73 ENS-Kontrollen erklärt mit Anwendbarkeit

Anhang II des Königlichen Dekrets 311/2022 definiert die 73 Sicherheitskontrollen, die Organisationen je nach Systemkategorie implementieren müssen. Jede Kontrolle zu kennen, ihre Anforderungen zu verstehen und zu wissen, welche Belege Auditoren erwarten, ist grundlegend für eine effiziente Implementierung und ein erfolgreiches Audit. Dieser Leitfaden liefert eine vollständige Aufschlüsselung der drei Kontrollrahmen mit praktischen Implementierungshinweisen.

Organisatorischer Rahmen: Die Grundlagen der Sicherheit (4 Kontrollen)

Der organisatorische Rahmen legt die Sicherheitsgovernance fest. Dies sind die Kontrollen, die definieren, wer was entscheidet, wie es dokumentiert und wie es autorisiert wird.

org.1 — Sicherheitsleitlinie

Die Sicherheitsleitlinie ist das Dokument höchster Ebene, das Prinzipien, Richtlinien und Verpflichtungen der Organisation in Informationssicherheit festlegt. Gilt in allen drei Kategorien (NIEDRIG, MITTEL und HOCH).

Sie muss mindestens enthalten: Ziele der Organisation, regulatorischen Rahmen, Sicherheitsrollen und -verantwortlichkeiten, Struktur des Sicherheitsausschusses, Richtlinien zur Kategorisierung, zur Risikoanalyse und zur Schulung. Sie muss von der Geschäftsleitung genehmigt und an das gesamte Personal kommuniziert werden.

org.2 — Sicherheitsnormen

Die Normen entwickeln die Leitlinie in konkrete Vorgaben. Gilt in allen drei Kategorien. Typische Normen: Nutzung der Systeme, Passwortverwaltung, Informationsklassifizierung, E-Mail-Nutzung, Homeoffice und Zugang zu Einrichtungen.

org.3 — Sicherheitsverfahren

Verfahren detaillieren die täglichen Sicherheitsaktivitäten. Gilt in allen drei Kategorien. Wesentlich: Incident Management, Change Management, Zugriffsverwaltung, Backups, Service-Kontinuität, Schwachstellenmanagement und internes Audit.

org.4 — Autorisierungsprozess

Diese Kontrolle verlangt einen formellen Prozess, um die Inbetriebnahme neuer Komponenten oder signifikante Änderungen zu autorisieren. In Kategorie NIEDRIG genügt eine dokumentierte Autorisierung; in MITTEL ein formeller Prozess mit Risikoanalyse; in HOCH zusätzlich eine Konformitätsverifikation vor Produktionsstart.

Operativer Rahmen: Sicherheit in der Praxis (31 Kontrollen)

Der operative Rahmen regelt den Tagesbetrieb der Informationssysteme. Er gliedert sich in sechs Familien.

op.pl — Planung (5 Kontrollen)

Die Familie umfasst die Risikoanalyse (op.pl.1), verpflichtend in allen Kategorien, die Sicherheitsarchitektur (op.pl.2), den Erwerb neuer Komponenten (op.pl.3), die Kapazitätsbemessung (op.pl.4) und zertifizierte Komponenten (op.pl.5), die wenn möglich aus dem CPSTIC des CCN stammen sollen.

op.acc — Zugriffskontrolle (7 Kontrollen)

Eine der anspruchsvollsten Familien. Identifikation (op.acc.1) verlangt eindeutige Benutzerkennungen ohne generische Konten. Authentifizierung (op.acc.2): in NIEDRIG starke Passwörter, in MITTEL Zwei-Faktor in bestimmten Kontexten, in HOCH obligatorisch Zwei-Faktor mit kryptografischen Mechanismen. Weiter: Zugriffsrechte, Privilegien, Authentifizierungsmechanismen, lokaler und Fernzugriff.

op.exp — Betrieb (11 Kontrollen)

Asset-Inventar, Sicherheitskonfiguration, Konfigurationsmanagement, Wartung und Updates, Change Management, Schutz vor Schadcode, Vorfallsmanagement, Aktivitätsprotokollierung, Incident-Aufzeichnungen, Schutz dieser Protokolle und Schutz kryptografischer Schlüssel.

op.ext — Externe Dienste (4 Kontrollen)

Regelt die Lieferantenbeziehung: Verträge und SLA, tägliches Management, Service-Monitoring und alternative Mittel.

op.cont — Service-Kontinuität (4 Kontrollen)

Umfasst Business Impact Analysis (BIA), Kontinuitätsplan, periodische Tests und alternative Mittel. In Kategorie HOCH sind mindestens jährliche dokumentierte Kontinuitätstests vorgeschrieben.

op.mon — Systemüberwachung (3 Kontrollen)

Intrusion Detection, Sicherheitsmetriken und Überwachung. In MITTEL und HOCH wird kontinuierliche Überwachung mit Anomalieerkennung gefordert.

Schutzmaßnahmen: technische Umsetzung (38 Kontrollen)

mp.if — Einrichtungen und Infrastruktur (7 Kontrollen)

Physische Sicherheit: getrennte Bereiche mit Zugangskontrolle, Identifikation, Konditionierung der Räume, Stromversorgung, Brand- und Wasserschutz sowie Registrierung der Ein- und Ausfuhr von Geräten.

mp.per — Personalverwaltung (4 Kontrollen)

Definition der Stelle, Pflichten, Sensibilisierung und Schulung, Maßnahmen bei Ausscheiden.

mp.eq — Schutz der Geräte (4 Kontrollen)

Aufgeräumter Arbeitsplatz, Schutz unbeaufsichtigter Geräte, Schutz mobiler Geräte und alternative Mittel.

mp.com — Schutz der Kommunikation (4 Kontrollen)

Sicherer Perimeter, Vertraulichkeit der Kommunikation, Authentizität und Integrität sowie Trennung der Informationsflüsse im Netz.

mp.si — Schutz der Datenträger (5 Kontrollen)

Etikettierung, Kryptografie, Verwahrung, Transport sowie Löschen und Vernichten.

mp.sw — Schutz der Anwendungen (2 Kontrollen)

Sichere Anwendungsentwicklung und Abnahme/Inbetriebnahme.

mp.info — Schutz der Information (6 Kontrollen)

Personenbezogene Daten, Informationsklassifizierung, Verschlüsselung, elektronische Signatur, Zeitstempel und Dokumentbereinigung.

mp.s — Schutz der Dienste (3 Kontrollen)

Schutz der E-Mail, Schutz von Webdiensten und -anwendungen sowie Schutz der Webnavigation.

mp.c — Kryptografie (3 Kontrollen, neu im RD 311/2022)

Nutzung autorisierter Algorithmen und Protokolle, zertifizierter Produkte und Verwaltung der kryptografischen Schlüssel.

Wie sollte die Implementierung angegangen werden?

Empfehlenswert ist eine Phasenstrategie: erst die organisatorischen Kontrollen (Governance), dann die operativen (Prozesse), schließlich die Schutzmaßnahmen (technische Lösungen). Innerhalb jeder Phase priorisieren Sie nach Risikoanalyse.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro