Speichermedien wie Festplatten, USB-Sticks, externe Datenträger oder papierbasierte Medien werden zur Speicherung, Verarbeitung und Übertragung von Informationen genutzt. Unsachgemäßer Umgang mit Speichermedien kann zu Verlust, Diebstahl, unbefugter Offenlegung oder Manipulation von Informationen führen. Dieses Control stellt sicher, dass Speichermedien über ihren gesamten Lebenszyklus hinweg angemessen geschützt und verwaltet werden.
Zweck des Controls
A 7.10 soll gewährleisten, dass Speichermedien sicher genutzt, gelagert, transportiert und entsorgt werden. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen auf Speichermedien zu schützen und Risiken durch unsachgemäßen Umgang oder unkontrollierte Nutzung zu minimieren.
Anforderungen und Maßnahmen
1. Identifikation und Klassifizierung von Speichermedien
Organisationen müssen Speichermedien identifizieren und entsprechend klassifizieren, insbesondere:
digitale Speichermedien (z. B. Festplatten, USB-Sticks, SSDs)
austauschbare oder mobile Datenträger
Backup- und Archivmedien
papierbasierte Speichermedien
Die Klassifizierung muss sich am Schutzbedarf der enthaltenen Informationen orientieren.
2. Regelung der Nutzung von Speichermedien
Die Nutzung von Speichermedien muss klar geregelt sein:
Einsatz nur genehmigter Speichermedien
Einschränkung oder Verbot privater Datenträger
Vorgaben zur Speicherung sensibler Informationen
Einhaltung interner Richtlinien
So wird unkontrollierte Nutzung vermieden.
3. Sichere Aufbewahrung von Speichermedien
Speichermedien müssen sicher aufbewahrt werden:
Schutz vor unbefugtem Zugriff
sichere Lagerung außerhalb der Nutzung
Berücksichtigung physischer und umweltbedingter Risiken
Kennzeichnung besonders schützenswerter Medien
Dies reduziert Risiken von Verlust oder Diebstahl.
4. Schutz während Transport und Nutzung
Beim Transport und der Nutzung von Speichermedien müssen Schutzmaßnahmen greifen:
sichere Transportbehältnisse
Vermeidung unbeaufsichtigter Nutzung
Schutz vor Einsichtnahme oder Manipulation
Berücksichtigung mobiler oder externer Nutzung
So wird die Sicherheit auch außerhalb der Räumlichkeiten gewährleistet.
5. Sicherstellung der Integrität von Daten
Die Integrität der auf Speichermedien gespeicherten Informationen muss geschützt werden:
Schutz vor unbefugter Änderung oder Löschung
Nutzung geeigneter technischer Maßnahmen
Kontrolle von Schreib- und Zugriffsrechten
regelmäßige Überprüfung der Medien
Dies stellt die Verlässlichkeit der Daten sicher.
6. Wiederverwendung und Weitergabe von Speichermedien
Vor Wiederverwendung oder Weitergabe müssen Speichermedien sicher behandelt werden:
vollständige und sichere Löschung der Daten
Überprüfung der Wirksamkeit der Löschung
Dokumentation der Maßnahmen
Vermeidung unbeabsichtigter Offenlegung
So wird ein Datenabfluss verhindert.
7. Sichere Entsorgung von Speichermedien
Nicht mehr benötigte Speichermedien müssen sicher entsorgt werden:
physische Vernichtung oder sichere Löschung
Einsatz geeigneter Entsorgungsverfahren
Berücksichtigung gesetzlicher und regulatorischer Vorgaben
Dokumentation der Entsorgung
Dies reduziert Risiken durch Altmedien.
8. Sensibilisierung und Überprüfung
Mitarbeitende müssen für den Umgang mit Speichermedien sensibilisiert werden:
Schulungen und Awareness-Maßnahmen
klare Verhaltensregeln
Überprüfung der Einhaltung der Vorgaben
Integration in Audits und Reviews
So wird der sichere Umgang nachhaltig verankert.
Zusammenfassung
A 7.10 fordert, dass Organisationen Speichermedien über ihren gesamten Lebenszyklus hinweg sicher verwalten. Durch Identifikation und Klassifizierung, klare Nutzungsregeln, sichere Aufbewahrung, Schutz bei Transport und Nutzung, kontrollierte Wiederverwendung sowie sichere Entsorgung wird sichergestellt, dass Informationen auf Speichermedien vor Verlust, Manipulation oder unbefugter Offenlegung geschützt sind. Das Control ist ein zentraler Bestandteil der physischen Informationssicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
