Warum sind Sicherheitszonen so wichtig für ISO 27001:2022?
Mit der Umstellung auf die 2022 Version der ISO 27001 wird immer häufiger der Begriff „Sicherheitszone“ beim Zertifizierungsaudit eines ISMS vorkommen. Hier möchten wir erklären, was man genau unter einer Sicherheitszone versteht und wie man die in einem ISMS Kontext richtig abbildet.
Was ist eine Sicherheitszone?
Unter einer Sicherheitszone versteht man ein Bereich im Unternehmensnetzwerk. So kann man häufig sehen, dass die IT Abteilung die Segmente entsprechend dem Prinzip von Zwiebelringen darstellt. Man kann auch bei einfacheren Netzwerken einzelne Systeme in Zonen gruppieren und sie farblich kennzeichnen. In den weiteren Abschnitten dieses Artikels zeigen wir Beispiele wie das graphisch abgebildet werden kann.
Wenn wir einmal die Zonen definieren wollen, müssen wir jeder Zone Eigenschaften zuordnen. So könnte eine rote Zone als die am wichtigsten darstellen. In der Roten Zone befinden sich vielleicht unser ERP, CRM, Personalwesen und Datenbank Server. In der gelben Zone finden wir wichtige Systeme, die jedoch nicht so extrem kritische Daten enthalten. In der grünen Zone sind nur unsere Notebooks und Smartphones. Da wir alle Daten auf dem Zentralen Server ablegen, ist der Verlust eines Notebooks nicht so kritisch, wie etwa der Verlust der Datenbankserver (rote Zone).
Somit können wir die farblichen Zonen wie folgt einordnen:
- Weiße Zone = Öffentlich
- Grüne Zone = Kontrollierte Zone
- Gelbe Zone = Eingeschränkte Zone
- Rote Zone = Hoch-Risiko-Zone
Wie sieht ein Konzept der physischen Sicherheit aus?
Wenn wir ein Konzept der physischen Sicherheit erstellen, müssen wir die Sicherheitszonen definieren. Dadurch können wir unsere Systeme in die richtigen Zonen einordnen.
Folgendes müssen wir für eine Sicherheitszone definieren:
- Bezeichnung der Zone
- Farbmarkierung
- Physische Anforderungen
- Zutrittssteuerung
- Einsehbarkeit
- Besuchervorgaben
Am besten erstellen Sie in ihrer ISMS Dokumentation eine Tabelle in der Sie die obigen Punkte definieren. Dadurch ist es für Mitarbeiter und Auditoren leichter zu verstehen, wie Sie die Sicherheitszonen für Ihr Konzept der physischen Sicherheit anwenden.
Wie zeichne ich eine Sicherheitszone für mein ISMS?
Im folgenden Beispiel sieht man die 4 Zonen (rot, gelb, grün, weiß). Die rote Zone stellt unser Serverraum dar. Darin befindet sich der Internetzugang, der Router/Firewall sowie 3 Server. Die gelbe Zone wäre der Eingangsbereich, in dem unser Empfang sich befindet. dort steht eventuell ein Arbeitsplatz sowie ein Fernseher mit den aktuellen Nachrichten. In diesem Bereich gelangen Lieferanten gelegentlich Postboten, Kunden und sonstige Besucher. Unsere grüne Zone stellt den Bürobereich, in dem kein Parteiverkehr stattfindet. Hier arbeiten die meisten Mitarbeiter an ihren vernetzten Desktops oder Laptops. Hier wird Software entwickelt oder telefonische Kundenanfragen bearbeitet. Die Personalabteilung oder der Einkauf kann sich hier befinden.
Im folgenden Beispiel sehen wir ein Sicherheitskonzept, dass die Sicherheitszonen wie Zwiebelringe oder Baumringe darstellt. Wer in der Gelben Zone ist kommt nicht in die Grüne Zone ohne weiteres. In der grünen Zonen befinden sie die Arbeitsplätze auf 4 Stockwerke. Nur wer hier hineingelingt, kann um Eintritt in die rote Zone bitten.
Wie stelle ich Sicherheitszonen tabellarisch dar?
Wie schon bereits erwähnt, fragen Auditoren von Zertifizierungsstellen immer häufiger nach der Definition der Sicherheitszonen. Man muss zunächst in ausformulierten Textabschnitten das physische Sicherheitskonzept beschreiben. Anschließend kann man in einer Tabelle diese Zonen in Stichpunkten oder kurze Sätzen definieren und ihre Regeln vorgeben.