Lesen wir die ISO-Norm 27001:2013 oder den Entwurf der neuen 27001:2022 aufmerksam, stellen wir fest: Die Begriffe Penetration Testing und Vulnerability Scanning sind explizit weder als Maßnahmen als auch im Anforderungstext erwähnt.
Die ISO 27002 (Umsetzungsleitfaden des Anhangs A zur ISO 27001) erwähnt jedoch an mehreren Stellen gerade Penetration Tests wie Vulnerability Scans als unverzichtbare Bestandteile eines Informationssicherheitsmanagementsystems (ISMS).
Was ändert sich mit dem aktuellen Update?
Wir haben für Sie zusammengefasst, was konkret in ISO 27002 im Vergleich der bisherigen ISO-Norm von 2013 und der bereits aktualisierten Version 2022 geboten ist.
- In der ISO 27001:2013 bzw. ISO 27002:2013 (Implementierungsleitfaden für den Anhang A) sind Penetration Tests und Vulnerability Scans als Umsetzung der „Überprüfung der Einhaltung von technischen Vorgaben“ (Maßnahme 18.2.3) aufgeführt. Konkret heißt das: Der Begriff „Compliance Reviews“ sollte auch die Durchführung von Penetration Tests und Vulnerability Scans beinhalten.
- Daneben heißt es auch: die sogenannten „Systemabnahmetests“ (Maßnahme 14.2.9) sehen den Einsatz von Vulnerability Scannern als eine Möglichkeit vor, Schwachstellen automatisiert aufzuspüren.
- Im Entwurf der ISO 27001:2022 bzw. dem Implementierungsleitfaden für den Anhang A (ISO 27002:2022) sind Penetration Tests als Teil des „Managing information security in the ICT supply chain“ (Maßnahme 5.21) aufgeführt. Penetration Tests sind hier als eine Art der Durchführung eines Lieferanten-Reviews aufgeführt.
- Beim „Management of technical vulnerabilities“ (Maßnahme 8.8) werden Penetration Tests und Vulnerability Scans konkret als regelmäßig durchzuführende Tätigkeit zur Identifikation von Schwachstellen genannt.
- Der Punkt „Monitoring Activities“ (Maßnahme 8.16) erwähnt Penetration Tests und Vulnerability Scans als Ergänzung der Überwachungsaktivitäten einer Organisation.
- Im Rahmen vom „Secure Development Lifecycle“ (Maßnahme 8.25) wird auf Penetration Tests als ein wesentlicher Baustein eines sicheren Entwicklungs-Zyklus‘ verwiesen.
Und beim Punkt „Security testing in development and acceptance“ (Maßnahme 8.29) wird die Durchführung sowohl von Penetration Tests als auch von Vulnerability Scans im Kontext der Durchführung von Sicherheitstests während Entwicklung und Wartung von Systemen empfohlen.
Fazit
In der kommenden ISO 27001:2022 erhält die Durchführung von Penetration Tests und Vulnerability Scans noch mehr Gewicht, als dies in der bisherigen Version ISO 27001:2013 schon der Fall war. Ein guter Grund also, Penetration Tests und Vulnerability Scans professionell zu planen und durchzuführen. Wir unterstützen Sie dabei mit unserer Expertise gerne!