ISO 27002, Kontroll 7.4 - Fysisk säkerhetsövervakning

ISO 27002:2022 – Kontroll 7.4 – Fysisk säkerhetsövervakning

Obehörig åtkomst till begränsade fysiska områden som serverrum och IT-utrustningsrum kan resultera i förlust av konfidentialitet, tillgänglighet, integritet och säkerhet för informationstillgångar. Kontroll 7.4 handlar om implementering av lämpliga övervakningssystem för att förhindra obehörig åtkomst av inkräktare till känsliga fysiska lokaler.

Syfte med kontroll 7.4

Kontroll 7.4 är en ny typ av kontroll som kräver att organisationer upptäcker och förebygger externa och interna inkräktare som tar sig in i begränsade fysiska områden utan tillstånd genom att införa lämpliga övervakningsverktyg.

Dessa övervakningsverktyg övervakar och registrerar ständigt åtkomstbegränsade områden och skyddar organisationen mot risker som kan uppstå till följd av obehörig åtkomst, inklusive men inte begränsat till:

Stöld av känsliga uppgifter.
Förlust av informationstillgångar.
Ekonomisk skada.
Stöld av flyttbara mediatillgångar för skadlig användning.
Infektion av IT-tillgångar med skadlig programvara.
Ransomware-attacker som kan utföras av en inkräktare.

Attributtabell med kontroller 7.4

Kontroll 7.4 är detektiv och förebyggande till sin natur. Det gör det möjligt för organisationer att upprätthålla integritet, konfidentialitet, tillgänglighet och säkerhet för känsliga data och kritiska informationstillgångar genom att kontinuerligt övervaka tillgången till begränsade lokaler.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Skydda	#Fysisk säkerhet	#Skydd
#Detektiv	#Integritet	#Upptäcka, detektera		#Försvar
	#Tillgänglighet

Äganderätt till kontroll 7.4

Överensstämmelse med kontroll 7.4 kräver identifiering av alla restriktiva områden och fastställande av övervakningsverktyg som är lämpliga för det relevanta fysiska området.

Därför bör säkerhetschefer vara ansvariga för korrekt implementering, underhåll, förvaltning och översyn av övervakningssystem.

ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG

Allmän vägledning om hur man följer

Kontroll 7.4 kräver att organisationer implementerar dessa tre steg för att upptäcka och förhindra obehörig åtkomst till anläggningar som är värd för viktiga informationstillgångar:

Steg 1: Sätt på plats ett videoövervakningssystem

Organisationer bör ha ett videoövervakningssystem, ett exempel är en CCTV-kamera, för att kontinuerligt övervaka åtkomst till begränsade områden som är värd för viktiga informationstillgångar. Dessutom bör detta övervakningssystem föra ett register över alla inträden i de fysiska lokalerna.

Steg 2: Installera detektorer för att utlösa ett larm

Att utlösa ett larm när en inkräktare kommer åt fysiska lokaler gör det möjligt för säkerhetsteamet att reagera snabbt på säkerhetsöverträdelser. Dessutom kan det också vara effektivt för att avskräcka inkräktaren.

Organisationer bör använda rörelse-, ljud- och kontaktdetektorer som utlöser ett larm när en ovanlig aktivitet i de fysiska lokalerna upptäcks.

I synnerhet:

En kontaktdetektor bör installeras och den ska utlösa ett larm när ett okänt föremål/person kommer i kontakt med ett föremål eller bryter kontakten med ett föremål. Till exempel kan en kontaktdetektor konfigureras för att utlösa ett larm när ett fönster eller en dörr kontaktas.
Rörelsedetektorer kan programmeras för att starta ett larm när ett objekts rörelse detekteras inom deras synfält.
Ljuddetektorer såsom krossglasdetektorer kan aktiveras när ett ljud upptäcks.
Steg 3: Konfiguration av larm för att skydda alla interna lokaler

Det tredje efterlevnadssteget kräver konfigurering av larmsystemet för att säkerställa att alla känsliga områden, inklusive alla ytterdörrar, fönster, obemannade områden och datorrum ligger inom larmsystemets räckvidd så att det inte finns någon sårbarhet som kan utnyttjas.

Till exempel, om lokaler som rökområden eller till och med gymentréer inte övervakas, kan dessa användas som attackvektorer av inkräktare.

Typer av övervakningssystem

Medan Control 7.4 inte anger att organisationer måste välja och implementera ett specifikt övervakningssystem framför andra alternativ, listar den en rad övervakningsverktyg som kan användas separat eller i kombination med andra:

CCTV-kameror
Säkerhetsvakter
Trygghetslarm för inkräktare
Mjukvaruverktyg för fysiska säkerhetshantering

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo

Kompletterande vägledning om kontroll 7.4

Kontroll 7.4 understryker att organisationer bör ta hänsyn till följande när de implementerar system för fysisk säkerhetsövervakning:

Övervakningssystemens utformning och inre funktion bör hållas konfidentiella.
Lämplig åtgärder bör vidtas för att förhindra avslöjande av övervakning aktiviteter och videoflöden till obehöriga parter och för att eliminera risken för fjärrinaktivering av övervakningssystemen av illvilliga parter.
Larmcentralerna bör placeras i larmzon och det ska finnas en säker och enkel utgångsväg för den som utlöser larmet.
Alla detektorer som används och de larmcentraler som används bör vara manipulationssäkra.
Övervakning och registrering av individer via övervakningssystem, även när det är för legitima ändamål, bör vara i överensstämmelse med alla tillämpliga lagar och förordningar, särskilt dataskyddslagar. Till exempel EU och Storbritannien GDPR kan kräva att organisationer genomför en konsekvensbedömning innan CCTV-kameror sätts in. Vidare bör inspelningen av videoflöden följa de datalagringsperioder som anges av tillämpliga lokala lagar.

Ändringar och skillnader från ISO 27002:2013

Kontroll 7.4 är a ny kontroll som inte togs upp i ISO 27002:2013 i vilken egenskap som helst.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	NYA	Hot intelligens
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.30	NYA	ICT-beredskap för kontinuitet i verksamheten
7.4	NYA	Fysisk säkerhetsövervakning
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.16	NYA	Övervakningsaktiviteter
8.23	NYA	Webbfiltrering
8.28	NYA	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	NYA	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	5.30	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	NYA	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	NYA	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	NYA	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	NYA	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Ocuco-landskapet ISMS.online-plattform tillhandahåller en rad kraftfulla verktyg som förenklar hur du kan dokumentera, implementera, underhålla och förbättra ditt ledningssystem för informationssäkerhet (ISMS) och uppnå överensstämmelse med ISO 27002.

Det omfattande verktygspaketet ger dig en central plats där du kan skapa en skräddarsydd uppsättning policyer och procedurer som är anpassade till din organisations specifika risker och behov. Det möjliggör också samarbete mellan såväl kollegor som externa partners som leverantörer eller tredjepartsrevisorer.

Hör av dig idag för att boka en demo.

Vi är ledande inom vårt område