N.b. ik splits m'n reactie op over 2 posts vanwege de melding dat m'n reactie teveel URL's bevat...

Kijk bijv. eens hier: http://www.sans.org/reading_room/whitepapers/physcial/ (en de parent page). Ook handig is de ISO 17799:2005 (gelijkwaardig aan ISO27002) checklist die je hier (met nog ander leesvoer, waaronder een safety checklist) kunt vinden: http://www.sans.org/score/checklists.php.

Het is wat zoeken maar misschien kun je hier ook het e.e.a. vinden: http://www.pvib.nl/kenniscentrum. Bijv. in http://www.pvib.nl/kenniscentrum&collectionId=6391846 staat "Beveiliging_SLA.pdf", welliswaar uit 2001, maar die bevat redelijk wat aandachtspunten op het grensvlak tussen ICT en fysieke beveiliging.

Ook zeker de moeite waard lijkt me (zie http://www.security.nl/artikel/23434/1/Gratis_boek_informatiebeveiliging_nu_te_downloaden.html voor een link naar een online wiki-versie en een PDF).

Op http://www.security.nl/artikel/35106/1/Vrij_te_gebruiken_CISSP_summary.html vind je een verwijzing naar een handige CISSP cheatsheet waarbij "Domain 10" (Physical Security) zinvolle aandachtspunten bevat.

http://blog.security4all.be/2008/05/nist-800-39-managing-risk-from.html herinnerde me aan de bekende NIST documenten, o.a. SP 800-39. N.b. de link waar blog.security4all.be naar verwijst is verouderd, de laatste versie van 800-39 (SP800-39-final.pdf van maart 2011), en vele andere docs, vind je in deze pagina: http://csrc.nist.gov/publications/PubsSPs.html.

Wellicht staat hier nog wat leuks bij voor je: http://www.quicklycode.com/tag/security (bron is ook interessant: http://zeltser.com/cheat-sheets/).

Mogelijk kom je in aanmerking voor het bestellen van het gratis materiaal (o.a. DVD met films tbv security awareness: uitsluitend non-ICT) van de workshop "Zeker van je zaak", zie http://www.nctb.nl/Informatie_voor/bedrijven/Zeker_van_je_Zaak/ (onder promotiemateriaal vind je een trailer van zo'n filmpje).

Ten slotte is ook hier vast wel wat te vinden: http://iso27001security.com/html/iso27k_toolkit.html.

Succes!

Wellicht ook de moeite waard: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b02/b02.html.

In het Duits, maar staat per type ruimte een overzicht van veel voorkomende bedreigingen en tegenmaatregelen

Dank voor de reacties. Kan ik vast en zeker wat mee!

"fysieke beveiliging zaken blijkt dat een stuk lastiger"


een risico analyse uitvoeren op fysieke beveiliging is een stuk makkelijker als IT-beveiliging ....

maar waar voer je een analyse op uit ? de lokatie of de processen die op die lokatie plaats vinden ?

Dat is de hamvraag: Er zijn maatregelen echter de vraag is of deze afdoende zijn. De processen / informatie t.b.v. die processen is 1 ding, maar bijv het welzijn van de medewerkers is zeker ook van belang (lees een onbevoegde loopt het t gebouw in en steelt een handtas) Dat heeft niet direct iets met informatie te maken.

Zijn de vragen die je stelt niet onderdeel van de scopebepaling van de risico-analyse? Ik neem aan dat je een lijstje hebt met zaken waar je je op gaat richten. Die classificatie bevat impliciet je assets al. Een voorbeeld van een classificatie kan zijn:

- Sociale veiligheid (verlichting, naburige panden, goed zicht etc)
- Ligging (buurt, criminaliteitscijfers, locatie t.o.v. politie en brandweer, rampgevoeligheid door b.v zware industrie - denk aan de brand bij Chemie-Pack)
- Inbraakmeldingen en -processen
- Toegangscontroles (tourniquets, bezoekersbegeleiding, bezoekeraanmelding)
- CCTV (omzeiling, support, locatie meldkamer etc)
- Diefstal preventie (kluizen, sloten, bewaking, detectiemelders etc)
- Brandpreventie (hotline naar brandweer, processen, oefeningen, communicatieapparatuur etc)
- Fysieke layout
- Security devices
- ...

Al die dingen geven vaak al aan waar je moet kijken. En weet je het niet zeker: vraag het aan de klant!! Niets zo knullig om eeen rapport op te leveren waar hij achteraf niets aan heeft, doordat jullie op een andere golflengte zaten of de opdracht anders interpreteerden.

Ook dat heeft de maken met informatiebeveiliging, je hebt namelijk drie pijlkers; beschikbaarheid, integriteit en Vertrouwelijkheid. Wanneer een onbevoegde naar binnen kan lopen, is de integriteit van de ruimte geschonden door een onbevoegde.

En juist de risico analyse moet uitwijzen of de getroffen maatregelen de risico's beperken tot op een acceptabel niveau. De doeltreffendheid van de maatregelen kun je meten in evaluaties onder bestendigdheidstesten.

als je een proces probeert te beschermen en dat gebouw is een essentieel onderdeel van het proces, hoort de bescherming van het gebouw ook tot de bescherming van het proces!

Vertel je klant maar dat het inhuren van onbekwamen ook een risico met zich meebrengt.

Predjuh, ik neem aan dat je bedoelt, Beschikbaarheid, Integriteit en Vertrouwelijkheid?
Dat zijn namelijk de betrouwbaarheidsaspecten, betrouwbaarheid zelf zit daar niet in omdat het een containerbegrip is.

Zal ik zeker doen!

Yep, bedankt voor de correctie. Ik was even in de war omdat in sommige sferen niet gesproken wordt over vertrouwelijkheid maar betrouwbaarheid, maar vertrouwlijkheid is natuurlijk de enige onmiskenbare definitie....

ontopic: weet je trouwen al wat voor een analyse je wilt uitvoeren? kwanitatieve of een kwalitatieve analyse ?