Review des ISMS befinden sich in der neuen Fassung zusammengefasst in Sektion 9 „Performance evaluation“ (Markierung 10 in Abb. 1). Die Anforderungen an das Management-Review ermöglichen nun eine flexiblere Gestaltung in Hinsicht auf Eingaben und Output, im Gegenzug wurden die Anforderungen an die Planung und Umsetzung eines Auditprogrammes konkreter gefasst.

Ergänzt werden diese beiden Untersektionen durch eine weitreichende Neuformulierung der bisherigen Abschnitte zu Monitoring und Measurement: Die neue Untersektion 9.1 „Monitoring, measurement, analysis and evaluation“ fasst vor allem die bisherigen Forde-rungen aus 4.2.2.d, 4.2.2.h und 4.2.3.a–c zusammen.

Die bisher implizit aufgestellten Forderungen nach IS-Incident-Management und ISMS-Measurement werden als Forderung nach einer dokumentierten Metho-de zusammengeführt, die ein Monitoring aller relevanten Prozesse, Schutzmaßnahmen und Assets wahrnimmt so-wie die Effektivität und Effizienz wie jeweilige Erreichung gesetzter Sicherheitsziele misst. Hier wird insbesondere gefordert, dass die eingesetzte Methode reproduzierbare und nachvollziehbare Ergebnisse liefert. Auch hier kann das unlängst in der <kes> vorgestellte C4P-Modell eine Möglichkeit bieten, dieser Verpflichtung angemessen nachzukommen. Die ISO/IEC 27004:2009 zum ISMS-Measurement wird derzeit überarbeitet und an die neuen Bedürfnisse angepasst.

Die abschließende Sektion 10 „Improvement“ hat die bisherigen Sektionen 8.1 „Continual Improve-ment“ und 8.2 „Corrective action“ mit geringfügigen Änderungen übernommen (Markierung 11); die Revision betont jedoch die Notwendigkeit kontinuierlicher Verbes-serung noch stärker. Die Anforderungen der ehemaligen Sektion 8.3 „Preventive action“ wurden – wie bereits

© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2013#6

angemerkt (Markierung 7) – als Bestandteil des Risiko-managementprozesses in Sektion 6.1.1 übernommen. Der Schwerpunkt wird jedoch klar auf die kontinuier-liche Verbesserung gelegt, besonders im Hinblick auf die Effektivität und die Angemessenheit von Prozessen und Maßnahmen.

Überschaubare Änderungen in den Anhängen

Annex A ist abgesehen vom geänderten Namen gleich geblieben (Markierung 12 in Abb. 1) – er enthält weiterhin eine Übersicht aller in der ISO/IEC 27002 er-fassten Control-Objectives und Controls, mitsamt der Control-Statements. Die weitergehenden Implementa-tionshinweise und „sonstigen Informationen“ zu den einzelnen Controls sind, wie gehabt, in der ISO/IEC 27002 selbst aufgeführt.

Ersatzlos entfallen sind der ehemalige Annex B „OECD principles and this International Standard“ und Annex C „Correspondence between ISO 9001:2000, ISO 14001:2004 and this International Standard“ (Markie-rung 13). Annex B mit dem Mapping der OECD-Prinzipien auf die PDCA-Phasen des ISMS entfällt, da sich die ISO mit der Umstrukturierung aller Managementsystemstandards ein Stück weit vom PDCA-Modell entfernt – Annex C wur-de obsolet, da alle Managementsystemstandards der ISO auf das harmonisierte Strukturmodell aus Annex SL der ISO-Direktiven umgestellt werden und somit kein Map-ping der einzelnen Sektionen auf einander vergleichbare Forderungen mehr notwendig ist.

Die „Bibliography“ mit den Verweisen auf weiter-gehende Literatur beziehungsweise ISO-Standards wurde im Rahmen der ISO/IEC 27001:2013 auf eine übersicht-liche und kurze Liste reduziert (Markierung 14): Darin befinden sich Verweise auf die aktuellen Fassungen von ISO/IEC 27002, 27003, 27004 und 27005, sowie ISO 31000 und die „ISO Directives Part 1“, welche bestimmend für die Gestaltung der Revisionsfassung waren.

ISO/IEC 27002:2013

Die ISO/IEC 27002 ist von ehemals 11 Domänen mit 133 Controls in der neuen Fassung auf 14 Domänen gewachsen (vgl. Abb. 3) – allerdings bei gleichzeitiger Re-duktion der Controls auf nur noch 114 Stück. Mit der Neu-strukturierung wurden verschiedene Controls, die zuvor „künstlich“ in bestimmte Domänen eingefügt wurden, nunmehr ausgegliedert und stehen thematisch für sich. Ebenfalls wurden Controls entfernt, die als zu spezifisch, veraltet oder redundant angesehen wurden.

Beispielsweise wurde aus der ehemaligen Subdo-mäne 12.3 „Cryptographic controls“ die nun eigenstän-dige Domäne 10 „Cryptography“ – diese Basistechnologie

Das Passwortist der Schlüssel

www.eset.de

ESET Secure Authentication bietet eine starke Authentifizierung für Remotezugriffe auf Ihr Unterneh-mensnetzwerk und Ihre sensiblen Daten - sicher und reibungslos.

• Einmal-Passwörter für jeden Zugriff

zum Schutz Ihres Netzwerks

• 2-Faktor-, Einmal-Passwort-Authentifizierung

Mobilfunk basiert

• Reine Software-Lösung

keine zusätzlichen Geräte oder Tokens nötig

• Keine zusätzlichen Hardware-Kosten

passt zur bestehenden Infrastruktur

88 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2013#6

Management und Wissen Sicherheitsmanagement

findet letztlich in nahezu allen anderen technischen Bereichen Anwendung. Ebenfalls aufgeteilt wurde die ehemalige Domäne 10 „Communications and Operations management“: Ihre Inhalte findet man in neuen Domä-nen 12 „Operations security“ und 13 „Communications security“, wobei nun deutlich zwischen den Anforderun-gen für einen sicheren Betrieb und den Zielsetzungen für eine sichere Kommunikation unterschieden wird.

Eine der auffälligsten Neuerungen ist wohl die neugestaltete Domäne 15 „Supplier relationships“: In dieser wurden diejenigen Controls zusammengefasst und überarbeitet, die sich mit Sicherheitsanforderungen an Dienstleistern und Vertragsbeziehungen mit Dritten be-schäftigen. Hierdurch wurden die bereits vorhandenen, jedoch verteilten Controls thematisch zusammengeführt und überarbeitet. Ergänzt wird dieser neue Themenblock durch Maßnahmenempfehlungen zur Erfassung, Gestal-tung und Absicherung einer ICT-Supply-Chain (15.1.3), ein Bereich, der gerade für die Kontrolle von Dienstleistern (z. B. im Finanzsektor) eine erhebliche Rolle spielt – streng genommen fallen aber alle Arten des Outsourcing, sowie die Nutzung von Cloud-Services hierunter. Zu diesen For-derungen befinden sich derzeit weiterführende und maß-nahmenunterstützende Standards in der Entwicklung.

Eine andere weitreichende Änderung erfolgte im Bereich der Entwicklung neuer Informationssysteme: Der ehemalige Bereich „Correct processing in applications“ wurde vollständig entfernt. Für die dafür neu gestaltete „Security in development and support processes“ wurden nicht nur sämtliche Controls mit Themenbezug zusam-mengezogen (u. a. „Outsourced development“, „Systems acceptance testing“ oder „Restrictions on changes to software packages“). Dieser Abschnitt wurde zudem um relevante Maßnahmenempfehlungen zur Gestaltung ei-ner „Secure Development Policy“, also dem Aufbau einer gesicherten Entwicklungsumgebung, dem Aufstellen von Prinzipien für Systementwicklung und das Testen von Sicherheitsfunktionen, ergänzt.

An dieser Stelle sei auch auf das neue Control 6.1.4 „Information security in project management“ hingewiesen: Es bringt die Forderung ein, das Informa-tionssicherheit als Bestandteil des Projektmanagements zu sehen sowie sicherzustellen, dass identifizierte Risiken berücksichtigt und behandelt werden können.

Bei der Domäne für „Information security inci-dent management“ wurde die Aufteilung in zwei Bereiche aufgehoben: Der Prozess in Gänze wird nun mithilfe ein-zelner Controls stringenter dargestellt – dies bildet auch die angemessene Behandlung und Nachbereitung von Sicherheitsvorfällen präziser ab. Dieses Control wird da-rüber hinaus durch die ISO/IEC 27035:2011 „Information security incident management“ unterstützt.

Abbildung 3:Die neue Struktur im

Hauptteil der ISO/IEC 27002:2013

5. Information security policies 5.1 Management direction for information security

6. Organization of information security 6.1 Internal organization 6.2 Mobile devices and teleworking

7. Human resource security 7.1 Prior to employment 7.2 During employment 7.3 Termination and change of employment

8. Asset management 8.1 Responsibility for assets 8.2 Information classification 8.3 Media handling

9. Access control 9.1 Business requirements of access control 9.2 User access management 9.3 User responsibilities 9.4 System and application access control

10. Cryptography 10.1 Cryptographic controls

11. Physical and environmental security 11.1 Secure areas 11.2 Equipment

12. Operations security 12.1 Operational procedures and responsibilities 12.2 Protection from malware 12.3 Backup 12.4 Logging and monitoring 12.5 Control of operational software 12.6 Technical vulnerability management 12.7 Information systems audit considerations

13. Communications security 13.1 Network security management 13.2 Information transfer

14. System acquisition, development and maintenance 14.1 Security requirements of information systems 14.2 Security in development and support processes 14.3 Test data

15. Supplier relationships 15.1 Information security in supplier relationships 15.2 Supplier service delivery management

16. Information security incident management 16.1 Management of information security incidents and improvements

17. Information security aspects of business continuity management 17.1 Information security continuity 17.2 Redundancies

18. Compliance 18.1 Compliance with legal and contractual requirements 18.2 Information security reviews

89© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2013#6

Ebenfalls deutlich klarer zeigt sich die neue Domä-ne 17 „Information security aspects of business continuity management“ (vormals Domäne 14): Sie trägt nun schon im Namen dem zugrunde liegenden Gedanken Rechnung – und die Überarbeitung der Controls stellt klar, dass es um die Gewährleistung des Sicherheitsbedarfs während der Recoveryphase eines Business-Continuity-Vorfalls geht. Die frühere Version war hier unpräzise und oft wurde hierdurch die Erstellung eines vollumfassenden Business-Continuity-Management-Systems (BCMS) an-gestoßen. Neu ist an dieser Stelle auch der Unterbereich 17.2 „Redundancies“, der sich mit der Gestaltung redun-danter Strukturen beschäftigt: einem Thema, das bisher nur indirekt über das Control „Capacity management“ adressiert werden konnte und jetzt thematisch korrekter zugeordnet ist.

Weggefallen ist der ehemalige Unterabschnitt „Electronic commerce services“; seine Controls sind in den neuen Bereich 14.1 „Security requirements of in-formation systems“ eingearbeitet worden. Dem elektro-nischen Handel einen Sonderstatus einzuräumen, wurde als falsch und fehlleitend angesehen – vor allem, weil dies teils dazu geführt hat, dass nachgelagerte und unterstüt-zende Systeme nicht ausreichend sicher betrieben wurden.

Weitere Verschiebungen von Controls ergaben sich in der Domäne „Compliance“, die nun auch alle Security- und Compliance-Review-bezogenen Controls zusammenfasst. Ebenfalls wurde „Control of operational software“ aus der ehemaligen Domäne 12 in die neue Do-mäne „Operations security“ verlagert und dort zu einem eigenständigen Unterabschnitt.

Fazit

Die Revision der ISO/IEC 27001 bedeutet sowohl für bestehende als auch in der Einführung befindliche ISMS durchaus entscheidenden Mehraufwand:

ISMS-Measurement und -Improvement werden intensiv formuliert und gefordert und sind für eine Zerti-fizierung definitiv nachzuweisen.

Die Beteiligung des Managements wird stärker eingefordert und geht über einen „Letter of Intent“ weit hinaus.

Neben negativen Risiken sind nun auch positive Risiken (bzw. Chancen) zu betrachten.

Nunmehr müssen alle Personen im Anwendungs-bereich Gegenstand von klaren Rollenbeschreibungen und Awareness-Maßnahmen sein (zuvor genügte es, nur die Rolleninhaber der ISMS-Organisation zu betrachten).

Es gibt jedoch auch eine zentrale Änderung, die den Aufwand im Bereich des IS-Risikomanagements ver-ringern kann: Denn die Risikomanagementmethodik wird

flexibler – Anlehnung und Verweise auf ISO 31000:2009 erleichtern die Nutzung bestehender ERM-Tools und -Me-thoden. Wie sich diesbezüglich die derzeit zur Revision vorgesehene ISO/IEC 27005:2011 „Information security risk management“ entwickeln wird, ist heute jedoch noch nicht abzusehen.

Darüber hinaus gibt es etliche „aufwandsneutrale“ Änderungen – vor allem hier „bleibt alles anders“:

Es gibt keine festen Namen mehr für explizit geforderte Dokumente (abgesehen von IS Policy und „Statement of Applicability“).

Das IS-Incident-Management „verschwindet“ als Forderung aus dem eigentlichen Managementsystem und wird nunmehr nur noch als Control geführt, das den per-manenten Verbesserungsprozess unterstützen soll.

„Preventive Action“ wird Bestandteil des Risiko-managements.

Die neue High-Level-Struktur ermöglicht eine bessere Integration mit anderen Managementsystem-Standards wie ISO 9001, ISO 14001 oder ISO 22301.

Bei der Revision der ISO/IEC 27002 ergeben sich durch die größeren Änderungen vor allem Vorteile bezüglich der Ausrichtung auf die Organisationstrategie und die Einbeziehung des Supply-Chain-Managements. Die Gestaltung eines klaren Lebenszyklus im Bereich Systementwicklung sowie die Präzisierung des Incident-Managements als Schutzmaßnahme tragen erheblich zur besseren Anwendbarkeit des Standards bei.

Zudem haben die vielfachen Neuzuordnungen der Controls die häufig hakelige und redundante Struk-tur der ISO/IEC 27002:2005 deutlich verbessert. Durch die ergänzten Controls für einige Bereiche wurden diese deutlich präzisiert (z. B. beim Incident-Management) oder um fehlende Bestandteile erweitert. Manche Bereiche und Controls wurden im Rahmen der Überarbeitung sprachlich weniger strikt formuliert und bieten nun in der Anwendung durch die implementierende Organisation mehr Möglichkeiten.

In Summe ergeben sich durch die klareren For-mulierungen der ISO/IEC 27002:2013 weniger Redun-danzen und die Aktualisierung sowie Verschlankung in den technischen Bereichen ermöglicht eine einfachere Implementation. ■

Dr.–Ing. Oliver Weissmann ist Co-Editor der ISO/IEC 27002 (seit 1999) und ISO/IEC 27003:2010 sowie Geschäftsführer der xiv-consult GmbH. Dipl.-Inf. (FH), MBA Andreas Rauer ist bei der xiv-consult GmbH als Berater für strategische In-formationssicherheit tätig.

Sind Sie verantwortlich für die IT-Sicherheit?

Unterschrift

Lieferung bitte an

Telefon Durchwahl

Datum Zeichen

FAX an +49 6725 5994SecuMedia Verlags-GmbH

Leser-Service

Postfach 12 34

55205 Ingelheim

<kes> liefert alle relevanten Informationen zumThema IT-Sicherheit – sorgfältig recherchiert vonFachredakteuren und Autoren aus der Praxis.

In jeder Ausgabe finden Sie wichtiges Know-how, Hinweise zu

Risiken und Strategien, Lösungsvorschläge und Anwenderberichte

zu den Themen:

Internet/Intranet-Sicherheit

Zutrittskontrolle

Virenabwehr

Verschlüsselung

Risikomanagement

Abhör- und Manipulationsschutz

Sicherheitsplanung

Elektronische Signatur und PKI

<kes> ist seit 20 Jahren die Fachzeitschrift zum Thema

Informations-Sicherheit - eine Garantie für Zuverlässigkeit.

PROBEHEFT-ANFORDERUNG ja, bitte schicken Sie mir gratis und unverbindlich ein

Exemplar der <kes> - Die Zeitschrift für Informations-Sicherheit

zum Probelesen zu.

Es kommt nur dann ein Abonnement zustande, wenn ich es ausdrücklich wünsche.

Das Abonnement beinhaltet ein Passwort zur Nutzung des Abo-Bereichs auf www.kes.info

<kes>-online<kes>-Leser können neben der Print-Ausgabe auch

<kes>-online unter www.kes.info nutzen. Hier finden

Sie ohne Zugangsbeschränkung, das Thema der Woche,

viele interessante Links, Stichwort-Lexikon IT-Security-

Begriffe, Verzeichnis relevanter Veranstaltungen und

außerdem aktuelle Artikel zum Probelesen.

Abonnenten erhalten zusätzlich ein Passwort mit dem sie

Zugriff auf alle aktuellen Artikel und auch auf das Online-

Archiv erhalten.

Jetzt Probeheft anfordern!

Unbenannt-8.indd 2 16.05.2007 12:04:15 Uhr