Bu makalede bir önceki makalem ISO 27001 Bilgi Güvenliğinde Fiziksel ve Çevresel Güvenlik-1 adlı makalenin devamı olan bu makalede ISO 27001 standardının Fiziksel güvenlik tarafında teçhizat ile ilgili ne gibi kontrollere değindiğine dair bilgiler vermeye çalıştım. Her zaman dediğim gibi bu yazdığım maddeler ile ilgili kontrol sayılarının daha da arttırılabileceğini unutmamanız gerekmektedir. Sonuçta teknoloji sürekli olarak ilerlemekte ve standartlar asgari şartları içermektedir. Bu şartların üzerine çıkmak sizlerin elindedir. Şimdiden iyi okumalar diliyorum…
Teçhizat Yerleştirme ve Koruma:
Teçhizat yerleştirilirken çalışma alanındaki yetkisiz veya gereksiz erişimi minimuma indirecek şekilde yerleştirilmelidir.
Oluşabilecek tehditlere karşı gerekli önlemler alınmalıdır. (Yangın, patlama, doğal afetler vb.)
Sistem odası veya kritik veri içeren yerler ile ilgili gerekli kontrollerin alınması gerekmektedir. ( Isı, nem kontrolü, su sensörü, kabinetlerin sabitlenmesi vb.)
Yeme ve içme ile ilgili gerekli kurallar oluşturulmalıdır.
Kurum veya kuruluşun yapısına göre binalar ve güvenli alanlar için paratoner, faraday kafesi gibi koruma yöntemlerine başvurulmalıdır.
Teçhizatlar gereksiz ve yetkisiz erişimi minimum seviyede sağlanarak yerleştirilmelidir.
Kritik bilgilerin olduğu yerler veya bilgi işleme gerçekleştirilen yerler ile ilgili yetkisi olmayan kişilerin gizli olan bilgi yada ürünü görmesi riski göze alınarak kurulmalıdır.
Depo yada kritik verilerin olduğu oda veya lokasyonlar yetkisiz erişim için kontrol altında tutulmalıdır.
Fiziksel ve çevresel tehditlere karşı ekipman yerleşimine dikkat edilmelidir. (Hırsızlık, doğal afetler, toz, Vandalizm vb..)
Kuruluş içerisinde sigara içme alanları, yemekhane gibi yerler bilginin bulunduğu yer baz alınarak konumlandırımalıdır.
Isı ve nem kontrolleri düzenli olarak yapılmalı ve bu durumlara karşı önlemler alınmalıdır.
Topraklama ve paratoner ile ilgili periyodik ölçümler gerçekleştirilmelidir. (Bu kısımda işi yapan kuruluşun bu işte akredite olma özelliği aranmalıdır.)
Destekleyici Altyapı Hizmetleri:
Destekleyici altyapı hizmetleri derken; elektrik, telekomünikasyon, su tesisatı, gaz, kanalizasyon, havalandırma ve klimadan bahsedilmektedir.
Yerel şartlara veya ekipmanın üretim özelliklerine göre kontroller düzenli olarak yapılmalıdır.
Bu hizmetler ile ilgili düzenli olarak iş sürekliliği testleri gerçekleştirilmelidir.
Bakım veya kontrollerinin düzenli olarak yapılması ve bu kontrollere ait kayıtların saklanması gerekmektedir.
Altyapı hizmetlerini kesmek için kullanılan Acil Durum Butonları veya anahtarlar kaçış noktalarına veya ekipman odalarının yakınlarına koyulmalıdır.
Kablo Güvenliği:
Sistem odası gibi bilgi barındıran yerlerdeki enerji ve data kabloları ile ilgili gerekli güvenlik tedbirleri alınmış olmalıdır. (yükseltme zemin, yerin altında olması veya yüksek tavalarda olması gibi…)
Data ve enerji kabloları birbirinden ayrılmalıdır.
Dinleme ile ilgili tedbirlerin alınması gerekmektedir.
Teçhizat Bakımı:
Kuruluş içerisinde bakımı olan teçhizatın bakımları önce yasal şartlar göz önünde bulundurularak sonra da tedarikçisinin önerdiği servis aralıklarına göre düzenli olarak bakımı gerçekleştirilmelidir.
Bakım yapan personelin yetkinliğinin sorgulanması gerekmelidir. Onarım için de aynı durum söz konusudur.
Teçhizatlar üzerinde gerçekleşen tüm arızaların ve bakımların kayıtları düzenli olarak tutulmalı ve performans ölçümü gerçekleştirilmelidir.
Kuruluş bakım periyotlarına riayet etmelidir. Gizli bilgi içeren teçhizat gerekli durumlarda temizlenmelidir.
Bakımı gerçekleşen teçhizat aktif hale getirilmeden önce mutlaka test edilmelidir.
Varlıkların Taşınması:
Varlığın kuruluş dışına çıkarılması sırasında kimin tarafından çıkarılacağının veya hangi tedarikçinin bu işi gerçekleştireceğine dair bir metot tanımlanmalı ve izlenmelidir.
Kuruluş dışına çıkan veya geri getirilen varlıkların kayıtları tutulmalıdır.
Varlık envanteri düzgün olarak oluşturulmalı ve kişilere verilen varlıkların envanter üzerinde tutulmalı. X bir yazılım ile de takip edilebilir.
Kuruluş dışındaki teçhizat ve varlıkların güvenliği:
Kuruluş dışındaki teçhizat gözetim altında tutulmalıdır.
Teçhizat ile ilgili üreticinin belirlediği kurallara uyulmalıdır.
Ev veya uzak lokasyonda çalışanlar için (Örn: uzaktan çalışma) risk değerlendirmenin detaylı olarak gerçekleştirilmesi gerekmektedir.
Mobil Cihaz veya laptoplar için kuruluş dışında iken tedbirler alınması ile ilgili kurallar belirlenmelidir. (Örn: cep telefonu şifrelenmesi, laptopların araçlarda bırakılmaması ile ilgili tedbirler vb.) Bkz. Madde 6.2
Veya mobil cihaz kullanımı ile ilgili dışarıda çalışma ile ilgili kısıtlamalar gerçekleştirilebilir.
Teçhizatın güvenli yok edilmesi veya tekrar kullanımı:
Gizli bilgi içeren fiziksel ortamlar ya fiziksel olarak yok edilmeli yada üzerindeki bilgi tamamen silinmelidir. Burada önemli olan silinen bilginin tekrar geri getirilemez hale gelene kadar komple ortadan kaldırılmasıdır.
Veya diskin güçlü bir şekilde şifrelenmesi riski azaltabilir.
Şahsen ben komple yok edilmesinden yanayım : )))
Gözetimsiz kullanıcı teçhizatı:
Bu madde genelde uygulanmaması en sık karşılaşılan maddelerin başında gelmektedir. Son kullanıcı tarafındaki farkındalık eksikliğinin en belirgin özelliklerinde başı çekmektedir.
Kullanıcılar bilgisayarlarını kilitleyerek kalkmalıdır. ( CTRL + ALT +DEL veya Windows Tuşu + L ile bu işlem gerçekleştirilebilir.)
Bu kilitleme bilinci mobil cihazlarda da kullanılmalıdır.
Ağ hizmetleri üzerindeki oturumlar içinde oturum kapatma işlemleri uygulanmalıdır.
Temiz masa temiz ekran politikası:
Bu politika mesai saatlerinde veya mesai saatleri dışında yetkisiz erişimi azaltmak ve bilgi veya veri kaybını azaltmak için kullanılır.
Gizli bilgi içerikli kağıt veya depolama ortamı gibi materyallerin gözetimsiz kalacağı durumlarda kilitli dolaplarda veya ek bir önlem alınarak saklanacağı tüm personele bildirilmelidir.
Kullanıcılar bilgisayarlarından kalktıklarında mutlaka kilitleyip kalkmalıdırlar.
Yazıcıya gönderilen kritik bilgiler yazıcı üzerinde bırakılmamalı ve anında alınmalıdır.
Tarama veya fotokopi gibi işlemler gerçekleştirilirken kopyası alınan dokümanın orjinali makine üzerinde unutulmamalıdır.
Yazıcılar için ek kontroller alınabilir. (Kartlı veya şifreli yazıcılar gibi.)
Çok kritik bilgiler doğal afet veya yangın gibi tehlikelere karşı yanmaz kasa gibi sağlam yerlerde saklanabilir.