Anasayfa » ISO 27001 » ISO 27001 Bilgi Güvenliğinde Fiziksel ve Çevresel Güvenlik-1
iso-27001-bilgi-guvenliginde-fiziksel-ve-cevresel-guvenlik-1

ISO 27001 Bilgi Güvenliğinde Fiziksel ve Çevresel Güvenlik-1

Herkese merhabalar;

Bu makalemizde ISO 27001Bilgi Güvenliği Yönetim Sistemi içerisinde Fiziksel ve Çevresel Güvenlik ile ilgili neler gerekli olduğunu, aslında makaleyi okuduğunuzda da bunların birçoğunu uygulamış olduğunuzun farkına varacaksınız. Fiziksel güvenlik; ISO 27001 standardı içerisinde A.11 maddesinde karşımıza çıkıyor ve 2 alt başlıkla kontrol maddelerini barındırıyor. Bunlar;

A.11.1 – Güvenli Alanlar
Amaç: Yetkisiz fiziksel erişimi, kuruluşun bilgi ve bilgi işleme olanaklarına hasar verilmesi ve müdahale edilmesini engellemek
A.11.2 Teçhizat
Amaç: Varlıkların kaybedilmesi, hasar görmesi, çalınması veya ele geçirilmesini ve kuruluşun faaliyetlerinin kesintiye uğramasını engellemek.” 

Aslında bu 2 amaçtan da anladığımız üzere Standart içerisindeki bu madde; “bilgi ve bilgi işleme olanaklarımızın veya varlıklarımızın karşılaşacağı kasıtlı veya kasıtsız tehditlere karşı almamız gereken önlemler” ile ilgili yol gösterici durumdadır. ISO 27002 standardı ise bize bu maddelerin uygulanmasında tam olarak kılavuzluk sağlayıcıdır. Bu 2 maddeyi 2 makale şeklinde yayınlamayı düşünüyorum. Güvenli Alanlar ve Teçhizat Başlığı altında… Aşağıda fiziksel güvenlik ile ilgili alabileceğimiz önlemlerden birkaç tanesini başlıklar halinde anlatırsam

ISO 27001 Bilgi Güvenliğinde Fiziksel ve Çevresel Güvenlik – 1

GÜVENLİ ALANLAR

Yuksek-Guvenlik
Yüksek Güvenlik :))))))

 

Fiziksel Güvenlik Sınırı:

Kurum / kuruluş kritik veri veya kritik verinin nasıl korunacağı ile ilgili sınırlarını tanımlamalıdır. Bu sınırlar dahilinde de gerek çevresel gerekse altyapı olarak belirli önlemler almalıdır. Örn: Dış duvarlar, güvenlik klübeleri (İçinde güvenlik olması tercihimdir. J) , Giriş kontrollü noktalar (kartlı giriş, parmak izi, retina, avuç içi, damar izi vb.. : )) )

Bu fiziksel güvenlik sınırı ile ilgili önlemleri alırken de ulusal veya uluslararası standartlara uyumlu olarak şartları sağlamalıyız.

Acil çıkış kapılarına uyarı sinyalleri takılarak izleyebiliriz. Bu yapılan işlemi de belirli periyotlarla test edebiliriz.

Ağırlıklı olarak gizli bilginin olduğu veya kritik nokta diye adlandırdığımız sistem odası, iletişim odaları, Ar-Ge Bölümü, Üretim vb.. yerlerdeki  tüm yetkisiz erişim noktaları kontrol edilmelidir. Bu alanlar boşken de uyarı sinyalleri ile de izlenmelidir.

Kuruluş içerisinde kamera ile izleme gerçekleştiriliyorsa herhangi bir kör nokta bulunmadığına dikkat edilmelidir.

Bu yukarıda saydıklarım ile ilgili örnekler çoğaltılabilir. Fakat bu yazılanlar firmanın boyutuna ve kapsamına göre farklılıklar gösterebilir. Bazı kuruluşlar için yukarıdakilere ek olarak farklı önlemler alınması gerekirken bazı kuruluşlarda ise bunlardan bazıları konumu itibari ile gerçekleştirilemeyebilir. Bu durumda da kuruluş yapmış olduğu risk değerlendirme ile ilgili ekonomik ve teknik şartlarını dikkatlice gözden geçirmelidir.

Fiziksel Giriş Kontrolleri:  

Fiziksel-giris-a.11.1Ziyaretçilerin uygun bir yöntem ile giriş – çıkışlarının kayıt altına alınması.

Kritik verinin olduğu noktalara erişim yetkilerinin sınırlandırılması hatta birden fazla kontrol önlemi alınarak giriş yapılmalıdır. (Örn: Kart ve şifre)

Kuruluş içerisinde çalışanların, yükleniciler, varsa harici taraflar veya ziyaretçilerin kimlik takma zorunluluğu olmalıdır. Bu kartlarla ilgili de değişik renk veya tasarım kullanabilirsiniz. (Renk, boyut  vb..)

Dışarıdan alınan destekler ile ilgili verilen erişim yetkilerinin kısıtlı olması gereklidir.

Erişim yetkilerinin düzenli olarak gözden geçirilmesi ve kayıtlarının tutulması gerekmektedir.

 

Ofislerin, odaların ve tesislerin güvenliğinin sağlanması:

Kritik verilerin bulunduğu ofis ve odalara erişim ile ilgili gerekli kontrollerin alınması sağlanmalıdır.

Bu sene ülkemizde çok meşhur olan : )) dinleme ile ilgili gerekli tedbirlerin alınması sağlanmalıdır.

Sistem odası gibi içinde kritik veri ya da bilgi bulunduran yerlerle ilgili “ben buradayım” şeklinde ifşa edici etiketlerden kaçınılmalıdır.

Gizli bilgi içeren mekanların kat planları, lokasyonu veya iletişim bilgileri gibi bilgilerinde erişime kapalı olması gerekmektedir.

Hatta çok üst düzey yerlerde elektromanyetik kalkan kullanımı bile gerekebilir.

 

Dış ve çevresel tehditlere karşı korunma:

Deprem, sel, patlama, yangın, toplumsal olaylar ve doğal ya da insan kaynaklı felaketlerden korunmak için güvenlik tedbirlerinin alınması.

Çevrede oluşabilecek tehditler de göz önünde bulundurulmalıdır. (Örn: Dış çevredeki komşu firmalar – benzin istasyonu vb..)

 

Güvenli alanlarda çalışma:

Güvenli alan olarak adlandırılan yerler ile ilgili erişim kontrolleri ayarlanmalıdır.

 Kamera, fotoğraf makinesi ve  cep telefonu gibi kayıt cihazlar güvenli alanlarda bulundurulmamalıdır.

Kritik veri veya bilginin bulunduğu ortamda dışarıdan alınan bir hizmet var ise refakatçi eşliğinde gerçekleştirilmelidir.

Güvenli alan olarak adlandırdığımız noktaların kullanım dışı olduğu zamanlarda periyodik olarak izlenmeli yada kontrol edilmelidir.

 

Teslimat ve yükleme alanları:

Dagitim ve yukleme alanlariYükleme ve dağıtım alanlarına bina dışından erişim, tanımlanmış ve yetkilendirilmiş personel ile sınırlandırılmalıdır.

Dağıtım ve yükleme alanlarının dış kapısı, iç kapıları açıldığında emniyete alınmalıdır.

Teslimat için gelen araçlar cinsine bakılmaksızın içerisinde herhangi bir tehlikeli madde içerip içermediği konusunda kontrol edilmelidir.

İçeri giren ürün / malzeme ne ise kayıt altına alınmalıdır.

Gelen ürünün doğruluğu kontrol edilmeli yolda herhangi bir değişiklik veya deformasyona uğradığı tespit edilirse ilgili personele bilgi verilmelidir.

Olabilirliği var ise gelen ve giden sevkiyatlar fiziksel olarak ayrıştırılmalıdır.

Kurum veya kuruluş içerisine dışarıdan erişilebilecek tüm noktalarınıza ek güvenlik önlemleri alınmalıdır. ( Acil çıkış kapıları gibi yalnızca içeri erişim olan yerler de dahil.)

 

Bir sonraki makalemizde Teçhizat Güvenliğinin ISO 27001 Standardındaki yeri ile ilgili konulara değineceğim.  Bu makalenin devamı olarak nitelendirebilirsiniz.

Hakkında Burak Ekşi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi başta olmak üzere ISO 9001, ISO 14001, ISO 22301 vb. standartlarda danışmanlık, eğitmenlik ve baş denetçi olarak çalışmaktayım. ISO 27001 BGYS standardında Onaylı Baş Denetçi Eğitmeniyim. BEK Danışmanlık ve Eğitim hizmetleri Limited Şirketi'nin kurucusuyum.

İlginizi çekebilir...

ic-denetim-nedir-ic-denetim-ne-ise-yarar

İç Denetim Nedir? İç Denetim Ne İşe Yarar?

Yazı İçeriği1 İç denetim nedir?1.1 İç Denetim Ne İşe Yarar?1.1.1 Süreçleri Analiz Eder1.1.2 Uygunluğu İnceler1.1.3 …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir