Nội dung bài viết về Giám sát an ninh vật lý sẽ đượ
Tăng cường bảo mật vật lý với việc tuân thủ ISO 27001:2022
Trong trường hợp cấp quyền truy cập trái phép vào các khu vực vật lý hạn chế như phòng máy chủ và phòng thiết bị CNTT, tài sản thông tin có thể bị xâm phạm về mặt bảo mật, tính khả dụng, tính toàn vẹn và bảo mật.
Trong Phụ lục A 7.4 của ISO 27001:2022, những kẻ xâm nhập bị ngăn chặn không được phép vào các cơ sở vật chất nhạy cảm khi chưa được phép.
Mục đích của Phụ lục A 7.4 của ISO 27001:2022?
Phụ lục A Kiểm soát 7.4 yêu cầu các tổ chức triển khai các công cụ giám sát phù hợp. Điều này nhằm phát hiện và ngăn chặn những kẻ xâm nhập bên ngoài và bên trong xâm nhập vào các khu vực vật lý bị hạn chế mà không được phép.
Các công cụ giám sát có khả năng theo dõi và ghi lại các khu vực hạn chế ra vào giúp bảo vệ chống lại các rủi ro phát sinh từ việc ra vào trái phép các khu vực hạn chế, bao gồm nhưng không giới hạn ở:
- Trộm cắp dữ liệu.
- Sự mất mát tài sản thông tin.
- Thiệt hại về tài chính.
- Xóa bỏ các tài sản phương tiện di động cho mục đích xấu.
- Nhiễm phần mềm độc hại vào tài sản CNTT.
- Các cuộc tấn công được thực hiện bởi kẻ xâm nhập sử dụng phần mềm tống tiền.
Ai là người sở hữu Phụ lục A 7.4?
Theo ISO 27001 Phụ lục A Kiểm soát 7.4, việc tuân thủ kiểm soát này đòi hỏi phải xác định tất cả các khu vực hạn chế. Nó cũng đòi hỏi phải xác định các công cụ giám sát phù hợp với khu vực vật lý cụ thể cần giám sát.
Do đó, giám đốc an ninh phải chịu trách nhiệm triển khai, bảo trì, quản lý và đánh giá các hệ thống giám sát một cách hiệu quả.
Hướng dẫn về cách tuân thủ ISO 27001:2022 Phụ lục A 7.4
Theo Phụ lục A Kiểm soát 7.4 của ISO 27001, các tổ chức phải thực hiện ba bước sau để phát hiện và ngăn chặn truy cập trái phép vào các cơ sở lưu trữ tài sản thông tin quan trọng và ngăn chặn chúng bị xâm phạm.
Lắp đặt hệ thống giám sát video để theo dõi tình hình
Để liên tục giám sát việc ra vào các khu vực hạn chế lưu trữ các tài sản thông tin quan trọng, một tổ chức nên có hệ thống giám sát video, chẳng hạn như camera CCTV. Đây là một ví dụ về hệ thống như vậy. Hơn nữa, điều quan trọng là hệ thống giám sát này phải ghi lại tất cả các lần ra vào tại cơ sở.
Cài đặt máy dò để kích hoạt báo động
Khả năng kích hoạt báo động khi có kẻ đột nhập vào cơ sở vật chất cho phép nhóm an ninh phản ứng nhanh với bất kỳ vi phạm an ninh nào. Đây cũng có thể là một cách hiệu quả để ngăn chặn kẻ đột nhập vào nhà bạn.
Các tổ chức nên mua các thiết bị phát hiện chuyển động, âm thanh và tiếp xúc để cảnh báo khi phát hiện hoạt động bất thường trong khuôn viên của tổ chức.
Điều này bao gồm nhưng không giới hạn ở:
- Nên lắp đặt một máy dò tiếp xúc trong môi trường. Khi một vật thể hoặc cá nhân không xác định tiếp xúc với một vật thể cụ thể hoặc phá vỡ tiếp xúc với một vật thể nhất định, cần kích hoạt báo động. Ví dụ, có thể cấu hình máy dò tiếp xúc để kích hoạt báo động khi máy dò tiếp xúc tiếp xúc với bất kỳ cửa sổ hoặc cửa ra vào nào.
- Các cảm biến chuyển động có thể được cấu hình để cảnh báo bạn nếu chúng phát hiện chuyển động trong phạm vi quan sát của một vật thể di chuyển trong phạm vi quan sát của chúng.
- Một máy dò âm thanh, chẳng hạn như máy dò kính vỡ, có thể được kích hoạt khi phát hiện ra âm thanh, giúp ngăn ngừa tai nạn xe hơi.
Cấu hình báo động cho tất cả các cơ sở nội bộ
Điều bắt buộc là phải đảm bảo rằng hệ thống báo động đã được cấu hình phù hợp. Điều này sẽ đảm bảo rằng tất cả các khu vực nhạy cảm, bao gồm tất cả các cửa ra vào bên ngoài, cửa sổ, khu vực không có người ở và phòng máy tính, đều nằm trong phạm vi của hệ thống báo động. Điều này sẽ ngăn chặn mọi lỗ hổng bị khai thác.
Ví dụ, kẻ xâm nhập có thể sử dụng khu vực hút thuốc hoặc lối vào phòng tập thể dục làm mục tiêu tấn công nếu chúng không được giám sát.
Các loại hệ thống giám sát có sẵn
Mặc dù Phụ lục A Kiểm soát 7.4 của ISO 27001 không bắt buộc các tổ chức phải chọn một hệ thống giám sát nào đó, nhưng nó liệt kê một số công cụ giám sát có thể được sử dụng riêng biệt hoặc kết hợp với các công cụ khác, bao gồm:
- Camera giám sát.
- Nhân viên bảo vệ.
- Hệ thống báo động xâm nhập.
- Phần mềm quản lý an ninh vật lý.
ISO 27001:2022 Phụ lục A 7.4 Hướng dẫn bổ sung
Những cân nhắc sau đây cần được xem xét khi triển khai hệ thống giám sát an ninh vật lý theo Phụ lục A Kiểm soát 7.4:
- Việc duy trì tính bảo mật về thiết kế và hoạt động bên trong của hệ thống giám sát là điều cần thiết.
- Để loại bỏ nguy cơ vô hiệu hóa từ xa các hệ thống giám sát của các bên có ác ý, cần triển khai các biện pháp thích hợp. Các biện pháp này cần được triển khai để ngăn chặn việc tiết lộ các hoạt động giám sát và nguồn cấp dữ liệu video cho các bên không được ủy quyền.
- Điều cần thiết là bảng điều khiển báo động phải được đặt ở khu vực được trang bị báo động. Ngoài ra, điều cần thiết là người kích hoạt báo động phải có lối ra an toàn và dễ dàng để thoát khỏi khu vực đó.
- Nên sử dụng máy dò chống phá hoại và bảng điều khiển báo động.
- Cá nhân chỉ nên được theo dõi và ghi lại bằng hệ thống giám sát cho mục đích hợp pháp. Việc theo dõi và ghi lại này phải tuân thủ tất cả các luật và quy định hiện hành, bao gồm luật bảo vệ dữ liệu. Ví dụ, GDPR của EU và Vương quốc Anh có thể yêu cầu các tổ chức tiến hành đánh giá tác động trước khi triển khai camera CCTV. Hơn nữa, việc ghi lại các nguồn cấp dữ liệu video phải tuân thủ thời hạn lưu giữ dữ liệu do luật pháp địa phương hiện hành thiết lập.
Những thay đổi so với ISO 27001:2013 là gì?
Cần lưu ý rằng biện pháp kiểm soát 7.4 là biện pháp kiểm soát hoàn toàn mới trong Phụ lục A không được đề cập trong ISO 27001:2013.
