Zweck der Kontrolle 7.4
Control 7.4 ist eine neue Art von Steuerung verlangt von Organisationen, externe und interne zu erkennen und zu verhindern Eindringlinge, die unbefugt in eingeschränkte physische Bereiche eindringen, werden durch den Einsatz geeigneter Überwachungsinstrumente geschützt.
Diese Überwachungstools überwachen und protokollieren kontinuierlich zugangsbeschränkte Bereiche und schützen die Organisation vor Risiken, die durch unbefugten Zugriff entstehen können, einschließlich, aber nicht beschränkt auf:
- Diebstahl sensibler Daten.
- Verlust von Informationsressourcen.
- Finanzieller Schaden.
- Diebstahl von Wechseldatenträgern zur böswilligen Nutzung.
- Infektion von IT-Assets mit einer Schadsoftware.
- Ransomware-Angriffe, die möglicherweise von einem Eindringling ausgeführt werden.
Attribute Tabelle der Bedienelemente 7.4
Control 7.4 hat detektivischen und präventiven Charakter. Es ermöglicht Organisationen, die Integrität, Vertraulichkeit, Verfügbarkeit usw. aufrechtzuerhalten Sicherheit sensibler Daten und kritischer Informationsressourcen durch kontinuierliche Überwachung des Zugangs zu gesperrten Räumlichkeiten.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Physische Sicherheit | #Schutz |
| #Detektiv | #Integrität | #Erkennen | #Verteidigung | |
| #Verfügbarkeit |
Eigentum an der Kontrolle 7.4
Die Einhaltung von Kontrolle 7.4 erfordert die Identifizierung aller Sperrbereiche und die Festlegung geeigneter Überwachungsinstrumente für den jeweiligen physischen Bereich.
Daher sollten oberste Sicherheitsbeauftragte für die ordnungsgemäße Implementierung, Wartung, Verwaltung und Überprüfung von Überwachungssystemen verantwortlich sein.
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Hinweise zur Einhaltung
Control 7.4 verlangt von Organisationen die Umsetzung dieser drei Schritte, um unbefugten Zugriff auf Einrichtungen, die kritische Informationsressourcen hosten, zu erkennen und zu verhindern:
- Schritt 1: Richten Sie ein Videoüberwachungssystem ein
Organisationen sollten über ein Videoüberwachungssystem, beispielsweise eine CCTV-Kamera, verfügen, um den Zugang zu Sperrbereichen, in denen sich wichtige Informationsressourcen befinden, kontinuierlich zu überwachen. Darüber hinaus sollte dieses Überwachungssystem alle Zutritte in die physischen Räumlichkeiten protokollieren.
- Schritt 2: Installieren Sie Detektoren, um einen Alarm auszulösen
Wenn ein Eindringling einen Alarm auslöst, wenn er physische Räumlichkeiten betritt, kann das Sicherheitsteam schnell auf Sicherheitsverstöße reagieren. Darüber hinaus kann es den Eindringling auch wirksam abschrecken.
Organisationen sollten Bewegungs-, Ton- und Kontaktmelder verwenden, die einen Alarm auslösen, wenn eine ungewöhnliche Aktivität innerhalb der physischen Räumlichkeiten festgestellt wird.
Insbesondere:
- Es sollte ein Kontaktmelder installiert werden, der einen Alarm auslöst, wenn ein unbekanntes Objekt/eine unbekannte Person mit einem Objekt in Kontakt kommt oder den Kontakt mit einem Objekt unterbricht. Beispielsweise kann ein Kontaktmelder so konfiguriert werden, dass er einen Alarm auslöst, wenn ein Fenster oder eine Tür berührt wird.
- Bewegungsmelder können so programmiert werden, dass sie einen Alarm auslösen, wenn die Bewegung eines Objekts in ihrem Sichtbereich erkannt wird.
- Schallmelder wie Glasbruchmelder können aktiviert werden, wenn ein Geräusch erkannt wird.
- Schritt 3: Alarmkonfiguration zum Schutz aller internen Räumlichkeiten
Der dritte Compliance-Schritt erfordert die Konfiguration des Alarmsystems, um sicherzustellen, dass alle sensiblen Bereiche, einschließlich aller Außentüren, Fenster, unbewohnten Bereiche und Computerräume, innerhalb der Reichweite des Alarmsystems liegen, sodass keine Schwachstelle ausgenutzt werden kann.
Wenn beispielsweise Räumlichkeiten wie Raucherbereiche oder auch die Eingänge von Fitnessstudios nicht überwacht werden, können diese als Angriffsvektor für Eindringlinge genutzt werden.
Arten von Überwachungssystemen
Während Control 7.4 nicht besagt, dass Organisationen ein bestimmtes Überwachungssystem gegenüber anderen Alternativen auswählen und implementieren müssen, listet es eine Reihe von Überwachungstools auf, die einzeln oder in Kombination mit anderen verwendet werden können:
- CCTV-Kameras
- Sicherheitskräfte
- Sicherheitsalarme für Eindringlinge
- Softwaretools für physische Sicherheitsmanagement
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Ergänzende Leitlinien zur Kontrolle 7.4
Control 7.4 hebt hervor, dass Organisationen Folgendes berücksichtigen sollten, wenn sie physische Sicherheitsüberwachungssysteme implementieren:
- Der Aufbau und die Funktionsweise der Überwachungssysteme sollten vertraulich behandelt werden.
- Angemessen Es sollten Maßnahmen ergriffen werden, um die Offenlegung der Überwachung zu verhindern Aktivitäten und Video-Feeds an Unbefugte weiterzugeben und das Risiko einer Ferndeaktivierung der Überwachungssysteme durch böswillige Parteien auszuschließen.
- Die Alarmzentralen sollten sich in einer alarmierten Zone befinden und es muss für die Person, die den Alarm auslöst, ein sicherer und einfacher Fluchtweg vorhanden sein.
- Alle verwendeten Melder und die verwendeten Alarmzentralen sollten manipulationssicher sein.
- Die Überwachung und Aufzeichnung von Personen über Überwachungssysteme sollte, auch wenn sie legitimen Zwecken dient, im Einklang mit allen geltenden Gesetzen und Vorschriften, insbesondere den Datenschutzgesetzen, erfolgen. Zum Beispiel die EU- und UK-DSGVO kann von Organisationen verlangen, vor dem Einsatz von CCTV-Kameras eine Folgenabschätzung durchzuführen. Darüber hinaus sollten bei der Aufzeichnung von Video-Feeds die in den geltenden lokalen Gesetzen festgelegten Aufbewahrungsfristen für Daten eingehalten werden.
Änderungen und Unterschiede zu ISO 27002:2013
Kontrolle 7.4 ist a neue Steuerung Dies wurde in ISO 27002:2013 nicht behandelt in irgendeiner Funktion.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
Das ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) und die Einhaltung von ISO 27002 erleichtern.
Das umfassende Paket an Tools bietet Ihnen einen zentralen Ort, an dem Sie maßgeschneiderte Richtlinien und Verfahren erstellen können, die auf die spezifischen Risiken und Bedürfnisse Ihres Unternehmens abgestimmt sind. Es ermöglicht auch die Zusammenarbeit zwischen Kollegen sowie externen Partnern wie Lieferanten oder externen Prüfern.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Beratung buchen Angebotsanfrage
