Objective: Security zones provide physical protection of information assets. The more sensitive the information assets to be processed are the more protective measures are required.
Requirements (must): A security zone concept including the associated protective measures based on the requirements for the handling of information assets is in place:
- Physical conditions (e.g. premises / buildings / spaces) are considered in the definition of security zones,
- This also includes delivery and shipping areas.
The defined protective measures are implemented.
The code of conduct for security zones is known to all persons involved.
Requirements (should): Procedures for allocation and revocation of access rights are established.
Visitor management policies (including registration and escorting of visitors) are defined.
Policies for carrying along and using mobile IT devices and mobile data storage devices (e.g. registration before they are carried along, identification obligations) are defined and implemented.
Network/infrastructure components (own or customer networks) are protected against unauthorized access.
External properties used for storing and processing information assets are considered in the security zone concept (e.g. storage rooms, garages, workshops, test tracks, data processing centres).
Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.
Vierailijat pääsevät turva-alueille ainoastaan luvan kanssa, asiallisesti tunnistettuina ja heidän pääsyoikeutensa on rajattu ainoastaan tarvittaviin tiloihin. Kaikki vierailut kirjataan vierailijalokiin. Lisäksi henkilöstöä on ohjeistettu turvalliseen toimintaan vierailuihin liittyen.
Kyberrikolliset voivat hyödyntää konfigurointivirheitä tai teknisiä haavoittuvuuksia sovelluksissa, palomuureissa tai verkoissa päästäkseen käsiksi tietoihimme.
Organisaation on käytettävä defense-in-depth -tekniikoita verkkohyökkäyksiltä suojautumiseen, niiden havaitsemiseen sekä niihin vastaamiseen. Tekniikoiden pitäisi soveltua niin fyysisten, loogisten kuin hallinnollisten kontrollien valvontaan.
Pääsy alueille, joissa käsitellään tai varastoidaan luottamuksellista tietoa, olisi rajoitettava vain valtuutettuihin yksilöihin toteuttamalla asianmukainen pääsynhallinta, esim. käyttämällä kaksivaiheista todentamismekanismia, kuten kulkukorttia ja tunnuslukua.
Organisaation toimitiloissa ei voi liikkua ilman näkyvää tunnistetta.
Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.
Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:
Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.
Organisaation toimitiloja sekä laitteiden käyttöympäristöjä suojataan aktiivisesti vartioinnilla.
Organisaatio on määritellyt luottamuksellisen tiedon käsittelyalueet sekä toimintasäännöt, joita noudatetaan kaikessa luottamuksellisen tiedon käsittelyalueilla tapahtuvassa toiminnassa.
Toimintasäännöissä tulisi harkita seuraavien seikkojen huomiointia:
Ulkopuolisten tukipalvelujen työntekijöille, kuten huoltotyötä tai siivousta toteuttaville henkiköille, myönnetään pääsyoikeudet vain niille välttämättömille turva-alueille ja luottamuksellisiin tietojenkäsittelypalveluihin, joihin heillä on tarve. Ulkopuolisten tukipalvelujen työntekijöiden pääsyoikeuksia tarkastellaan säännöllisesti.
Turvallisuushenkilöstö käyttää kameravalvontaa luvattoman pääsyn, sabotaasin tai muiten hälytysten todentamiseksi organisaation toimitiloissa.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
