Mit der ISO/IEC 27002:2022 ist im Februar eine neue Version der internationalen Norm erschienen, welche eine Neustrukturierung von Referenzmaßnahmenzielen sowie -maßnahmen für Informationssicherheit vornimmt und zudem auch ganz neue Referenzmaßnahmen (auch „Controls“ genannt) einführt. Unser Blogbeitrag „Die neue ISO/IEC 27002“ klärte diesbezüglich auf.
Das Control „7.4 Physical security monitoring“ zählt zu den neuen präventiven („Preventive“) sowie detektiven („Detective“) Referenzmaßnahmen der ISO/IEC 27002:2022. Durch die Umsetzung soll sichergestellt werden, dass Räumlichkeiten einer Organisation ständig auf unbefugten physischen Zutritt überwacht werden. Ein unbefugter physischer Zutritt soll erkannt und unterbunden werden.
Umsetzung der Maßnahme
Der physische Zutritt zu den Räumlichkeiten einer Organisation sollte überwacht werden. Eine angemessene Umsetzung könnte bspw. durch Wachpersonal, eine Einbruchmeldeanlage (EMA) und Videoüberwachungssysteme verwirklicht werden. Überwachungssysteme können dabei entweder intern oder durch einen Dienstleister verwaltet werden.
Beim Control „7.4 Physical security monitoring“ geht es vor allem darum, Zutritte zu Gebäuden bzw. Räumlichkeiten, in denen kritische Systeme vorzufinden sind, ständig zu überwachen, um unbefugten Zutritt oder verdächtiges Verhalten zu erkennen. Dies kann durch die drei nachstehenden Vorkehrungen realisiert werden:
- Installation von Videoüberwachungssystemen, sodass eine Videoüberwachung mit Aufzeichnung des Zutritts zu sensiblen Bereichen innerhalb und außerhalb einer Organisation sowie zum Gelände besteht.
- Installation von Kontakt-, Schall- oder Bewegungsmeldern zur Auslösung eines Einbruchalarms und regelmäßige Überprüfung der Sensorik. Beispiele:
- Kontaktmelder an Fenstern, Türen oder unter Gegenständen (Panikalarm), die einen Alarm auslösen, wenn ein Kontakt entweder hergestellt oder unterbrochen wird.
- Bewegungsmelder mit Infrarottechnologie, die einen Alarm auslösen, wenn ein Objekt ihr Sichtfeld durchquert.
- Akustiksensoren, die auf ein Geräusch von bspw. zerbrechendem Glas reagieren und daraufhin einen Alarm auslösen.
- Verwendung von Einbruchalarmen für alle Außentüren sowie zugänglichen Fenster. Nicht besetzte Bereiche sollten darüber hinaus stets alarmgesichert sein.
Bei der Konzeptionierung und Verwirklichung der aufgezeigten Überwachungssysteme sollten einschlägige Standards berücksichtigt werden. Hier ist u. a. die Sicherungsrichtlinie für Geschäfte und Betriebe „VdS 2333“ zu erwähnen. Die Richtlinie gibt Hinweise, welche sicherheitstechnischen Anforderungen an ein Objekt gerichtet werden sollten. Sie gelten für die Sicherung gegen Einbruchdiebstahl und Raub. Die Objekte werden in sechs unverbindlichen Risikoklassen für Gewerbeobjekte (SG1-SG6) eingeteilt. Die Konzeption von Überwachungssystemen sollte vertraulich behandelt werden, da die Offenlegung dieser sensiblen Informationen Einbrüche erleichtern können.
Zudem sind für alle Überwachungs- und Aufzeichnungsmechanismen die geltenden Gesetze zum Datenschutz einzuhalten. Insbesondere stehen hier die Überwachung des Personals und die Aufbewahrungsfristen für aufgezeichnete Videos im Fokus.
Des Weiteren sollten die Überwachungssysteme selbst vor unbefugtem Zugriff geschützt werden, sodass Überwachungsdaten, wie z. B. Videoaufzeichnungen, vor dem Zugriff Unbefugter geschützt und auch das Ausschalten dieser Systeme aus der Ferne verhindert wird.
Die Zentrale der Alarmanlage sollte sich in einem alarmgesicherten Bereich befinden und für Personen, die einen Sicherheitsalarm auslösen wollen, sollte ein einfacher Fluchtweg zur Verfügung stehen. Das Bedienfeld und die Melder der Alarmanlage sollten über manipulationssichere Mechanismen verfügen. Ferner sind die Überwachungssysteme regelmäßig zu testen, um sicherzustellen, dass sie wie vorgesehen funktionieren – insbesondere die batteriebetriebenen Komponenten.
Fazit
Die neu eingeführte Referenzmaßnahme „7.4 Physical security monitoring“ gibt vor, den physischen Zutritt zu den Räumlichkeiten einer Organisation zu überwachen. Unbefugte Zutritte können durch die im Control beschriebenen Maßnahmen erkannt werden, um ggfs. eine Intervention zu veranlassen.