Sicherheitsbereiche definieren und Risiken korrekt behandeln

Die ISO 27001 Norm fordert, dass in der Anwendbarkeit der Maßnahmen (SoA) eine Entscheidung zum Umgang mit Risiken von Sicherheitsbereichen getroffen wird. Üblicherweise muss man ein “Verfahren für Arbeit in sicheren Bereichen” erarbeiten. Dennoch ist die Umsetzung geeigneter Verfahren für den ISO 27001:2022 Anhang A Punkt A.7.6 für viele eine Herausforderung. In diesem Artikel wollen wir ein besseres Verständnis als auch eine einfache Hilfestellung zur Erstellung der benötigten Dokumentation liefern.

Definition von Sicherheitsbereichen

Sicherheitsbereiche sind Standorte, an denen vertrauliche Informationen verarbeitet werden oder wertvolle IT-Geräte und Mitarbeiter untergebracht sind, um die Geschäftsziele zu erreichen. Im Kontext der physischen Sicherheit bezeichnet der Begriff „Standort“ Gebäude, Räume oder Büros, in denen alle Dienste und Einrichtungen (Strom, Heizung, Klimaanlage) untergebracht sind.

Die Hauptaufgabe der physischen Sicherheit besteht darin, Ihre – materiellen und weniger materiellen – Informationswerte vor physischen Bedrohungen zu schützen: unbefugtem Zugriff, Ausfällen und Schäden durch menschliches Handeln sowie schädlichen Umwelt- und externen Ereignissen.

Die materiellen Werte sind natürlich Hardware und Informationsmedien. Weniger materielle Informationswerte sind gesprochene Worte und angezeigte Daten (auf Bildschirmen und Plakaten).

Was sind Bestandteile eines Sicherheitsbereichs?

Sicherheitsbereiche können sich in Standorten, Gebäuden, öffentliche Bereichen oder besonderen Arbeitsbereichen befinden. Menschen haben in irgend einer erforderlichen Form einen Zutritt zu diesen Bereichen.

Die ISO 27001 Norm fordert folgende 3 Elemente als physischer Kontext zu berücksichtigen:

 

#1 Perimeter und Grenzen

Wir müssen bis zu vier Verteidigungslinien berücksichtigen:

  1. Erstens: das Grundstück (Zaun) oder Gebäude (Mauer)
  2. Zweitens: (eventuell) das Stockwerk
  3. Drittens: der Raum
  4. Viertens: die „kleinere Kiste“, in der Sie die Vermögenswerte aufbewahren (Rack, Stahlschrank, Tresor)

#2 Einfallstore

Berechtigte und unberechtigte Personen (Einbrecher) müssen auf irgend eine Weise die physische Umgebung (des Sicherheitsbereichs) betreten und verlassen.

Eindringlinge können in ihre betrieblichen Räumlichkeiten über verschiedene Wege betreten. Nicht nur Türen und Fenster sind Einfallstore. Selbst Kabelkanäle, Luftein- und -auslässe können von Einbrechern, Saboteuren und Wirtschaftsspionen verwendet werden, um ihre sensiblen Informationen zu kompromitieren.

Vergessen Sie nicht die Zu- und Abgänge zu den Toren: normale Zu- und Ausgänge sowie Notausgänge – gemäß den Sicherheitsvorschriften.

#3 Umgebung

Dies betrifft die Korridore, Wege, Straßen, Grünflächen oder Parkflächen, die sich rund um die Grundstücksgrenzen befinden.

Geeignete Sicherheitsmaßnahmen (A.7.6)

In diesem Kapitel werden wir die Sicherheitsmaßnahmen näher beleuchten.

Ähnliche Artikel und weitere interessante Informationen