Sicherheitsleitlinie - Physische und umgebungsbezogene Sicherheit
 

Sicherheitsbereiche

Die physikalische Sicherheit der Organisation ist der erste Sicherheitsaspekt, der umgesetzt werden muss. Denn was macht es für einen Sinn, sich mit komplizierten Passwörtern oder Anwendungen zu schützen, wenn eine beliebige Person sich Zugang zu einem Vitalwert beschaffen kann, um diesen zu stehlen, zu verändern oder zu zerstören? (KMU: siehe Eindringen in Einrichtungen und Einbringen oder Entfernen von Material und Entsorgung von Datenträgern und Entfernen von Eigentum (Diestahl)).

Seien Sie sich immer des reellen Werts einer Ressource bewusst (siehe Klassifizierung), um einen angemessenen Schutz zu planen.

Alle als vital oder wichtig identifizierten Werte müssen in einem gesicherten Ort der Organisation aufbewahrt oder benutzt werden. Diese Orte bilden die Sicherheitsbereiche.

Regeln im Sicherheitsbereich

Die Lokale der Sicherheitszone müssen:

Des Weiteren müssen folgende Regeln beachtet werden:

  • Die Schlüssel dürfen auf gar keinen Fall frei zugänglich sein.

  • Büromaschinen wie Kopierer oder Fax müssen sich innerhalb eines Sicherheitsbereichs befinden, aber nicht in direkter Nähe der kritischen Werte, um nicht die Zugriffsanfragen zu diesem Bereich unnötig zu erhöhen.

  • Türen und Fenster sollen gesperrt werden, insbesondere außerhalb der Geschäftszeiten.

  • Die Zugänge, insbesondere zum Erdgeschoss, müssen gegen Eindringen geschützt sein, sei es durch Gitter oder elektronische Erfassungssysteme, welche mit einem Alarm verbunden sind.

  • Gefährliche oder leicht brennbare Stoffe (dies schließt Pappe, Papier, Mülltonnen und Reinigungsmittel ein) sollten nicht in der Nähe vitaler oder wichtiger Werte gelagert werden.

Elektrische Sicherheit der Ausrüstung

Die Stromversorgung vitaler Werte muss gesichert werden:

  • durch die Verwendung von zwei verschiedenen Stromquellen (2 Sicherungen, 2 Kreisläufe), falls die Geräte über zwei Stromanschlüsse verfügen (KMU: siehe Unterbrechung von Leistungen und Stromausfall und Diskontinuität von Dienstleistern);

  • durch eine unterbrechungsfreie Stromversorgung, welche kurze Strompannen überbrücken kann und zwar lange genug, um alle Geräte ordnungsgemäß herunterfahren zu können;

  • durch einem Generator.

Wartung

Für alle als vital oder wichtig klassifizierten Werte muss ein Wartungsvertrag mit einer den Sicherheitsbedürfnissen in puncto Verfügbarkeit entsprechenden maximalen Interventions- oder Ersatzzeit abgeschlossen werden. (KMU: siehe Ungültige oder fehlende Lizenz und Administration unmöglich). Die Wartung ist ein kritischer Aspekt zur Optimierung der Verfügbarkeit der Werte.

Falls ein Gerät die Organisation aus Wartungsgründen verlässt, oder entsorgt bzw. zur Wiederverwendung freigegeben wird, darf es keine vertraulichen Daten mehr enthalten. Wenn dies der Fall ist, muss entsprechend der Sensibilität der Daten ein spezielles Verfahren angewendet werden (On-site-Behandlung, Begleitung des Geräts, Zerstörung des Geräts usw.). (KMU: siehe Material-Beschädigungen beim Transport und Recovery-Medien) Siehe auch: SOS - in Reparatur geben (KMU: sieheSachschäden während des Transports und Entsorgung von Datenträgern)

Siehe auch: SOS: in Reparatur geben

Sicherheit von außerhalb des Standorts befindlicher Ausrüstung

Informationsverarbeitungsgeräte, die außerhalb der Organisation (zu Hause, in einem Hotel, bei einem Kunden) verwendet werden, wie etwa Laptops oder Handys, unterliegen ähnlichen Sicherheitsleitlinien. Benutzer müssen sich besonders vor den Risiken eines Diebstahls vorsehen und das Material nie aus den Augen verlieren. Eine spezifische Versicherung muss für diese Art von Geräten abgeschlossen werden. Das Material kann gekennzeichnet werden, um jeden Austausch zu vermeiden. Es bedarf einer Genehmigung durch den Verantwortlichen, bevor ein Gerät außerhalb der Organisation verwendet werden darf. Dieser kann den Gebrauch von Verschlüsselungstools von auf der Festplatte gespeicherten Daten erwägen. (KMU: siehe Sachschäden während des Transports; Entfernen von Eigentum (Diestahl) grundlegende Sicherheitsmaßnahmen für Laptops)

Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln

Jedes Gerät, das entsorgt oder wiederverwendet werden soll, darf keine Daten mehr enthalten; die Festplatten müssen gelöscht werden. Das Betriebssystem kann bei Bedarf wieder installiert werden. Je nach Kritikalität der Daten, sollte eine physische Zerstörung der Geräte ins Auge gefasst werden. (KMU: siehe Entsorgung von Datenträgern).

Das einfache Löschen der Daten ist nicht genug, da die eigentlichen Daten auf der Festplatte verbleiben. Falls die organisationsinternen Kompetenzen nicht genügen, kann ein externer Experte unter Beaufsichtigung eines Mitarbeiter mit der Löschung betraut werden.

Was auch immer passiert, respektieren Sie die Umwelt.

Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms

Befolgen Sie den Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms:

  • Verstauen Sie Papiere und Wechseldatenträger (CD-ROM, Disketten,...); entfernen Sie Dokumente aus dem Drucker, Fax oder Kopierer;

  • schließen sie wichtige Datenträger weg, wenn möglich in einen feuerfesten Safe;

  • falls ein Computer nicht benutzt wird, sollte der Bildschirmschoner aktiviert werden. Nur mit einem Passwort kann man den Computer freischalten und weiterarbeiten. Es wird dringend davon abgeraten, diese Maßnahme zu umgehen;

  • benutzen Sie spezielle Papiertonnen oder Schredder zum Entsorgen von sensiblen Daten.