Security Audit für KMU – Teil 3

Beispiel-Audit – Zutrittskontrolle nach ISO 27001 und IT-Grundschutz

09.12.2010 | Autor / Redakteur: Dr. Markus a Campo / Stephan Augsten

Potenzial für Verbesserungen gibt es überall, auch bei der Zutrittssicherheit fürs Rechenzentrum.
Potenzial für Verbesserungen gibt es überall, auch bei der Zutrittssicherheit fürs Rechenzentrum.

Mit den Formularen, die zusammen mit den BSI-Grundschutzkatalogen ausgeliefert werden, lässt sich ein Audit nach ISO 27001 vorbereiten. Dies wollen wir anhand des Beispiels der Zutrittskontrolle Schritt für Schritt durchspielen, da sich dieser Unterpunkt eines Audits gut darstellen lässt.

Das Maßnahmenziel für Sicherheitsbereiche nach ISO 27001 lautet: „Schutz vor unerlaubtem Zutritt zu und Beschädigung und Störung von Organisationsinfrastruktur und der Organisation gehörenden Informationen“ Dieses Ziel wird durch insgesamt sechs Maßnahmen erreicht, bei denen außer der Zutrittskontrolle unter anderem noch Sicherheitszonen sowie die Sicherung von Büros, Räumen und Einrichtungen aufgeführt sind.

Vorbereitung von Audit-Katalogen

Die für die Absicherung der Zutrittskontrolle zuständige ISO-Maßnahme lautet: „Sicherheitsbereiche müssen durch angemessene Zutrittskontrollen geschützt sein, um sicherzustellen, dass nur autorisierten Mitarbeitern Zutritt gewährt wird.“

In unserem Beispiel soll es um das Audit eines normalen Rechenzentrums gehen. Dabei existiert ein zweistufiges Zutrittssystem, bei dem die erste Stufe den Zutritt zum Flur der IT-Abteilung und die zweite Stufe den Zutritt ins RZ erlaubt.

In den Grundschutzkatalogen gibt es in den Katalogen B 1.1 Organisation und B 2.9 Rechenzentrum einige Maßnahmen, die sich mit dieser Fragestellung beschäftigen:

  • M 2.4 Regelungen für Wartungs- und Reparaturarbeiten
  • M 2.6 Vergabe von Zutrittsberechtigungen
  • M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen
  • M 1.15 Geschlossene Fenster und Türen
  • M 1.23 Abgeschlossene Türen
  • M 1.73 Schutz eines Rechenzentrums gegen unbefugten Zutritt

Diese Daten werden in eine Excel-Tabelle eingetragen. Nun folgt die Überlegung, welche Zusatzspalten in die Tabelle eingebaut werden. In der Praxis haben sich die folgenden Spalten bewährt:

  • In die Spalte „entbehrlich“ wird ein Kreuz gemacht, wenn im jeweils aktuellen Audit diese Maßnahme nicht geprüft werden soll.
  • In die Spalte „Prüfungstyp“ wird eingetragen, wie die Prüfung erfolgt. In den meisten Fällen sind das Interviews, Begehungen oder Reviews von Dokumenten. In Ausnahmefällen können das auch technische Prüfungen wie Security-Scans oder Penetrationstests sein.
  • In die Spalte „Erfüllungsgrad“ wird nach erfolgter Prüfung ein Wert zwischen 0% und 100% eingetragen, je nachdem, wie gut die geprüfte Maßnahme nach Meinung des Auditors umgesetzt wurde.
  • Die Spalte „verantwortlich“ enthält den beim Audit anwesenden Ansprechpartner aus der Fachabteilung.
  • In die Spalte „Bemerkungen“ schließlich werden Stichpunkte des Audits eingetragen.

Zusätzlich enthält die Excel-Tabelle noch den Namen des Auditors sowie das Datum des Audits. Wie die fertige Tabelle für die RZ-Zutrittskontrolle aussieht, zeigt das Beispiel in der Bildergalerie. Die Tabelle für den Zutritt zum Flur der IT-Abteilung sieht fast identisch aus, einzig die Zeile „M 1.73 Schutz eines Rechenzentrums gegen unbefugten Zutritt“ fehlt hier.

Inhalt

  • Seite 1: Vorbereitung von Audit-Katalogen
  • Seite 2: Prüfungstyp und Prüfungsfragen
  • Seite 3: Auswertung des Audits

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2048744 / Standards)