Die physikalische Sicherheit der Organisation ist der erste Sicherheitsaspekt, der umgesetzt werden muss. Denn was macht es für einen Sinn, sich mit komplizierten Passwörtern oder Anwendungen zu schützen, wenn eine beliebige Person sich Zugang zu einem Vitalwert beschaffen kann, um diesen zu stehlen, zu verändern oder zu zerstören? (KMU: siehe Eindringen in Einrichtungen und Einbringen oder Entfernen von Material und Entsorgung von Datenträgern und Entfernen von Eigentum (Diestahl)).

Seien Sie sich immer des reellen Werts einer Ressource bewusst (siehe Klassifizierung), um einen angemessenen Schutz zu planen.

Alle als vital oder wichtig identifizierten Werte müssen in einem gesicherten Ort der Organisation aufbewahrt oder benutzt werden. Diese Orte bilden die Sicherheitsbereiche.

Wenden Sie die Sicherheitsmaßnahmen an für:

• Computer

• Laptops

• Fileserver

• Mail-Server

• das Netzwerk

• das interne WiFi-Netz

• WiFi-Netz für Kunden

• Gebäude schützen

Organisatorische Maßnahmen im direkten Zusammenhang:

Technische Maßnahmen

Die physische Sicherheit

Die Lokale der Sicherheitszone müssen:

• Gegen den Zutritt unautorisierter Personen und erst recht organisationsfremder Personen geschützt sein. (KMU : siehe: Eindringen in Einrichtungen und Einbringen oder Entfernen von Material und Entsorgung von Datenträgern und Diebstahl) Eine einzige Tür ermöglicht den Zutritt und die Zugangsberechtigung wird vom EDV-Verantwortlichen erteilt.

• Gegen Feuer geschützt sein. Feuerschutztüren sowie Brandmelder müssen installiert werden. (KMU: siehe Feuer)

Des Weiteren müssen folgende Regeln beachtet werden:

• Die Schlüssel dürfen auf gar keinen Fall frei zugänglich sein.

• Büromaschinen wie Kopierer oder Fax müssen sich innerhalb eines Sicherheitsbereichs befinden, aber nicht in direkter Nähe der kritischen Werte, um nicht die Zugriffsanfragen zu diesem Bereich unnötig zu erhöhen.

• Türen und Fenster sollen gesperrt werden, insbesondere außerhalb der Geschäftszeiten.

• Die Zugänge, insbesondere zum Erdgeschoss, müssen gegen Eindringen geschützt sein, sei es durch Gitter oder elektronische Erfassungssysteme, welche mit einem Alarm verbunden sind.

• Gefährliche oder leicht brennbare Stoffe (dies schließt Pappe, Papier, Mülltonnen und Reinigungsmittel ein) sollten nicht in der Nähe vitaler oder wichtiger Werte gelagert werden.

Die Stromversorgung vitaler Werte muss gesichert werden:

• durch die Verwendung von zwei verschiedenen Stromquellen (2 Sicherungen, 2 Kreisläufe), falls die Geräte über zwei Stromanschlüsse verfügen (KMU: siehe Unterbrechung von Leistungen und Stromausfall und Diskontinuität von Dienstleistern);

• durch eine unterbrechungsfreie Stromversorgung, welche kurze Strompannen überbrücken kann und zwar lange genug, um alle Geräte ordnungsgemäß herunterfahren zu können;

• durch einem Generator.

Für alle als vital oder wichtig klassifizierten Werte muss ein Wartungsvertrag mit einer den Sicherheitsbedürfnissen in puncto Verfügbarkeit entsprechenden maximalen Interventions- oder Ersatzzeit abgeschlossen werden. (KMU: siehe Ungültige oder fehlende Lizenz und Administration unmöglich). Die Wartung ist ein kritischer Aspekt zur Optimierung der Verfügbarkeit der Werte.

Falls ein Gerät die Organisation aus Wartungsgründen verlässt, oder entsorgt bzw. zur Wiederverwendung freigegeben wird, darf es keine vertraulichen Daten mehr enthalten. Wenn dies der Fall ist, muss entsprechend der Sensibilität der Daten ein spezielles Verfahren angewendet werden (On-site-Behandlung, Begleitung des Geräts, Zerstörung des Geräts usw.). (KMU: siehe Material-Beschädigungen beim Transport und Recovery-Medien) Siehe auch: SOS - in Reparatur geben (KMU: sieheSachschäden während des Transports und Entsorgung von Datenträgern)

Siehe auch: SOS: in Reparatur geben

Informationsverarbeitungsgeräte, die außerhalb der Organisation (zu Hause, in einem Hotel, bei einem Kunden) verwendet werden, wie etwa Laptops oder Handys, unterliegen ähnlichen Sicherheitsleitlinien. Benutzer müssen sich besonders vor den Risiken eines Diebstahls vorsehen und das Material nie aus den Augen verlieren. Eine spezifische Versicherung muss für diese Art von Geräten abgeschlossen werden. Das Material kann gekennzeichnet werden, um jeden Austausch zu vermeiden. Es bedarf einer Genehmigung durch den Verantwortlichen, bevor ein Gerät außerhalb der Organisation verwendet werden darf. Dieser kann den Gebrauch von Verschlüsselungstools von auf der Festplatte gespeicherten Daten erwägen. (KMU: siehe Sachschäden während des Transports; Entfernen von Eigentum (Diestahl) grundlegende Sicherheitsmaßnahmen für Laptops)

Jedes Gerät, das entsorgt oder wiederverwendet werden soll, darf keine Daten mehr enthalten; die Festplatten müssen gelöscht werden. Das Betriebssystem kann bei Bedarf wieder installiert werden. Je nach Kritikalität der Daten, sollte eine physische Zerstörung der Geräte ins Auge gefasst werden. (KMU: siehe Entsorgung von Datenträgern).

Das einfache Löschen der Daten ist nicht genug, da die eigentlichen Daten auf der Festplatte verbleiben. Falls die organisationsinternen Kompetenzen nicht genügen, kann ein externer Experte unter Beaufsichtigung eines Mitarbeiter mit der Löschung betraut werden.

Was auch immer passiert, respektieren Sie die Umwelt.

Befolgen Sie den Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms:

• Verstauen Sie Papiere und Wechseldatenträger (CD-ROM, Disketten,...); entfernen Sie Dokumente aus dem Drucker, Fax oder Kopierer;

• schließen sie wichtige Datenträger weg, wenn möglich in einen feuerfesten Safe;

• falls ein Computer nicht benutzt wird, sollte der Bildschirmschoner aktiviert werden. Nur mit einem Passwort kann man den Computer freischalten und weiterarbeiten. Es wird dringend davon abgeraten, diese Maßnahme zu umgehen;

• benutzen Sie spezielle Papiertonnen oder Schredder zum Entsorgen von sensiblen Daten.