ISO 27002:2022, Kontrolle 7.4 – Physische Sicherheitsüberwachung

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

kulturelle,Mischung,von,jungen,Menschen,die,in,einem,Unternehmen,arbeiten

Unbefugter Zugriff auf eingeschränkte physische Bereiche wie Serverräume und IT-Geräteräume kann zum Verlust der Vertraulichkeit, Verfügbarkeit, Integrität usw. führen Sicherheit von Informationsressourcen.

Kontrolle 7.4 befasst sich mit der Implementierung geeigneter Überwachungssysteme verhindern unbefugten Zugriff durch Eindringlinge in sensible physische Räumlichkeiten.

Zweck der Kontrolle 7.4

Control 7.4 ist eine neue Art von Steuerung verlangt von Organisationen, externe und interne zu erkennen und zu verhindern Eindringlinge, die unbefugt in eingeschränkte physische Bereiche eindringen, werden durch den Einsatz geeigneter Überwachungsinstrumente geschützt.

Diese Überwachungstools überwachen und protokollieren kontinuierlich zugangsbeschränkte Bereiche und schützen die Organisation vor Risiken, die durch unbefugten Zugriff entstehen können, einschließlich, aber nicht beschränkt auf:

  • Diebstahl sensibler Daten.
  • Verlust von Informationsressourcen.
  • Finanzieller Schaden.
  • Diebstahl von Wechseldatenträgern zur böswilligen Nutzung.
  • Infektion von IT-Assets mit einer Schadsoftware.
  • Ransomware-Angriffe, die möglicherweise von einem Eindringling ausgeführt werden.

Attributtabelle

Control 7.4 hat detektivischen und präventiven Charakter. Es ermöglicht Organisationen, die Integrität, Vertraulichkeit, Verfügbarkeit usw. aufrechtzuerhalten Sicherheit sensibler Daten und kritischer Informationsressourcen durch kontinuierliche Überwachung des Zugangs zu gesperrten Räumlichkeiten.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv
#Detektiv 		#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Schützen
#Erkennen		#Physische Sicherheit#Schutz
#Verteidigung

Eigentum an der Kontrolle 7.4

Die Einhaltung von Kontrolle 7.4 erfordert die Identifizierung aller Sperrbereiche und die Festlegung geeigneter Überwachungsinstrumente für den jeweiligen physischen Bereich.

Daher sollten oberste Sicherheitsbeauftragte für die ordnungsgemäße Implementierung, Wartung, Verwaltung und Überprüfung von Überwachungssystemen verantwortlich sein.

Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Allgemeine Hinweise zur Einhaltung

Control 7.4 verlangt von Organisationen die Umsetzung dieser drei Schritte, um unbefugten Zugriff auf Einrichtungen, die kritische Informationsressourcen hosten, zu erkennen und zu verhindern:

  • Schritt 1: Richten Sie ein Videoüberwachungssystem ein

Organisationen sollten über ein Videoüberwachungssystem, beispielsweise eine CCTV-Kamera, verfügen, um den Zugang zu Sperrbereichen, in denen sich wichtige Informationsressourcen befinden, kontinuierlich zu überwachen. Darüber hinaus sollte dieses Überwachungssystem alle Zutritte in die physischen Räumlichkeiten protokollieren.

  • Schritt 2: Installieren Sie Detektoren, um einen Alarm auszulösen

Wenn ein Eindringling einen Alarm auslöst, wenn er physische Räumlichkeiten betritt, kann das Sicherheitsteam schnell auf Sicherheitsverstöße reagieren. Darüber hinaus kann es den Eindringling auch wirksam abschrecken.

Organisationen sollten Bewegungs-, Ton- und Kontaktmelder verwenden, die einen Alarm auslösen, wenn eine ungewöhnliche Aktivität innerhalb der physischen Räumlichkeiten festgestellt wird.

Insbesondere:

  • Es sollte ein Kontaktmelder installiert werden, der einen Alarm auslöst, wenn ein unbekanntes Objekt/eine unbekannte Person mit einem Objekt in Kontakt kommt oder den Kontakt mit einem Objekt unterbricht. Beispielsweise kann ein Kontaktmelder so konfiguriert werden, dass er einen Alarm auslöst, wenn ein Fenster oder eine Tür berührt wird.

  • Bewegungsmelder können so programmiert werden, dass sie einen Alarm auslösen, wenn die Bewegung eines Objekts in ihrem Sichtbereich erkannt wird.

  • Schallmelder wie Glasbruchmelder können aktiviert werden, wenn ein Geräusch erkannt wird.
  • Schritt 3: Alarmkonfiguration zum Schutz aller internen Räumlichkeiten

Der dritte Compliance-Schritt erfordert die Konfiguration des Alarmsystems, um sicherzustellen, dass alle sensiblen Bereiche, einschließlich aller Außentüren, Fenster, unbewohnten Bereiche und Computerräume, innerhalb der Reichweite des Alarmsystems liegen, sodass keine Schwachstelle ausgenutzt werden kann.

Wenn beispielsweise Räumlichkeiten wie Raucherbereiche oder auch die Eingänge von Fitnessstudios nicht überwacht werden, können diese als Angriffsvektor für Eindringlinge genutzt werden.

Unser jüngster Erfolg bei der Zertifizierung nach ISO 27001, 27017 und 27018 ist zu einem großen Teil ISMS.online zu verdanken.

Karen Burton
Sicherheitsanalyst, Gesundheit gedeihen

Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Arten von Überwachungssystemen

Während Control 7.4 nicht besagt, dass Organisationen ein bestimmtes Überwachungssystem gegenüber anderen Alternativen auswählen und implementieren müssen, listet es eine Reihe von Überwachungstools auf, die einzeln oder in Kombination mit anderen verwendet werden können:

  • CCTV-Kameras
  • Sicherheitskräfte
  • Sicherheitsalarme für Eindringlinge
  • Softwaretools für physische Sicherheitsmanagement

Ergänzende Leitlinien zur Kontrolle 7.4

Control 7.4 hebt hervor, dass Organisationen Folgendes berücksichtigen sollten, wenn sie physische Sicherheitsüberwachungssysteme implementieren:

  • Der Aufbau und die Funktionsweise der Überwachungssysteme sollten vertraulich behandelt werden.

  • Angemessen Es sollten Maßnahmen ergriffen werden, um die Offenlegung der Überwachung zu verhindern Aktivitäten und Video-Feeds an Unbefugte weiterzugeben und das Risiko einer Ferndeaktivierung der Überwachungssysteme durch böswillige Parteien auszuschließen.

  • Die Alarmzentralen sollten sich in einer alarmierten Zone befinden und es muss für die Person, die den Alarm auslöst, ein sicherer und einfacher Fluchtweg vorhanden sein.

  • Alle verwendeten Melder und die verwendeten Alarmzentralen sollten manipulationssicher sein.

  • Die Überwachung und Aufzeichnung von Personen über Überwachungssysteme sollte, auch wenn sie legitimen Zwecken dient, im Einklang mit allen geltenden Gesetzen und Vorschriften, insbesondere den Datenschutzgesetzen, erfolgen. Zum Beispiel die EU- und UK-DSGVO kann von Organisationen verlangen, vor dem Einsatz von CCTV-Kameras eine Folgenabschätzung durchzuführen. Darüber hinaus sollten bei der Aufzeichnung von Video-Feeds die in den geltenden lokalen Gesetzen festgelegten Aufbewahrungsfristen für Daten eingehalten werden.

Änderungen und Unterschiede zu ISO 27002:2013

Kontrolle 7.4 ist a neue Steuerung Dies wurde in ISO 27002:2013 nicht behandelt in irgendeiner Funktion.

Wie ISMS.online hilft

Das ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) und die Einhaltung von ISO 27002 erleichtern.

Das umfassende Paket an Tools bietet Ihnen einen zentralen Ort, an dem Sie maßgeschneiderte Richtlinien und Verfahren erstellen können, die auf die spezifischen Risiken und Bedürfnisse Ihres Unternehmens abgestimmt sind. Es ermöglicht auch die Zusammenarbeit zwischen Kollegen sowie externen Partnern wie Lieferanten oder externen Prüfern.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren