ISO 27002, Kontrolle 7.4 – Überwachung der physischen Sicherheit

ISO 27002:2022 – Kontrolle 7.4 – Physische Sicherheitsüberwachung

Unbefugter Zugriff auf eingeschränkte physische Bereiche wie Serverräume und IT-Geräteräume kann zum Verlust der Vertraulichkeit, Verfügbarkeit, Integrität usw. führen Sicherheit von Informationsressourcen. Kontrolle 7.4 befasst sich mit der Implementierung geeigneter Überwachungssysteme zur verhindern unbefugten Zugriff durch Eindringlinge in sensible physische Räumlichkeiten.

Zweck der Kontrolle 7.4

Control 7.4 ist eine neue Art von Steuerung verlangt von Organisationen, externe und interne zu erkennen und zu verhindern Eindringlinge, die unbefugt in eingeschränkte physische Bereiche eindringen, werden durch den Einsatz geeigneter Überwachungsinstrumente geschützt.

Diese Überwachungstools überwachen und protokollieren kontinuierlich zugangsbeschränkte Bereiche und schützen die Organisation vor Risiken, die durch unbefugten Zugriff entstehen können, einschließlich, aber nicht beschränkt auf:

Diebstahl sensibler Daten.
Verlust von Informationsressourcen.
Finanzieller Schaden.
Diebstahl von Wechseldatenträgern zur böswilligen Nutzung.
Infektion von IT-Assets mit einer Schadsoftware.
Ransomware-Angriffe, die möglicherweise von einem Eindringling ausgeführt werden.

Attribute Tabelle der Bedienelemente 7.4

Control 7.4 hat detektivischen und präventiven Charakter. Es ermöglicht Organisationen, die Integrität, Vertraulichkeit, Verfügbarkeit usw. aufrechtzuerhalten Sicherheit sensibler Daten und kritischer Informationsressourcen durch kontinuierliche Überwachung des Zugangs zu gesperrten Räumlichkeiten.

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Schützen	#Physische Sicherheit	#Schutz
#Detektiv	#Integrität	#Erkennen		#Verteidigung
	#Verfügbarkeit

Eigentum an der Kontrolle 7.4

Die Einhaltung von Kontrolle 7.4 erfordert die Identifizierung aller Sperrbereiche und die Festlegung geeigneter Überwachungsinstrumente für den jeweiligen physischen Bereich.

Daher sollten oberste Sicherheitsbeauftragte für die ordnungsgemäße Implementierung, Wartung, Verwaltung und Überprüfung von Überwachungssystemen verantwortlich sein.

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

Allgemeine Hinweise zur Einhaltung

Control 7.4 verlangt von Organisationen die Umsetzung dieser drei Schritte, um unbefugten Zugriff auf Einrichtungen, die kritische Informationsressourcen hosten, zu erkennen und zu verhindern:

Schritt 1: Richten Sie ein Videoüberwachungssystem ein

Organisationen sollten über ein Videoüberwachungssystem, beispielsweise eine CCTV-Kamera, verfügen, um den Zugang zu Sperrbereichen, in denen sich wichtige Informationsressourcen befinden, kontinuierlich zu überwachen. Darüber hinaus sollte dieses Überwachungssystem alle Zutritte in die physischen Räumlichkeiten protokollieren.

Schritt 2: Installieren Sie Detektoren, um einen Alarm auszulösen

Wenn ein Eindringling einen Alarm auslöst, wenn er physische Räumlichkeiten betritt, kann das Sicherheitsteam schnell auf Sicherheitsverstöße reagieren. Darüber hinaus kann es den Eindringling auch wirksam abschrecken.

Organisationen sollten Bewegungs-, Ton- und Kontaktmelder verwenden, die einen Alarm auslösen, wenn eine ungewöhnliche Aktivität innerhalb der physischen Räumlichkeiten festgestellt wird.

Insbesondere:

Es sollte ein Kontaktmelder installiert werden, der einen Alarm auslöst, wenn ein unbekanntes Objekt/eine unbekannte Person mit einem Objekt in Kontakt kommt oder den Kontakt mit einem Objekt unterbricht. Beispielsweise kann ein Kontaktmelder so konfiguriert werden, dass er einen Alarm auslöst, wenn ein Fenster oder eine Tür berührt wird.
Bewegungsmelder können so programmiert werden, dass sie einen Alarm auslösen, wenn die Bewegung eines Objekts in ihrem Sichtbereich erkannt wird.
Schallmelder wie Glasbruchmelder können aktiviert werden, wenn ein Geräusch erkannt wird.
Schritt 3: Alarmkonfiguration zum Schutz aller internen Räumlichkeiten

Der dritte Compliance-Schritt erfordert die Konfiguration des Alarmsystems, um sicherzustellen, dass alle sensiblen Bereiche, einschließlich aller Außentüren, Fenster, unbewohnten Bereiche und Computerräume, innerhalb der Reichweite des Alarmsystems liegen, sodass keine Schwachstelle ausgenutzt werden kann.

Wenn beispielsweise Räumlichkeiten wie Raucherbereiche oder auch die Eingänge von Fitnessstudios nicht überwacht werden, können diese als Angriffsvektor für Eindringlinge genutzt werden.

Arten von Überwachungssystemen

Während Control 7.4 nicht besagt, dass Organisationen ein bestimmtes Überwachungssystem gegenüber anderen Alternativen auswählen und implementieren müssen, listet es eine Reihe von Überwachungstools auf, die einzeln oder in Kombination mit anderen verwendet werden können:

CCTV-Kameras
Sicherheitskräfte
Sicherheitsalarme für Eindringlinge
Softwaretools für physische Sicherheitsmanagement

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

Ergänzende Leitlinien zur Kontrolle 7.4

Control 7.4 hebt hervor, dass Organisationen Folgendes berücksichtigen sollten, wenn sie physische Sicherheitsüberwachungssysteme implementieren:

Der Aufbau und die Funktionsweise der Überwachungssysteme sollten vertraulich behandelt werden.
Angemessen Es sollten Maßnahmen ergriffen werden, um die Offenlegung der Überwachung zu verhindern Aktivitäten und Video-Feeds an Unbefugte weiterzugeben und das Risiko einer Ferndeaktivierung der Überwachungssysteme durch böswillige Parteien auszuschließen.
Die Alarmzentralen sollten sich in einer alarmierten Zone befinden und es muss für die Person, die den Alarm auslöst, ein sicherer und einfacher Fluchtweg vorhanden sein.
Alle verwendeten Melder und die verwendeten Alarmzentralen sollten manipulationssicher sein.
Die Überwachung und Aufzeichnung von Personen über Überwachungssysteme sollte, auch wenn sie legitimen Zwecken dient, im Einklang mit allen geltenden Gesetzen und Vorschriften, insbesondere den Datenschutzgesetzen, erfolgen. Zum Beispiel die EU- und UK-DSGVO kann von Organisationen verlangen, vor dem Einsatz von CCTV-Kameras eine Folgenabschätzung durchzuführen. Darüber hinaus sollten bei der Aufzeichnung von Video-Feeds die in den geltenden lokalen Gesetzen festgelegten Aufbewahrungsfristen für Daten eingehalten werden.

Änderungen und Unterschiede zu ISO 27002:2013

Kontrolle 7.4 ist a neue Steuerung Dies wurde in ISO 27002:2013 nicht behandelt in irgendeiner Funktion.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	5.30	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Rekrutierung
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Die ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) und die Einhaltung von ISO 27002 erleichtern.

Das umfassende Paket an Tools bietet Ihnen einen zentralen Ort, an dem Sie maßgeschneiderte Richtlinien und Verfahren erstellen können, die auf die spezifischen Risiken und Bedürfnisse Ihres Unternehmens abgestimmt sind. Es ermöglicht auch die Zusammenarbeit zwischen Kollegen sowie externen Partnern wie Lieferanten oder externen Prüfern.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Wir sind führend auf unserem Gebiet