ISO 27001 – Vedlegg A.11: Fysisk og miljømessig sikkerhet

Hva er formålet med vedlegg A.11.1?

Vedlegg A.11.1 handler om å sikre trygge fysiske og miljømessige områder. Målet i denne vedlegg A-kontrollen er å forhindre uautorisert fysisk tilgang, skade og forstyrrelse av organisasjonens informasjons- og informasjonsbehandlingsfasiliteter.

Det er en viktig del av styringssystemet for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering.

A.11.1.1 Fysisk sikkerhetsomkrets

Dette beskriver sikkerhetsomkrets og grenser som har områder som inneholder enten sensitiv eller kritisk informasjon og eventuelle informasjonsbehandlingsfasiliteter som datamaskiner, bærbare datamaskiner osv. En fysisk sikkerhetsperimeter er definert som "enhver overgangsgrense mellom to områder med forskjellige sikkerhetskrav".

Dette kan være ganske spesifikt som; Ved den ytterste grensen av området og omfatter utendørs og innendørs rom; Mellom utenfor en bygning og inne i den; Mellom korridor og kontor eller mellom utsiden av et oppbevaringsskap og inne i det. Det kan også oppgis ganske enkelt som å være hovedkvarteret med sin adresse og grensene i omfang rundt det.

Eksempler på typen eiendom og lokaler organisasjonen må vurdere når det gjelder fysisk sikkerhet kan omfatte;

• Datasentrene som er vert for informasjonsressurser;
• Hovedkontor;
• Arbeidstakere som pleier å jobbe hjemmefra; og
• Arbeidstakere som reiser og derfor bruker hotell, kundelokaler etc. Med økende outsourcing for f.eks. datasentre og bruk av leide kontorer er det også viktig å referere til disse kontrollene med leverandørpolicyen i A15.1 og de mange andre policyene som påvirker hjem/mobil/ telearbeidere også. Dette samsvarer også med og er relatert til omfanget ditt i 4.3.

Enkelt sagt må organisasjonen etablere sikre områder som beskytter den verdifulle informasjonen og informasjonsmidlene kun autoriserte personer har tilgang til. Dette er også knyttet til risikovurdering og risikoappetitt for en organisasjon i tråd med 6.1-handlinger for å adressere risikoer og muligheter.

Som et grunnleggende eksempel bør kontorer som inneholder verdifull informasjon kun nås av ansatte i den organisasjonen, eller ved at tillatelse gis for andre, f.eks. besøkende, og eksterne rengjøringsmidler/vedlikeholdsressurser for anlegg som er godkjent i tråd med leverandørens retningslinjer.

A.11.1.2 Fysiske inngangskontroller

Sikre områder må beskyttes av passende inngangskontroller for å sikre at kun autorisert personell har tilgang. Som et virkelig grunnleggende eksempel er det kun de ansatte som har fått alarmadgangskoden og fått nøkkel, som får tilgang til kontoret. Mer risikovillige organisasjoner og eller de med mer sensitiv informasjon som er truet, kan gå mye dypere med retningslinjer som også inkluderer biometri og skanneløsninger.

Inngangskontroller vil måtte velges og implementeres basert på arten og beliggenheten til området som vernes, og muligheten til å gjennomføre slike kontroller hvis for eksempel stedet ikke eies av organisasjonen. Prosessene for å gi tilgang gjennom inngangskontrollene må være robuste, testet og overvåket og må kanskje også logges og revideres.

Kontroll av besøkende vil også være spesielt viktig og prosessene knyttet til slike bør vurderes. Det bør tas ekstra hensyn til at det gis tilgang til områder der sensitiv eller gradert informasjon behandles eller lagres. Mens spesielt områder som inneholder viktig IT-infrastrukturutstyr må beskyttes i større grad og tilgang begrenses til bare de som virkelig trenger å være der. Revisor vil forvente å se at hensiktsmessige kontroller er på plass, samt regelmessig testet og overvåket.

A.11.1.3 Sikring av kontorer, rom og fasiliteter

Sikkerhet av kontorer, rom og fasiliteter kan virke enkelt og opplagt, men det er verdt å vurdere og jevnlig gjennomgå hvem som skal ha tilgang, når og hvordan. Noen av tingene som ofte blir savnet er; Hvem kan se eller til og med høre inn på kontoret utenfra og hva skal man gjøre med det?; Er tilgangen oppdatert når personalet forlater eller flytter, så trenger ikke lenger tilgang til dette spesielle rommet; Trenger besøkende å bli eskortert i dette området og er det, er de?; Og er personalet på vakt med å utfordre og rapportere folk de ikke kjenner igjen?

For rom som deles med andre (f.eks. hvis et leid kontormøterom) vil retningslinjene også omfatte beskyttelse og/eller fjerning av verdifulle eiendeler når det ikke er okkupert av organisasjonen – alt fra bærbare datamaskiner, til informasjon lagt ut på tavler, flippovertavler osv. .

Ekstern revisor vil inspisere sikkerhetskontrollene for kontorer, rom og fasiliteter og kontrollere at det er bevis for tilstrekkelig, risikobasert kontrollimplementering, drift og gjennomgang med jevne mellomrom.

A.11.1.4 Beskyttelse mot eksterne og miljømessige trusler

Denne kontrollen beskriver hvordan fysisk beskyttelse mot naturkatastrofer, ondsinnede angrep eller ulykker forhindres.

Miljøtrusler kan være naturlig forekommende (f.eks. flom, tornadoer, lyn osv.) eller menneskeskapte (f.eks. vannlekkasje fra anlegg, sivil uro osv.). Det må tas hensyn til slike trusler, og risikoer må identifiseres, vurderes og behandles på riktig måte. Noen trusler (f.eks. å sitte på en flomslette) kan være uunngåelige uten betydelige kostnader eller ulemper, men det betyr ikke at det ikke er noen handlinger som kan iverksettes. Spesialistrådgivning kan være nødvendig for enkelte aspekter ved miljøledelse og bør vurderes om nødvendig.

Å forstå posisjonen din og hva som er i umiddelbar nærhet er avgjørende for å identifisere potensielle risikoer. Revisor vil se etter bevis på at det har vært tenkt på å identifisere potensielle trusler og sårbarheter (både naturlig forekommende og menneskeskapte) og at miljørisikoer har blitt vurdert og enten behandlet eller tolerert deretter.

A.11.1.5 Arbeid i sikre områder

En av tilgangskontrollene er identifisert og implementert for sikre områder, er det viktig at disse er supplert med prosedyrekontroller knyttet til risikoer som kan oppstå innenfor det sikre området. Det kan for eksempel være nødvendig:

En begrenset bevissthet om plasseringen og funksjonen til sikre områder;
Restriksjoner på bruk av opptaksutstyr innenfor sikre områder;
Begrensning av arbeid uten tilsyn innenfor sikre områder der det er mulig;
Inn og ut overvåking og logging.
Etter å ha inspisert tilgangskontrollene for det sikre området, vil revisor deretter se etter at disse støttes, der det er nødvendig med hensiktsmessige retningslinjer og prosedyrer, og at bevis for ledelsen opprettholdes.

A.11.1.6 Leverings- og lasteområder

Tilgangspunkter som leverings- og lasteområder og andre punkter der uvedkommende kan komme inn i lokalene, skal kontrolleres og om mulig isoleres fra informasjonsbehandlingsanlegg for å unngå uautorisert tilgang. Bare nettsky eller digitale arbeidsplasser har kanskje ikke noe behov for en policy eller kontroll rundt leverings- og lasteområder; i så fall vil de legge merke til det og spesifikt ekskludere dette fra Statement of Applicability (SOA).

For noen organisasjoner er leverings-/lasteområder enten ikke tilgjengelige eller ikke kontrollert av organisasjonen (f.eks. en delt kontorinnkvartering). Men der organisasjonen kan kontrollere eller påvirke disse områdene, er det viktig at risikoer identifiseres og vurderes og hensiktsmessige kontroller derfor implementeres. Eksempler på disse kontrollene kan omfatte; Plassering vekk fra hovedkontorbygningen; Ekstra vakthold; CCTV overvåking og opptak; Og prosedyrer for å forhindre at ekstern og intern tilgang er åpen samtidig.

Revisor vil inspisere leverings- og lastebeskyttelsen for å sikre at det er hensiktsmessige kontroller knyttet til kontroll av innkommende materialer (f.eks. leveranser) og kontroll av utgående materialer (f.eks. for å forhindre informasjonslekkasje). Selv om nivået av sikkerhet rundt levering og lasting i forhold til de vurderte risikonivåene som revisor vil se etter vil avhenge av tilgjengeligheten og eierskapet til slike anlegg.

Hva er formålet med vedlegg A.11.2?

Vedlegg A.11.2 handler om utstyr. Målet i denne vedlegg A-kontrollen er å forhindre tap, skade, tyveri eller kompromittering av eiendeler og avbrudd i organisasjonens drift.

A.11.2.1 Plassering og beskyttelse av utstyr

Utstyr må plasseres og beskyttes for å redusere risikoen fra miljøtrusler og farer, og mot uautorisert tilgang. Plasseringen av utstyret vil bli bestemt av en rekke faktorer, inkludert størrelsen og arten av utstyret, dets foreslåtte bruk og tilgjengelighet og miljøkrav. De som er ansvarlige for plassering av utstyr skal gjennomføre en risikovurdering og anvende følgende der det er mulig i tråd med risikonivåene:

• Informasjonsbehandlingsfasiliteter (bærbare datamaskiner, stasjonære maskiner osv.) som håndterer sensitive data bør plasseres og visningsvinkelen begrenses for å redusere risikoen for at informasjon blir sett av uautoriserte personer under bruk.
• Lagringsanlegg er sikret for å unngå uautorisert tilgang med nøkler inneholdt av autoriserte nøkkelinnehavere.
• Mat og drikke skal holdes unna IKT-utstyr.
• Trådløse rutere, delte skrivere osv. bør plasseres for å gi enkel tilgang når det er nødvendig og ikke distrahere noen fra å jobbe eller ha informasjon igjen på skriveren som ikke skal være der.
• Informasjonsbehandlingsfasiliteter som bærbare datamaskiner er plassert slik at de er trygt lagret når de ikke er i bruk og lett tilgjengelige når det er nødvendig.
• Hjemmearbeidere må også vurdere deres plassering og plassering av utstyr nøye for å unngå risikoer som ligner på de som er adressert for arbeidere på kontoret, samt utilsiktet bruk eller tilgang av familie og venner.

A.11.2.2 Støtteverktøy

Utstyr må beskyttes mot strømbrudd og andre forstyrrelser forårsaket av feil i støtteverktøy. For eksempel bør risikoer knyttet til sviktende eller defekte strømforsyninger vurderes og vurderes. Dette kan inkludere; Doble strømforsyninger fra forskjellige understasjoner; Reservekraftproduksjonsanlegg; Regelmessig testing av strømforsyning og styring. For telekommunikasjon, for å opprettholde evnen til å fortsette – kan hensyn omfatte; Dobbel eller flere ruting; Lastbalansering og redundans i bytteutstyr; Overvåking og varsling av båndbreddekapasitet.

Mange av risikoene vil være knyttet til "tilgjengeligheten" av informasjonsbehandlingssystemer, og derfor bør kontroller støtte forretningskravene til tilgjengelighet i tråd med enhver forretningskontinuitetsplanlegging og konsekvensanalyser utført for dette formålet. Revisor vil se etter bevis på at kontroller har blitt testet regelmessig for å sikre at de fungerer korrekt til de ønskede nivåene (backup-generatorer osv.).

A.11.2.3 Kablingssikkerhet

Strøm- og telekommunikasjonskabler som bærer data eller støttende informasjonstjenester må beskyttes mot avlytting, forstyrrelser eller skade. Hvis strøm- og nettverkskabler ikke er plassert og beskyttet tilstrekkelig, er det mulig at en angriper kan avskjære eller forstyrre kommunikasjon eller slå av strømforsyningen.

Der det er mulig, bør nettverks- og strømkabler være under jord eller på annen måte beskyttet og adskilt for å beskytte mot forstyrrelser. Avhengig av sensitivitet eller klassifisering av data kan det være nødvendig å skille kommunikasjonskabler for ulike nivåer og i tillegg inspisere termineringspunkter for uautoriserte enheter. Revisor vil inspisere kablene visuelt, og hvis de er relevante for klassifiserings-/risikonivået, be om bevis for visuell inspeksjon.

A.11.2.4 Vedlikehold av utstyr

Utstyret bør vedlikeholdes riktig for å sikre fortsatt tilgjengelighet og integritet. Kravet til rutinemessig, forebyggende og reaktivt vedlikehold av utstyr vil variere i henhold til utstyrets type, art, lokaliseringsmiljø og formål og eventuelle kontraktsmessige avtaler med produsenter og tredjepartsleverandører. Vedlikehold må utføres på utstyr med passende frekvenser for å sikre at det forblir effektivt funksjonelt og for å redusere risikoen for feil.

Det er en god idé å holde vedlikeholdsplaner som bevis for revisoren hvis utstyret ditt trenger service eller har reparasjoner (dette kan pent kobles inn i A8.1.1-informasjonsressursen om ønskelig). Logger over dette vedlikeholdet bør inkludere hvem som utførte vedlikeholdet, hva som ble utført og hvem som autoriserte vedlikeholdet. Revisor vil sjekke disse loggene for å se at tidsplanene er tilstrekkelige og forholdsmessige, og at aktivitetene har blitt riktig godkjent og utført.

A.11.2.5 Fjerning av eiendeler

Utstyr, informasjon eller programvare tatt utenfor stedet trenger også administrasjon. Det kan kontrolleres med en eller annen form for sjekk inn-ut-prosess eller mer enkelt knyttet til en ansatt som en del av deres rolle og administreres i samsvar med deres vilkår og ansettelsesvilkår – vedlegg A 7 som selvfølgelig skal omhandle informasjonssikkerhet!

I den stadig mobile arbeidsverdenen, kan enkelte eiendeler, for eksempel mobile enheter, rutinemessig fjernes fra organisasjonslokaler for å lette mobil- eller hjemmearbeid. Der eiendeler ikke er utformet for å fjernes rutinemessig fra stedet, eller hvis de er av sensitiv, høyt klassifisert, verdifull eller skjør natur, bør det være på plass prosesser for å be om og godkjenne fjerning og for å kontrollere retur av eiendelene.

Det bør tas hensyn til å begrense hvor lang tid eiendeler tillates fjernet og bør være risikobasert. Revisor vil se etter at disse risikovurderingene er utført for når ikke-rutinemessig fjerning av eiendeler skjer og for retningslinjer som bestemmer hva som er rutine og ikke.

A.11.2.6 Sikkerhet for utstyr og eiendeler utenfor lokaler

Sikkerhetskontroller må brukes på eiendeler utenfor anlegget, og tar hensyn til de ulike risikoene forbundet med arbeid utenfor organisasjonens lokaler. Dette er et vanlig sårbarhetsområde, og det er derfor viktig at riktig nivå av kontroller implementeres og knyttes til andre mobile kontroller og policyer for hjemmearbeidere etc.

Det bør gjøres vurderinger og risikovurderinger for eiendeler som tas ut av stedet, enten rutinemessig eller ved unntak. Kontroller vil sannsynligvis inkludere en blanding av; Tekniske kontroller som tilgangskontrollpolicyer, passordadministrasjon, kryptering; Fysiske kontroller som Kensington-låser kan også vurderes; sammen med policy- og prosesskontroller som instruksjoner om å aldri la eiendeler være uten tilsyn i offentlig visning (f.eks. låsing i bagasjerommet på bilen).

Det er spesielt viktig å gjennomgå trender for sikkerhetshendelser knyttet til eiendeler utenfor stedet. Revisor vil forvente å se bevis på at denne risikovurderingen finner sted og de forholdsmessige kontrollene valgt i henhold til de evaluerte risikonivåene. De vil også forvente å se bevis på overholdelse av retningslinjene.

A.11.2.7 Sikker avhending eller gjenbruk av utstyr

Alt utstyr, inkludert lagringsmedier, bør verifiseres for å sikre at alle sensitive data og lisensiert programvare er fjernet eller sikkert overskrevet før avhending eller gjenbruk. Dette er et annet område med vanlig sårbarhet der mange hendelser har oppstått fra dårlig avhending eller gjenbrukspraksis.

Hvis utstyr som inneholdt sensitiv informasjon blir kastet, er det avgjørende at databærende enheter og komponenter enten blir fysisk ødelagt eller slettet på en sikker måte ved hjelp av passende verktøy og teknologier. Hvis utstyr skal gjenbrukes, er det viktig at alle tidligere data og potensielt installert programvare "tørkes" på en sikker måte og at enheten returneres til en kjent "ren" tilstand. Avhengig av sensitivitetsnivået til dataene på utstyr som blir ødelagt, kan det være nødvendig å sikre fysisk ødeleggelse, og dette bør gjøres ved hjelp av en prosess som kan revideres fullstendig.

Ofte brukes tredjepartsselskaper for avhending, og hvis dette er tilfellet er det viktig å sikre at det riktige nivået av "destruksjonssertifikat" leveres – kraftige kunder kan forvente å se dette også hvis du har hatt verdifull kundedata og en del av kontrakten din med dem spesifiserer sikker ødeleggelse.

For denne kontrollen vil revisor se etter at hensiktsmessige teknologier, retningslinjer og prosesser er på plass, og at bevis på ødeleggelse eller sikker sletting har blitt utført på riktig måte når det er nødvendig (koblet tilbake til dekommisjonering i din informasjonsmiddelbeholdning der det også er relevant) .

A.11.2.8 Ubetjent brukerutstyr

Som med sikring av kontorer, må brukere sørge for at alt ubetjent utstyr har passende beskyttelse, selv om det er et passord og låseskjerm for grunnleggende informasjonssikkerhet. Det er sunn fornuft å beskytte utstyr når du lar det være uten tilsyn, men dette vil avhenge av tilliten som er plassert på stedet der enheten blir stående (f.eks. hotellrom, konferanselokaler osv.). Organisasjonslokaler må også vurderes hvis det er en risiko, f.eks. stor mengde besøkende trafikk, hot desking av hyppig skiftende ansatte med ulike roller.

Hvis utstyr blir stående over natten der rengjøring og andre entreprenører kan ha tilgang utenom normal kontortid, er det viktig å vurdere risikoen for tyveri og tukling og bruke fornuftige og tilstrekkelige kontroller. Retningslinjer, prosesser og bevisstgjøringsprogrammer bør være på plass for å sikre at brukere er klar over sitt ansvar når de forlater utstyr uten tilsyn enten i organisasjonen eller utenfor hvis det er mobilt.

Revisor vil se etter at det er på plass kontrolllag som er passende for risikonivåene og at det er bevis på samsvarskontroll (f.eks. er inspeksjoner etter arbeidstid eller i lunsjpauser populært for revisjoner på stedet).

A.11.2.9 Fjern retningslinjer for skrivebord og skjerm

Driftsprosedyrer for papirer og flyttbare lagringsmedier og en klar skjermpolicy for informasjonsbehandlingsanlegg bør generelt vedtas med mindre alle andre kontroller og risikoer betyr at de ikke er nødvendige. Tydelige retningslinjer for skrivebord og klare skjermer anses som god praksis og er relativt enkle å implementere, men i noen tidsfølsomme driftsmiljøer er de kanskje ikke praktiske.

I dette tilfellet kan andre kontroller designet for å håndtere risikoen implementeres i stedet. For eksempel, hvis et kontor har et sterkt nivå av fysisk tilgangskontroll med svært lite besøkende og ekstern entreprenørtrafikk, kan slike kontroller anses som unødvendige, men risikoen for "insidertrussel" kan fortsatt være relevant og kan være på uakseptable nivåer. Til syvende og sist, som med alle sikkerhetshensyn, bør beslutninger knyttet til implementering eller ikke av klare retningslinjer og klare skjermer være basert på risikovurdering.

Revisor vil se på hvordan beslutningene om å implementere eller ikke klare retningslinjer for skrivebord og klare skjermer ble tatt og gjennomgått med en passende frekvens. Hvis slike retningslinjer er på plass, vil de se etter bevis på samsvarstesting og rapportering og håndtering av eventuelle brudd.