ISO 27001 – Bylae A.11: Fisiese en Omgewingssekerheid

Wat is die doel van Aanhangsel A.11.1?

Bylae A.11.1 gaan oor die versekering van veilige fisiese en omgewingsareas. Die doelwit in hierdie Bylae A-beheer is om ongemagtigde fisiese toegang, skade en inmenging tot die organisasie se inligting- en inligtingverwerkingsfasiliteite te voorkom.

Dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS), veral as jy ISO 27001-sertifisering wil behaal.

A.11.1.1 Fisiese sekuriteitsomtrek

Dit beskryf die sekuriteitsomtreke en -grense wat gebiede het wat óf sensitiewe óf kritieke inligting bevat en enige inligtingverwerkingsfasiliteite soos rekenaars, skootrekenaars, ens. 'n Fisiese sekuriteitsomtrek word gedefinieer as "enige oorgangsgrens tussen twee gebiede met verskillende sekuriteitsbeskermingsvereistes".

Dit kan nogal spesifiek wees soos; Aan die buitenste grens van die terrein en wat buite- en binneruimtes insluit; Tussen buite 'n gebou en binne dit; Tussen 'n gang en kantoor of tussen die buitekant van 'n stoorkas en binne dit. Dit kan ook bloot gestel word as die hoofkwartier met sy adres en die grense in omvang daaromtrent.

Voorbeelde van die tipe eiendom en persele wat die organisasie sal moet oorweeg in terme van fisiese sekuriteit kan insluit;

• Die datasentrums wat inligtingsbates huisves;
• Hoofkantoor;
• Werkers wat geneig is om van die huis af te werk; en
• Werkers wat reis en dus hotelle, klantepersele, ens. gebruik. Met toenemende uitkontraktering, bv. vir datasentrums en gebruik van gehuurde kantore, is dit ook belangrik om hierdie kontroles te verwys met die verskaffersbeleid in A15.1 en die talle ander beleide wat huis/mobiel/ raak telewerkers ook. Dit sluit ook aan en hou verband met jou Omvang in 4.3.

Eenvoudig gestel, die organisasie moet veilige gebiede daarstel wat die waardevolle inligting en inligtingsbates beskerm waartoe slegs gemagtigde mense toegang het. Dit hou ook verband met die risikobepaling en risiko-aptyt vir 'n organisasie in ooreenstemming met 6.1 aksies om risiko's en geleenthede aan te spreek.

As 'n basiese voorbeeld moet kantore wat waardevolle inligting bevat slegs deur werknemers van daardie organisasie verkry word, of deur toestemming aan ander verleen word, bv. besoekers, en eksterne skoonmakers/fasiliteite se instandhoudingshulpbronne wat in ooreenstemming met die verskafferbeleid goedgekeur is.

A.11.1.2 Fisiese toegangskontroles

Veilige gebiede moet deur die toepaslike toegangskontroles beskerm word om te verseker dat slegs gemagtigde personeel toegang toegelaat word. As 'n baie basiese voorbeeld, slegs daardie werknemers wat die alarmtoegangskode ontvang het en 'n sleutel ontvang het, kan toegang tot die kantoor kry. Meer risiko-sku organisasies en of diegene met meer sensitiewe inligting wat bedreig word, kan baie dieper gaan met beleide wat ook biometrie en skanderingsoplossings insluit.

Toegangsbeheermaatreëls sal gekies en geïmplementeer moet word op grond van die aard en ligging van die gebied wat beskerm word, en die vermoë om sulke beheermaatreëls te implementeer indien die ligging byvoorbeeld nie deur die organisasie besit word nie. Die prosesse vir die toekenning van toegang deur die toegangskontroles moet robuust, getoets en gemonitor word en moet dalk ook aangeteken en geoudit word.

Die beheer van besoekers sal ook veral belangrik wees en die prosesse wat daarmee verband hou moet oorweeg word. Ekstra oorweging moet gegee word aan toegang wat verleen word aan gebiede waarin sensitiewe of geklassifiseerde inligting verwerk of gestoor word. Terwyl gebiede wat veral sleutel-IT-infrastruktuurtoerusting bevat, tot 'n groter mate beskerm moet word en toegang beperk moet word tot slegs dié wat werklik daar moet wees. Die ouditeur sal verwag om toe te sien dat toepaslike beheermaatreëls in plek is asook gereeld getoets en gemonitor word.

A.11.1.3 Beveiliging van kantore, kamers en fasiliteite

Sekuriteit van kantore, kamers en fasiliteite lyk dalk maklik en voor die hand liggend, maar dit is die moeite werd om te oorweeg en gereeld te hersien wie toegang moet hê, wanneer en hoe. Van die dinge wat dikwels gemis word, is; Wie kan van buite in die kantoor sien of selfs hoor en wat om daaraan te doen?; Word toegang opgedateer wanneer personeel verlaat of oorplaas, dus het nie meer toegang tot hierdie spesifieke kamer nodig nie; Moet besoekers in hierdie area begelei word en is dit so, is hulle?; En is personeel waaksaam om mense wat hulle nie herken nie uit te daag en aan te meld?

Vir kamers wat met ander gedeel word (bv. indien 'n gehuurde kantoor vergaderlokaal) sal beleid ook die beskerming en/of verwydering van waardevolle bates insluit wanneer dit nie deur die organisasie beset word nie – wat wissel van skootrekenaars tot inligting wat op witborde, blaaiborde ens. .

Die eksterne ouditeur sal die sekuriteitskontroles vir kantore, kamers en fasiliteite inspekteer en kontroleer om te sien dat daar bewyse is van voldoende, risiko-gebaseerde beheer-implementering, bedryf en hersiening op 'n periodieke basis.

A.11.1.4 Beskerming teen eksterne en omgewingsbedreigings

Hierdie kontrole beskryf hoe fisiese beskerming teen natuurrampe, kwaadwillige aanvalle of ongelukke voorkom word.

Omgewingsbedreigings kan natuurlik voorkom (bv. vloede, tornado's, weerlig, ens.) of mensgemaakte (bv. waterlekkasie van fasiliteite, burgerlike onrus, ens.). Oorwegings vir sulke bedreigings moet gemaak word en risiko's moet geïdentifiseer, beoordeel en toepaslik behandel word. Sommige bedreigings (bv. om op 'n vloedvlakte te sit) kan onvermydelik wees sonder aansienlike koste of ongerief, maar dit beteken nie dat daar geen aksies is wat geneem kan word nie. Spesialisadvies mag nodig wees vir sekere aspekte van omgewingsbestuur en moet oorweeg word indien nodig.

Om jou ligging te verstaan ​​en wat in die onmiddellike omgewing is, is van kritieke belang om potensiële risiko's te identifiseer. Die ouditeur sal na bewyse soek dat daar gedink is om potensiële bedreigings en kwesbaarhede (beide natuurlik en mensgemaak) te identifiseer en dat omgewingsrisiko's geassesseer en dienooreenkomstig behandel of geduld is.

A.11.1.5 Werk in veilige gebiede

Een van die toegangsbeheermaatreëls wat vir veilige gebiede geïdentifiseer en geïmplementeer is, is dit belangrik dat dit aangevul word met prosedurele kontroles wat verband hou met risiko's wat kan gebeur wanneer dit binne die veilige gebied is. Daar moet byvoorbeeld dalk wees:

'n Beperkte bewustheid van die ligging en funksie van veilige gebiede;
Beperkings op die gebruik van opnametoerusting binne veilige gebiede;
Beperking op werk sonder toesig binne veilige gebiede waar moontlik;
In- en uitmonitering en aanteken.
Nadat die veilige area toegangskontroles geïnspekteer is, sal die ouditeur daarna kyk om te sien dat dit ondersteun word, waar nodig met toepaslike beleide en prosedures en dat bewyse van hul bestuur gehandhaaf word.

A.11.1.6 Aflewerings- en laaiareas

Toegangspunte soos aflewerings- en laaiareas en ander punte waar ongemagtigde persone die perseel kan betree, moet beheer word en, indien moontlik, van inligtingverwerkingsfasiliteite geïsoleer word om ongemagtigde toegang te vermy. Slegs wolk of digitale werkplekke het dalk geen behoefte aan 'n beleid of beheer oor aflewerings- en laaiareas nie; in daardie geval sal hulle daarop let en dit spesifiek uitsluit van die Verklaring van Toepaslikheid (SOA).

Vir sommige organisasies is aflewerings-/laaiareas óf nie beskikbaar óf nie deur die organisasie beheer nie (bv. 'n gedeelde kantoorakkommodasie). Waar die organisasie egter hierdie areas kan beheer of beïnvloed, is dit belangrik dat risiko's geïdentifiseer en beoordeel word en toepaslike beheermaatreëls dus geïmplementeer word. Voorbeelde van hierdie kontroles kan insluit; Ligging weg van die hoofkantoorgebou; Ekstra bewaking; CCTV monitering en opname; En prosedures om te verhoed dat eksterne en interne toegang terselfdertyd oop is.

Die ouditeur sal die aflewerings- en laaibeskerming inspekteer om te verseker dat daar toepaslike kontroles is wat verband hou met die beheer van inkomende materiaal (bv. aflewerings) en die beheer van uitgaande materiaal (bv. vir die voorkoming van inligtinglekkasie). Alhoewel, die vlak van versekering rondom aflewering en laai relatief tot die beoordeelde risikovlakke waarna die ouditeur sal soek, sal afhang van die beskikbaarheid en eienaarskap van sulke fasiliteite.

Wat is die doel van Aanhangsel A.11.2?

Bylae A.11.2 handel oor Toerusting. Die doelwit in hierdie Bylae A-beheer is om verlies, skade, diefstal of kompromie van bates en onderbreking van die organisasie se bedrywighede te voorkom.

A.11.2.1 Toerustingplasing en -beskerming

Toerusting moet geplaas en beskerm word om die risiko's van omgewingsbedreigings en -gevare en teen ongemagtigde toegang te verminder. Die ligging van toerusting sal bepaal word deur 'n aantal faktore, insluitend die grootte en aard van die toerusting, die voorgestelde gebruik en toeganklikheid en omgewingsvereistes. Diegene wat verantwoordelik is vir die plaas van toerusting moet 'n risiko-evaluering doen en waar moontlik die volgende toepas in ooreenstemming met die risikovlakke:

• Inligtingverwerkingsfasiliteite (skootrekenaars, rekenaars, ens.) wat sensitiewe data hanteer, moet geposisioneer word en die kykhoek moet beperk word om die risiko te verminder dat inligting deur ongemagtigde persone bekyk word tydens hul gebruik.
• Bergingsfasiliteite is beveilig om ongemagtigde toegang te vermy met sleutels wat deur gemagtigde sleutelhouers gehou word.
• Kos en drank moet weggehou word van IKT-toerusting.
• Draadlose roeteerders, gedeelde drukkers, ens. moet geposisioneer word om maklike toegang toe te laat wanneer nodig en nie iemand se aandag af te lei of inligting op die drukker te hê wat nie daar behoort te wees nie.
• Inligtingverwerkingsfasiliteite soos skootrekenaars is so geleë dat dit veilig gestoor word wanneer dit nie gebruik word nie en maklik toeganklik is wanneer nodig.
• Tuiswerkers moet ook hul ligging en posisionering van toerusting noukeurig oorweeg om risiko's soortgelyk aan dié wat vir werkers in die kantore aangespreek word, sowel as onbedoelde gebruik of toegang deur familie en vriende te vermy.

A.11.2.2 Ondersteunende nutsprogramme

Toerusting moet beskerm word teen kragonderbrekings en ander ontwrigtings wat veroorsaak word deur onderbrekings in ondersteunende nutsdienste. Byvoorbeeld, risiko's wat verband hou met gebrekkige of foutiewe kragtoevoer moet beoordeel en oorweeg word. Dit kan insluit; Dubbele kragtoevoer vanaf verskillende substasies; Rugsteunkragopwekkingsfasiliteite; Gereelde toetsing van kragvoorsiening en bestuur. Vir telekommunikasie, om die vermoë te behou vir hulle om voort te gaan – oorwegings kan insluit; Dubbele of meervoudige roetes; Lasbalansering en oortolligheid in skakeltoerusting; Bandwydte kapasiteit monitering en waarskuwing.

Baie van die risiko's sal verband hou met die "beskikbaarheid" van inligtingverwerkingstelsels en dus behoort kontroles die besigheidsvereistes vir beskikbaarheid te ondersteun in ooreenstemming met enige besigheidskontinuïteitsbeplanning en impakbeoordelings wat vir hierdie doel uitgevoer word. Die ouditeur sal bewyse soek dat kontroles gereeld getoets is om te verseker dat dit korrek funksioneer tot op die verlangde vlakke (rugsteungenerators, ens.).

A.11.2.3 Kabelsekuriteit

Krag- en telekommunikasiekabels wat data dra of ondersteunende inligtingsdienste moet beskerm word teen onderskepping, inmenging of skade. As krag- en netwerkkabels nie voldoende geplaas en beskerm is nie, is dit moontlik dat 'n aanvaller kommunikasie kan onderskep of ontwrig of kragvoorsiening kan afskakel.

Waar moontlik, moet netwerk- en kragkabels ondergronds of andersins beskerm en geskei wees om teen inmenging te beskerm. Afhangende van die sensitiwiteit of klassifikasie van data kan dit nodig wees om kommunikasiekabels vir verskillende vlakke te skei en bykomend termineringspunte vir ongemagtigde toestelle te inspekteer. Die ouditeur sal die kabels visueel inspekteer en indien dit relevant is tot die vlak van klassifikasie/risiko bewyse van visuele inspeksie versoek.

A.11.2.4 Instandhouding van toerusting

Toerusting moet korrek onderhou word om die volgehoue ​​beskikbaarheid en integriteit daarvan te verseker. Die vereiste vir roetine, voorkomende en reaktiewe instandhouding van toerusting sal verskil volgens die tipe, aard, liggingsomgewing en doel van die toerusting en enige kontraktuele ooreenkomste met vervaardigers en derdepartyverskaffers. Instandhouding moet op toerusting uitgevoer word teen toepaslike frekwensies om te verseker dat dit effektief funksioneel bly en om die risiko van mislukking te verminder.

Dit is 'n goeie idee om instandhoudingskedules te hou as bewys vir die ouditeur as jou toerusting versien moet word of herstelwerk het (Dit kan netjies by die A8.1.1 inligtingbate-inventaris ingeskakel word indien verlang). Logs van hierdie instandhouding moet insluit wie die instandhouding uitgevoer het, wat gedoen is en wie die instandhouding gemagtig het. Die ouditeur sal hierdie logboeke nagaan om te sien dat die skedules voldoende en eweredig is, en dat die aktiwiteite toepaslik gemagtig en uitgevoer is.

A.11.2.5 Verwydering van bates

Toerusting, inligting of sagteware wat van die perseel af geneem word, moet ook bestuur word. Dit kan beheer word met een of ander vorm van tjek-in-uit-proses of meer eenvoudig geassosieer met 'n werknemer as deel van hul rol en bestuur word in ooreenstemming met hul diensbepalings en -voorwaardes – Bylae A 7 wat natuurlik oor inligtingsekuriteit moet handel!

In die immer mobiele werkswêreld kan sommige bates soos mobiele toestelle gereeld van organisatoriese persele verwyder word om selfwerk of tuiswerk te vergemaklik. Waar bates nie ontwerp is om gereeld van die terrein verwyder te word nie of as dit van 'n sensitiewe, hoogs geklassifiseerde, waardevolle of brose aard is, moet prosesse in plek wees om verwydering te versoek en te magtig en om die teruggawe van die bates na te gaan.

Oorweging vir die beperking van die tydsduur wat toegelaat word om bates te verwyder, moet gemaak word en moet op risiko gebaseer wees. Die ouditeur sal kyk om te sien dat hierdie risikobepalings uitgevoer is vir wanneer nie-roetine verwydering van bates plaasvind en vir beleide wat bepaal wat roetine is en nie.

A.11.2.6 Sekuriteit van toerusting en bates buite die perseel

Sekuriteitskontroles moet op bates buite die perseel toegepas word, met inagneming van die verskillende risiko's verbonde aan werk buite die organisasie se perseel. Dit is 'n algemene area van kwesbaarheid en dit is dus belangrik dat die toepaslike vlak van kontroles geïmplementeer word en by ander mobiele kontroles en beleide vir huiswerkers ens.

Oorwegings moet gemaak word en risikobepalings moet uitgevoer word vir bates wat van die terrein af geneem word, hetsy gereeld of by uitsondering. Kontroles sal waarskynlik 'n mengsel van insluit; Tegniese kontroles soos toegangsbeheerbeleide, wagwoordbestuur, enkripsie; Fisiese kontroles soos Kensington Locks kan ook oorweeg word; saam met beleid- en proseskontroles soos opdrag om nooit bates sonder toesig in die publiek te laat nie (bv. toesluit in die kattebak van die motor).

Dit is veral belangrik om sekuriteitsinsidentneigings wat verband hou met bates buite die perseel te hersien. Die ouditeur sal verwag om bewyse te sien van hierdie risiko-assessering wat plaasvind en die proporsionele beheermaatreëls gekies volgens die geëvalueerde risikovlakke. Hulle sal ook verwag om bewyse van beleidsnakoming te sien.

A.11.2.7 Veilige wegdoening of hergebruik van toerusting

Alle items van toerusting, insluitend bergingsmedia, moet geverifieer word om te verseker dat enige sensitiewe data en gelisensieerde sagteware verwyder of veilig oorskryf is voor wegdoening of hergebruik. Dit is nog 'n area van algemene kwesbaarheid waar baie voorvalle ontstaan ​​het uit swak wegdoening of hergebruikspraktyke.

As toerusting weggedoen word met daardie sensitiewe inligting, is dit van kritieke belang dat datadraende toestelle en komponente óf fisies vernietig word óf veilig uitgevee word deur toepaslike gereedskap en tegnologieë te gebruik. As toerusting hergebruik gaan word, is dit belangrik dat enige vorige data en potensieel geïnstalleerde sagteware veilig "uitgevee" word en die toestel na 'n bekende "skoon" toestand teruggekeer word. Afhangende van die vlak van sensitiwiteit van data op toerusting wat vernietig word, kan dit nodig wees om fisiese vernietiging te verseker en dit moet gedoen word deur 'n proses te gebruik wat volledig geoudit kan word.

Dikwels word derdeparty-maatskappye vir wegdoening gebruik en as dit die geval is, is dit noodsaaklik om te verseker dat die toepaslike vlak van "sertifikaat van vernietiging" verskaf word - kragtige kliënte kan verwag om dit ook te sien as jy waardevolle kliëntedata en deel van jou kontrak met hulle spesifiseer veilige vernietiging.

Vir hierdie beheer sal die ouditeur kyk om te sien dat toepaslike tegnologieë, beleide en prosesse in plek is en dat bewyse van vernietiging of veilige uitwissing korrek uitgevoer is wanneer dit vereis word (teruggekoppel aan ontmanteling in u inligtingsbate-inventaris waar ook relevant) .

A.11.2.8 Gebruikerstoerusting sonder toesig

Soos met die beveiliging van kantore, moet gebruikers verseker dat enige onbewaakte toerusting die toepaslike beskerming het, selfs al is dit 'n wagwoord en sluitskerm vir basiese inligtingsekuriteit. Dit is gesonde verstand om toerusting te beskerm wanneer dit onbewaak gelaat word, maar dit sal afhang van die vlakke van vertroue wat geplaas word in die plek waar die toestel gelaat word (bv. hotelslaapkamers, konferensielokale, ens.). Organisatoriese persele moet ook oorweeg word as daar 'n risiko is, bv. hoë volume besoekersverkeer, warm lessenaar deur gereeld wisselende personeel met verskillende rolle.

As toerusting oornag gelaat word waar skoonmaak- en ander kontrakteurs buite normale kantoorure toegang kan hê, is dit belangrik om die risiko's van diefstal en peutery in ag te neem en sinvolle en voldoende beheermaatreëls toe te pas. Beleide, proses en bewusmakingsprogramme moet in plek wees om te verseker dat gebruikers bewus is van hul verantwoordelikhede wanneer hulle toerusting sonder toesig óf binne die organisasie óf buite indien mobiel los.

Die ouditeur sal kyk om te sien dat lae van beheer in plek is wat toepaslik is vir die risikovlakke en dat daar bewyse is van nakomingkontrolering (bv. rondloopinspeksies na-ure of tydens middagete is 'n gewilde een vir oudits op die terrein).

A.11.2.9 Maak lessenaar- en skermbeleid skoon

Bedryfsprosedures vir papiere en verwyderbare bergingsmedia en 'n duidelike skermbeleid vir inligtingverwerkingsfasiliteite moet oor die algemeen aanvaar word, tensy al die ander kontroles en risiko's beteken dat dit nie nodig is nie. Duidelike lessenaar- en duidelike skermbeleide word as goeie praktyke beskou en is relatief eenvoudig om te implementeer, maar in sommige tydsensitiewe bedryfsomgewings is dit dalk nie prakties nie.

In hierdie geval kan ander beheermaatreëls wat ontwerp is om die risiko's te bestuur eerder geïmplementeer word. Byvoorbeeld, as 'n kantoor 'n sterk vlak van fisiese toegangsbeheer het met baie min besoekers- en eksterne kontrakteursverkeer, kan sulke kontroles as onnodig geag word, maar die risiko van "insider-bedreiging" kan steeds relevant wees en kan op onaanvaarbare vlakke wees. Uiteindelik, soos met alle sekuriteitsoorwegings, moet die besluite met betrekking tot die implementering al dan nie van duidelike lessenaar- en duidelike skermbeleide op risikobepaling gebaseer word.

Die ouditeur sal kyk hoe die besluite om te implementeer of nie duidelike lessenaar en duidelike skermbeleide te implementeer en teen 'n gepaste frekwensie hersien is nie. As sulke beleide in plek is, sal hulle op soek wees na bewyse van voldoeningstoetsing en die rapportering en bestuur van enige oortredings.