ISO 27001 – Liite A.11: Fyysinen ja ympäristöturvallisuus

Mikä on liitteen A.11.1 tavoite?

Liite A.11.1 koskee turvallisten fyysisten ja ympäristöllisten alueiden varmistamista. Tämän liitteen A valvonnan tavoitteena on estää luvaton fyysinen pääsy, vahingoittuminen ja häirintä organisaation tietoihin ja tietojenkäsittelylaitteisiin.

Se on tärkeä osa tietoturvan hallintajärjestelmää (ISMS), varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin.

A.11.1.1 Fyysinen suojakehä

Tämä kuvaa turvakehät ja -rajat, joissa on alueita, jotka sisältävät joko arkaluontoisia tai kriittisiä tietoja, ja mitä tahansa tietojenkäsittelylaitteita, kuten tietokoneita, kannettavia tietokoneita jne. Fyysinen suojakehä määritellään "mikä tahansa siirtymäraja kahden eri suojausvaatimusten alueen välillä".

Tämä voi olla melko tarkka, kuten; Tontin uloimmalla rajalla ja kattaa ulko- ja sisätilat; rakennuksen ulkopuolella ja sen sisällä; Käytävän ja toimiston välissä tai säilytyskaapin ulkopuolella ja sen sisällä. Sen voitaisiin myös ilmaista yksinkertaisesti pääkonttoriksi osoitteellaan ja sen ympärillä olevilla rajoilla.

Esimerkkejä kiinteistötyypeistä ja tiloista, joita organisaation on harkittava fyysisen turvallisuuden kannalta, voivat olla:

• Tietokeskukset, jotka isännöivät tietoresursseja;
• Päätoimisto;
• Työntekijät, jotka työskentelevät yleensä kotoa käsin; ja
• Työntekijät, jotka matkustavat ja käyttävät siksi hotelleja, asiakkaiden tiloja jne. Ulkoistamisen lisääntyessä esim. konesaleihin ja vuokratoimistojen käyttöön on myös tärkeää viitata näihin ohjauksiin kohdassa A15.1 olevaan toimittajapolitiikkaan ja lukuisiin muihin käytäntöihin, jotka vaikuttavat kotiin/mobiili-/ myös etätyöntekijöitä. Tämä liittyy myös 4.3:n soveltamisalaan.

Yksinkertaisesti sanottuna organisaation on perustettava suojatut alueet, jotka suojaavat arvokasta tietoa ja tietovarallisuutta, joihin vain valtuutetut henkilöt voivat päästä käsiksi. Tämä liittyy myös organisaation riskinarviointiin ja riskinottohalukkuuteen 6.1-toimien mukaisesti riskien ja mahdollisuuksien käsittelemiseksi.

Perusesimerkkinä arvokasta tietoa sisältäviin toimistoihin tulisi päästä vain kyseisen organisaation työntekijöiden tai luvan saaminen muille, esim. vierailijoille ja ulkopuolisille siivooja-/tilojen ylläpitoresursseille, jotka on hyväksytty toimittajapolitiikan mukaisesti.

A.11.1.2 Fyysisen sisäänpääsyn hallintalaitteet

Suojatut alueet on suojattava asianmukaisilla sisäänpääsyn valvonnalla, jotta vain valtuutetut henkilöt pääsevät sisään. Todella perusesimerkkinä, toimistoon pääsevät vain ne työntekijät, joille on annettu hälytinkoodi ja avaimet. Riskejä karttavammat organisaatiot ja/tai ne, joilla on arkaluontoisempaa tietoa uhattuna, voivat mennä paljon syvemmälle käytäntöihin, jotka sisältävät myös biometrisiä ja skannausratkaisuja.

Pääsyvalvonta tulee valita ja toteuttaa suojeltavan alueen luonteen ja sijainnin perusteella ja sen perusteella, miten valvontaa voidaan toteuttaa, jos esimerkiksi paikka ei ole organisaation omistuksessa. Pääsyn myöntämisprosessien on oltava vankat, testattuja ja valvottuja, ja ne on ehkä myös kirjattava ja tarkastettava.

Myös vierailijoiden valvonta on erityisen tärkeää ja siihen liittyvät prosessit tulee ottaa huomioon. Erityisesti olisi harkittava pääsyn myöntämistä alueille, joilla arkaluonteisia tai turvaluokiteltuja tietoja käsitellään tai säilytetään. Vaikka erityisesti alueita, joissa on keskeisiä IT-infrastruktuurilaitteita, on suojeltava enemmän ja pääsy rajoitetaan vain niihin, jotka todella tarvitsevat siellä. Tarkastaja odottaa näkevänsä, että asianmukaiset kontrollit ovat käytössä ja että niitä testataan ja valvotaan säännöllisesti.

A.11.1.3 Toimistojen, huoneiden ja tilojen turvaaminen

Toimistojen, huoneiden ja tilojen turvallisuus saattaa tuntua helpolta ja itsestään selvältä, mutta kannattaa harkita ja tarkistaa säännöllisesti, kenellä, milloin ja miten on pääsy. Jotkut asiat, jotka usein jäävät huomaamatta, ovat; Kuka näkee tai edes kuulee toimistoon ulkopuolelta ja mitä tehdä asialle?; Onko pääsy päivitetty, kun henkilökunta lähtee tai siirtyy, joten he eivät enää tarvitse pääsyä tähän tiettyyn huoneeseen; Onko vierailijoita saatettava tällä alueella, ja onko niin? Ja onko henkilökunta valppaana haastaessaan ja raportoiessaan ihmisiä, joita he eivät tunnista?

Muiden kanssa jaettujen huoneiden (esim. vuokratun toimiston kokoushuoneen) käytäntöihin kuuluisivat myös arvokkaan omaisuuden suojaaminen ja/tai poistaminen silloin, kun se ei ole organisaation käytössä – kannettavista tietokoneista tauluille, fläppitauluille jne. .

Ulkopuolinen tarkastaja tarkastaa toimistojen, huoneiden ja tilojen turvatarkastukset ja varmistaa, että riittävästä riskiperusteisesta valvonnasta on näyttöä säännöllisin väliajoin.

A.11.1.4 Suojautuminen ulkoisilta ja ympäristöuhkilta

Tämä ohjaus kuvaa, kuinka fyysinen suojaus luonnonkatastrofeja, haitallisia hyökkäyksiä tai onnettomuuksia vastaan ​​estetään.

Ympäristöuhat voivat olla luonnollisia (esim. tulvia, tornadot, salamoita jne.) tai ihmisen aiheuttamia (esim. vesivuoto laitoksista, levottomuudet jne.). Tällaiset uhat on otettava huomioon ja riskit tunnistettava, arvioitava ja käsiteltävä asianmukaisesti. Jotkut uhat (esim. istuminen tulvatasangolla) voivat olla väistämättömiä ilman huomattavia kustannuksia tai haittoja, mutta se ei kuitenkaan tarkoita, etteikö toimiin olisi ryhdyttävä. Asiantuntijaneuvoja saatetaan tarvita joissakin ympäristöjohtamisen näkökohdissa, ja niitä tulee tarvittaessa harkita.

Sijaintisi ja sen välittömässä läheisyydessä olevien asioiden ymmärtäminen on ratkaisevan tärkeää mahdollisten riskien tunnistamisessa. Tarkastaja etsii todisteita siitä, että mahdollisten uhkien ja haavoittuvuuksien (sekä luonnossa esiintyvien että ihmisen aiheuttamien) tunnistamiseen on pohdittu ja että ympäristöriskit on arvioitu ja joko käsitelty tai siedetty vastaavasti.

A.11.1.5 Työskentely suojatuilla alueilla

Yksi pääsyvalvonta on tunnistettu ja otettu käyttöön suojatuille alueille, ja on tärkeää, että niitä täydennetään turva-alueen sisällä mahdollisesti ilmeneviin riskeihin liittyvillä toimenpiteillä. Siellä saattaa olla esimerkiksi:

rajoitettu tietoisuus turvallisten alueiden sijainnista ja toiminnasta;
Valvontalaitteiden käyttöä suojatuilla alueilla koskevat rajoitukset;
Valvomattoman työskentelyn rajoittaminen turvallisilla alueilla aina kun mahdollista;
Sisään ja ulos valvonta ja kirjaus.
Tarkastettuaan suojatun alueen kulunvalvontajärjestelmät tarkastaja varmistaa, että niitä tuetaan tarvittaessa asianmukaisilla toimintatavoilla ja menettelyillä ja että niiden hallinnasta säilytetään näyttöä.

A.11.1.6 Toimitus- ja lastausalueet

Kulkupisteitä, kuten toimitus- ja lastausalueita ja muita paikkoja, joissa asiattomat henkilöt voivat päästä tiloihin, on valvottava ja mahdollisuuksien mukaan eristettävä tietojenkäsittelylaitteista luvattoman pääsyn välttämiseksi. Pelkästään pilvipalveluissa tai digitaalisissa työpaikoissa ei välttämättä ole tarvetta toimitus- ja lastausalueiden politiikkaan tai valvontaan. siinä tapauksessa ne huomioisivat sen ja jättäisivät sen nimenomaisesti pois soveltuvuudesta (SOA).

Joillekin organisaatioille toimitus-/lastausalueet eivät joko ole käytettävissä tai ne eivät ole organisaation hallinnassa (esim. yhteinen toimistotila). Kuitenkin silloin, kun organisaatio voi hallita näitä alueita tai vaikuttaa niihin, on tärkeää, että riskit tunnistetaan ja arvioidaan, ja sen vuoksi toteutetaan asianmukaiset kontrollit. Esimerkkejä näistä ohjaimista voivat olla; Sijainti kaukana päätoimistorakennuksesta; Ylimääräinen vartiointi; CCTV-valvonta ja tallennus; Ja menettelyt, joilla estetään ulkoisen ja sisäisen pääsyn avaaminen samanaikaisesti.

Tarkastaja tarkastaa toimitus- ja lastaussuojauksen varmistaakseen, että saapuvien materiaalien (esim. toimitukset) ja lähtevien materiaalien valvontaan (esim. tietovuotojen estämiseen) liittyvät asianmukaiset tarkastukset. Toimitusta ja lastausta koskeva varmuuden taso suhteessa tarkastajan etsimiin arvioituihin riskitasoihin riippuu kuitenkin tällaisten tilojen saatavuudesta ja omistajuudesta.

Mikä on liitteen A.11.2 tavoite?

Liite A.11.2 koskee laitteita. Tämän liitteen A valvonnan tavoitteena on estää omaisuuden katoaminen, vahingoittuminen, varastaminen tai vaarantuminen sekä organisaation toiminnan keskeytyminen.

A.11.2.1 Laitteiden sijoittaminen ja suojaus

Laitteet on sijoitettava ja suojattava ympäristöuhkien ja -vaarojen riskien vähentämiseksi sekä luvattomalta pääsyltä. Laitteiden sijainti määräytyy useiden tekijöiden mukaan, mukaan lukien laitteiden koko ja luonne, sen ehdotettu käyttö ja saavutettavuus sekä ympäristövaatimukset. Laitteistosta vastaavien on suoritettava riskinarviointi ja sovellettava seuraavaa aina kun mahdollista riskitasojen mukaisesti:

• Arkaluontoisia tietoja käsittelevät tietojenkäsittelylaitteet (kannettavat tietokoneet, pöytäkoneet jne.) tulee sijoittaa ja katselukulmaa rajoittaa, jotta voidaan vähentää riskiä, ​​että asiattomat henkilöt näkevät tietoja niiden käytön aikana.
• Varastotilat on suojattu luvattoman pääsyn estämiseksi valtuutettujen avaimenhaltijoiden hallussa olevilla avaimilla.
• Ruoka ja juoma tulee pitää poissa ICT-laitteiden läheltä.
• Langattomat reitittimet, jaetut tulostimet jne. tulee sijoittaa niin, että niihin pääsee helposti tarvittaessa, eikä ketään häiritse työstä tai tulostimeen ei jää tietoja, joita ei pitäisi olla siellä.
• Tietojenkäsittelylaitteet, kuten kannettavat tietokoneet, on sijoitettu siten, että ne säilytetään turvallisesti, kun niitä ei käytetä, ja niihin pääsee tarvittaessa helposti käsiksi.
• Kotityöntekijöiden on myös harkittava huolellisesti laitteidensa sijaintia ja sijoitusta välttääkseen riskit, jotka ovat samankaltaisia ​​kuin toimistotyöntekijöille kohdistetut riskit sekä perheen ja ystävien tahaton käyttö tai pääsy.

A.11.2.2 Apuohjelmien tuki

Laitteet on suojattava sähkökatkoilta ja muilta häiriöiltä, ​​jotka johtuvat tukilaitosten vioista. Esimerkiksi viallisiin tai viallisiin virtalähteisiin liittyvät riskit tulee arvioida ja ottaa huomioon. Tämä saattaa sisältää; Kaksi virtalähdettä eri ala-asemilta; Varavoimantuotantolaitokset; Virransyötön ja hallinnan säännöllinen testaus. Tietoliikenteen osalta, jotta ne säilyttäisivät kyvyn jatkaa – huomioita voivat olla mm. Kaksois- tai moninkertainen reititys; Kytkentälaitteiden kuormituksen tasapainotus ja redundanssi; Kaistanleveyden kapasiteetin valvonta ja hälytykset.

Monet riskeistä liittyvät tietojenkäsittelyjärjestelmien "käytettävyyteen", joten kontrollien tulisi tukea käytettävyyttä koskevia liiketoiminnan vaatimuksia toiminnan jatkuvuussuunnittelun ja tätä tarkoitusta varten tehtyjen vaikutustenarviointien mukaisesti. Tarkastaja etsii todisteita siitä, että kontrollit on säännöllisesti testattu sen varmistamiseksi, että ne toimivat oikein halutulle tasolle (varageneraattorit jne.).

A.11.2.3 Kaapelointiturva

Dataa kuljettavat tai tietopalveluja tukevat sähkö- ja tietoliikennekaapelointi on suojattava sieppauksilta, häiriöiltä tai vaurioilta. Jos virta- ja verkkokaapeleita ei ole sijoitettu ja suojattu riittävästi, hyökkääjä saattaa kyetä sieppaamaan tai katkaisemaan viestintää tai katkaisemaan virransyötön.

Verkko- ja virtakaapelit tulee mahdollisuuksien mukaan olla maan alla tai muuten suojattu ja erotettu häiriöiltä suojaamiseksi. Tietojen herkkyydestä tai luokittelusta riippuen saattaa olla tarpeen erottaa tietoliikennekaapeleita eri tasoille ja lisäksi tarkastaa päätepisteet luvattomien laitteiden varalta. Tarkastaja tarkastaa kaapelit silmämääräisesti ja pyytää näyttöä silmämääräisestä tarkastuksesta, jos niillä on merkitystä luokitus-/riskitason kannalta.

A.11.2.4 Laitteiden huolto

Laitteita tulee huoltaa oikein sen jatkuvan käytettävyyden ja eheyden varmistamiseksi. Vaatimus laitteiden rutiini-, ennaltaehkäisevä- ja reaktiivisesta huollosta vaihtelee laitteiden tyypin, luonteen, sijaintiympäristön ja käyttötarkoituksen sekä valmistajien ja kolmansien osapuolien kanssa tehtyjen sopimusten mukaan. Laitteita on huollettava asianmukaisin taajuuksin, jotta varmistetaan, että ne pysyvät tehokkaasti toiminnassa ja vähennetään vikariskiä.

Huoltoaikataulut on hyvä pitää todisteena tarkastajalle, jos laitteesi tarvitsee huoltoa tai korjauksia (tämä voidaan haluttaessa liittää siististi A8.1.1-tietovarainventaarioon). Tämän huollon lokeihin tulee merkitä, kuka on suorittanut huollon, mitä on tehty ja kuka valtuuttanut huollon. Tarkastaja tarkistaa nämä lokit varmistaakseen, että aikataulut ovat riittävät ja oikeasuhteiset ja että toiminnot on asianmukaisesti valtuutettu ja suoritettu.

A.11.2.5 Omaisuuden poistaminen

Laitteet, tiedot tai ohjelmistot, jotka viedään laitoksen ulkopuolelle, tarvitsevat myös hallintaa. Sitä voidaan valvoa jollain tavalla sisään- ja uloskirjautumisprosessilla tai yksinkertaisesti liittää työntekijään osana hänen rooliaan ja hoitaa heidän työehtojensa mukaisesti – liite A 7, jonka pitäisi tietysti käsitellä tietoturvaa!

Alati liikkuvassa työmaailmassa osa omaisuudesta, kuten mobiililaitteet, voidaan rutiininomaisesti poistaa organisaation tiloista liikkuvan tai kotityöskentelyn helpottamiseksi. Jos omaisuutta ei ole suunniteltu poistettavaksi rutiininomaisesti paikalta tai jos ne ovat luonteeltaan arkaluonteisia, erittäin turvaluokiteltuja, arvokkaita tai herkkiä, on oltava käytössä prosesseja poistamisen pyytämiseksi ja valtuuttamiseksi sekä varojen palauttamisen tarkistamiseksi.

Omaisuuden poistamisen keston rajoittamista on harkittava, ja sen tulisi perustua riskiin. Tarkastaja pyrkii varmistamaan, että nämä riskiarvioinnit on suoritettu silloin, kun omaisuutta poistetaan rutiininomaisesti, ja politiikkojen osalta, jotka määrittävät, mikä on rutiinia ja mikä ei.

A.11.2.6 Laitteiden ja omaisuuden turvallisuus muualla kuin toimitiloissa

Ulkopuoliseen omaisuuteen on sovellettava turvavalvontaa ottaen huomioon organisaation tilojen ulkopuolella työskentelyyn liittyvät erilaiset riskit. Tämä on yleinen haavoittuvuusalue, ja siksi on tärkeää, että asianmukaisen tasoiset tarkastukset otetaan käyttöön ja liitetään muihin kotityöntekijöitä koskeviin mobiilisäätimiin ja -käytäntöihin.

Joko rutiininomaisesti tai poikkeuksetta pois siirrettävälle omaisuudelle tulee harkita ja tehdä riskiarvioinnit. Kontrollit sisältävät todennäköisesti sekoituksen; Tekniset säädöt, kuten kulunvalvontakäytännöt, salasanojen hallinta, salaus; Myös fyysisiä ohjaimia, kuten Kensington-lukkoja, voidaan harkita. käytäntöjen ja prosessien ohjauksen ohella, kuten ohjeistuksen kanssa, ettei omaisuutta koskaan jätä ilman valvontaa yleisön näkyville (esim. auton tavaratilan lukitseminen).

Erityisen tärkeää on tarkastella ulkopuolisiin omaisuuseriin liittyviä tietoturvahäiriötrendejä. Tarkastaja odottaa näkevänsä todisteita tämän riskinarvioinnin toteutumisesta ja oikeasuhteisten kontrollien valittuna arvioitujen riskitasojen mukaisesti. He odottavat myös näkevänsä todisteita politiikan noudattamisesta.

A.11.2.7 Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Kaikki laitteet, mukaan lukien tallennusvälineet, tulee varmistaa sen varmistamiseksi, että kaikki arkaluontoiset tiedot ja lisensoidut ohjelmistot on poistettu tai kirjoitettu turvallisesti päälle ennen hävittämistä tai uudelleenkäyttöä. Tämä on toinen yleinen haavoittuvuus, jossa monet tapaukset ovat johtuneet huonoista hävittämis- tai uudelleenkäyttökäytännöistä.

Jos laitteita, jotka sisältävät arkaluontoisia tietoja, hävitetään, on tärkeää, että tietoja sisältävät laitteet ja komponentit joko tuhotaan fyysisesti tai pyyhitään turvallisesti asianmukaisten työkalujen ja tekniikoiden avulla. Jos laitteita aiotaan käyttää uudelleen, on tärkeää, että kaikki aiemmat tiedot ja mahdollisesti asennetut ohjelmistot "pyyhkitään" turvallisesti ja laite palautetaan tunnettuun "puhtaan" tilaan. Riippuen tuhottavien laitteiden sisältämien tietojen arkaluontoisuudesta, voi olla tarpeen varmistaa fyysinen tuhoaminen, ja tämä tulisi tehdä käyttämällä prosessia, joka voidaan täysin tarkastaa.

Usein hävittämiseen käytetään kolmansien osapuolien yrityksiä, ja jos näin on, on välttämätöntä varmistaa asianmukaisen "tuhotodistuksen" taso – tehokkaat asiakkaat voivat odottaa näkevänsä tämän myös, jos sinulla on ollut hallussaan arvokkaita asiakastietoja ja osa sopimuksessasi heidän kanssaan määrätään turvallisesta tuhoamisesta.

Tätä valvontaa varten tarkastaja pyrkii varmistamaan, että asianmukaiset tekniikat, käytännöt ja prosessit ovat käytössä ja että todisteet tuhoamisesta tai turvallisesta poistamisesta on suoritettu tarvittaessa oikein (sidottu tarvittaessa myös käytöstä poistamiseen tietovarastossasi). .

A.11.2.8 Valvomattomat käyttäjälaitteet

Kuten toimistojen turvaamisen yhteydessä, käyttäjien on varmistettava, että kaikilla valvomattomilla laitteilla on asianmukainen suojaus, vaikka se olisi salasana ja lukitusnäyttö perustietoturvaa varten. On tervettä järkeä suojata laitteet, kun ne jätetään ilman valvontaa, mutta tämä riippuu luottamuksen tasosta, joka kohdistuu laitteen jättämispaikkaan (esim. hotellihuoneet, konferenssitilat jne.). Myös organisaation tilat on harkittava, jos on olemassa riski, esim. suuri kävijäliikenne, kuuma työpöytä, jossa usein vaihtuu eri rooleissa oleva henkilökunta.

Jos laitteet jätetään yöksi paikkaan, jossa siivous ja muut urakoitsijat voivat päästä käsiksi normaalin virka-ajan ulkopuolella, on tärkeää ottaa huomioon varkauden ja peukaloinnin riskit ja käyttää järkeviä ja riittäviä valvontatoimia. Käytäntöjen, prosessien ja tietoisuusohjelmien tulee olla käytössä sen varmistamiseksi, että käyttäjät ovat tietoisia vastuustaan ​​jättäessään laitteita ilman valvontaa joko organisaatioon tai sen ulkopuolelle, jos ne ovat liikkuvia.

Tarkastaja pyrkii varmistamaan, että riskitasolle sopivat valvontatasot ovat käytössä ja että vaatimustenmukaisuuden tarkastuksesta on näyttöä (esim. paikan päällä tehtävät auditoinnit ovat suosittuja tarkastuskäyntien jälkeen tai lounastaukojen aikana).

A.11.2.9 Tyhjennä työpöytä- ja näyttökäytäntö

Paperien ja irrotettavien tallennusvälineiden toimintamenettelyt ja tietojenkäsittelylaitteiden selkeä näyttöpolitiikka on yleensä otettava käyttöön, elleivät kaikki muut hallintakeinot ja riskit tarkoita, että niitä ei tarvita. Selkeä työpöytä ja selkeä näyttö ovat hyviä käytäntöjä, ja ne ovat suhteellisen yksinkertaisia ​​toteuttaa, mutta joissakin aikaherkissä toimintaympäristöissä ne eivät välttämättä ole käytännöllisiä.

Tällöin sen sijaan voidaan toteuttaa muita riskien hallintaan suunniteltuja kontrolleja. Esimerkiksi, jos toimistossa on vahva fyysisen kulunvalvontatason taso ja hyvin vähän vierailija- ja ulkopuolisten urakoitsijoiden liikennettä, tällaisia ​​valvontaa voidaan pitää tarpeettomina, mutta "sisäpiiriuhan" riski voi silti olla merkityksellinen ja se voi olla liian korkealla tasolla. Viime kädessä, kuten kaikkien turvallisuusnäkökohtien kohdalla, selkeiden työpöytä- ja selkeän näytön käytäntöjen toteuttamista koskevien päätösten tulisi perustua riskinarviointiin.

Tarkastaja tarkastelee, kuinka päätökset pöytä- ja selkeän näytön käytäntöjen täytäntöönpanosta tai poistamisesta tehtiin ja tarkastetaan asianmukaisella tiheydellä. Jos tällaiset käytännöt ovat käytössä, he etsivät todisteita vaatimustenmukaisuuden testaamisesta sekä mahdollisten rikkomusten raportoinnista ja hallinnasta.