Sicherheitsbereiche sind physische Zonen mit erhöhtem Schutzbedarf, in denen sich besonders schützenswerte Informationen, Systeme oder Infrastrukturen befinden. Arbeiten in diesen Bereichen erfordern besondere organisatorische und technische Maßnahmen, um Risiken durch unbefugten Zugriff, Manipulation oder Fehlverhalten zu minimieren. Dieses Control stellt sicher, dass Tätigkeiten in Sicherheitsbereichen kontrolliert, geregelt und sicher durchgeführt werden.
Zweck des Controls
A 7.6 soll gewährleisten, dass Arbeiten in Sicherheitsbereichen nur durch berechtigte Personen erfolgen und dabei Informationssicherheitsanforderungen eingehalten werden. Ziel ist es, den Schutz sensibler Informationen und Systeme zu gewährleisten und Risiken durch menschliche oder organisatorische Faktoren zu reduzieren.
Anforderungen und Maßnahmen
1. Definition von Sicherheitsbereichen
Organisationen müssen festlegen, welche Bereiche als Sicherheitsbereiche gelten, insbesondere:
Server- und Rechenzentrumsbereiche
Technik- und Netzwerkräume
Archive mit besonders schützenswerten Informationen
Bereiche mit kritischer Infrastruktur
sonstige Zonen mit erhöhtem Schutzbedarf
Die Definition muss dokumentiert und risikoorientiert erfolgen.
2. Festlegung von Arbeits- und Verhaltensregeln
Für Sicherheitsbereiche müssen klare Regeln gelten:
zulässige Tätigkeiten und Arbeitsweisen
Verbot oder Einschränkung bestimmter Handlungen
Umgang mit Informationen, Geräten und Werkzeugen
Regelungen zu privaten Gegenständen
Klare Regeln reduzieren Fehlverhalten.
3. Berechtigung und Zugangsvoraussetzungen
Arbeiten in Sicherheitsbereichen dürfen nur von berechtigten Personen durchgeführt werden:
formale Genehmigung vor Aufnahme der Tätigkeit
Prüfung der Notwendigkeit und Qualifikation
zeitliche Begrenzung der Berechtigung
Dokumentation der Berechtigungen
So wird unbefugter Zugriff verhindert.
4. Begleitung und Überwachung von Tätigkeiten
Tätigkeiten in Sicherheitsbereichen müssen überwacht werden, sofern erforderlich:
Begleitung externer Personen
Aufsicht bei besonders kritischen Tätigkeiten
Nutzung von Überwachungsmaßnahmen im zulässigen Rahmen
Dokumentation der Arbeiten
Dies erhöht Transparenz und Kontrolle.
5. Schutz von Informationen und Systemen während der Arbeit
Während der Arbeiten müssen Informationen und Systeme geschützt werden:
Vermeidung unnötiger Offenlegung
Schutz vor Manipulation oder Beschädigung
sichere Nutzung von Werkzeugen und Geräten
Sicherstellung der Integrität nach Abschluss der Arbeiten
So werden Risiken während der Tätigkeit minimiert.
6. Umgang mit externem Personal
Externe Personen müssen besonderen Regelungen unterliegen:
vertragliche Verpflichtung zur Vertraulichkeit
klare Aufgaben- und Zeitvorgaben
Einschränkung von Zugriffs- und Handlungsmöglichkeiten
Dokumentation der Anwesenheit
Dies reduziert Risiken durch Dritte.
7. Beendigung und Abschluss von Arbeiten
Nach Abschluss der Arbeiten müssen Maßnahmen erfolgen:
Rückgabe von Zugangs- und Arbeitsmitteln
Überprüfung des Arbeitsbereichs
Entzug temporärer Berechtigungen
Dokumentation des Abschlusses
So wird ein sicherer Zustand wiederhergestellt.
8. Dokumentation und Überprüfung
Arbeiten in Sicherheitsbereichen müssen dokumentiert und überprüft werden:
Nachweise über Berechtigungen und Tätigkeiten
Bewertung von Abweichungen oder Vorfällen
Integration von Erkenntnissen in Verbesserungsmaßnahmen
Überprüfung der Regelungen im Rahmen von Audits
Dies unterstützt kontinuierliche Verbesserung.
Zusammenfassung
A 7.6 fordert, dass Arbeiten in Sicherheitsbereichen systematisch geregelt und überwacht werden. Durch klare Definition von Sicherheitsbereichen, verbindliche Arbeits- und Verhaltensregeln, kontrollierte Berechtigungen, Begleitung externer Personen sowie sorgfältige Dokumentation wird sichergestellt, dass sensible Informationen und Systeme auch während laufender Tätigkeiten wirksam geschützt sind. Das Control ist ein wesentlicher Bestandteil der physischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
