ISO 27001 – נספח A.11: אבטחה פיזית וסביבתית

מהי המטרה של נספח A.11.1?

נספח A.11.1 עוסק בהבטחת אזורים פיזיים וסביבתיים מאובטחים. המטרה בפיקוח נספח א' זה היא למנוע גישה פיזית בלתי מורשית, נזק והפרעה למתקני המידע ועיבוד המידע של הארגון.

זהו חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001.

A.11.1.1 היקף אבטחה פיזית

זה מתאר את היקפי האבטחה והגבולות שיש בהם אזורים המכילים מידע רגיש או קריטי וכל מתקני עיבוד מידע כגון מחשבים, מחשבים ניידים וכו'. היקפי אבטחה פיזיים מוגדרים כ"כל גבול מעבר בין שני אזורים של דרישות הגנה אבטחה שונות".

זה עשוי להיות די ספציפי כגון; בגבול החיצוני ביותר של האתר ומקיף חללים חיצוניים ופנימיים; בין מחוץ לבניין ובתוכו; בין מסדרון למשרד או בין החלק החיצוני של ארון אחסון ובתוכו. אפשר גם לציין את זה בפשטות בתור המפקדה עם כתובתו והגבולות בהיקפו סביבו.

דוגמאות לסוגי הרכוש והחצרים שהארגון יצטרך לשקול במונחים של אבטחה פיזית עשויות לכלול;

• מרכזי הנתונים המארחים נכסי מידע;
• משרד ראשי;
• עובדים הנוטים לעבוד מהבית; ו
• עובדים הנוסעים ולכן משתמשים בבתי מלון, בחצרי לקוחות וכו'. עם מיקור חוץ הולך וגובר, למשל למרכזי נתונים ושימוש במשרדים שכורים, חשוב גם להתייחס לפקדים אלה עם מדיניות הספקים ב-A15.1 ולמדיניות הנוספת הרבות המשפיעות על הבית/נייד/ גם עובדי טלפון. זה גם משתלב וקשור להיקף שלך ב-4.3.

במילים פשוטות, הארגון חייב להקים אזורים מאובטחים המגנים על המידע ונכסי המידע היקרים שרק אנשים מורשים יכולים לגשת אליהם. זה קשור גם להערכת הסיכונים ותיאבון הסיכון של ארגון בהתאם לפעולות 6.1 לטיפול בסיכונים והזדמנויות.

כדוגמה בסיסית, למשרדים המכילים מידע בעל ערך יש לגשת רק לעובדים של אותו ארגון, או על ידי מתן הרשאה לאחרים, למשל מבקרים, ומשאבי ניקיון/תחזוקת מתקנים חיצוניים שאושרו בהתאם למדיניות הספקים.

A.11.1.2 בקרות כניסה פיזיות

אזורים מאובטחים צריכים להיות מוגנים על ידי בקרות הכניסה המתאימות כדי להבטיח שרק אנשי מורשה יורשו לגשת. כדוגמה ממש בסיסית, רק אותם עובדים שקיבלו את קוד הגישה לאזעקה וקיבלו מפתח יכולים לגשת למשרד. ארגונים שונאי סיכונים רבים יותר ו/או כאלה שיש להם מידע רגיש יותר בסכנה עשויים להעמיק בהרבה עם מדיניות הכוללת גם ביומטריה ופתרונות סריקה.

בקרות כניסה יצטרכו להיבחר וליישם בהתבסס על אופי ומיקומו של האזור המוגן, והיכולת ליישם בקרות כאלה אם למשל, המיקום אינו בבעלות הארגון. התהליכים להענקת גישה באמצעות בקרות הכניסה צריכים להיות חזקים, נבדקים ומנוטרים וייתכן שיהיה צורך גם ברישום ובקרה.

גם השליטה על המבקרים תהיה חשובה במיוחד ויש לקחת בחשבון את התהליכים הקשורים לאלו. יש לתת את הדעת על מתן גישה לאזורים שבהם מעובד או מאוחסן מידע רגיש או מסווג. בעוד שאזורים המכילים ציוד מרכזי של תשתית IT בפרט צריכים להיות מוגנים במידה רבה יותר ולהגביל את הגישה רק לאלה שבאמת צריכים להיות שם. המבקר יצפה לראות שקיימות בקרות מתאימות וכן נבדקים ומפוקחים באופן קבוע.

A.11.1.3 אבטחת משרדים, חדרים ומתקנים

אבטחת משרדים, חדרים ומתקנים אולי נראית קלה ומובן מאליו, אבל כדאי לשקול ולבחון באופן קבוע למי צריכה להיות גישה, מתי ואיך. חלק מהדברים שלעתים קרובות מתגעגעים הם; מי יכול לראות או אפילו לשמוע את המשרד מבחוץ ומה לעשות בקשר לזה?; האם הגישה מתעדכנת כאשר צוות עוזב או עובר, כך שאין צורך יותר בגישה לחדר הספציפי הזה; האם יש צורך ללוות מבקרים באזור זה וכך, נכון?; והאם הצוות ער לאתגר ולדווח על אנשים שהם לא מזהים?

עבור חדרים המשותפים עם אחרים (למשל אם חדר ישיבות במשרד מושכר) המדיניות תכלול גם הגנה ו/או הסרה של נכסים יקרי ערך כאשר הם אינם תפוסים על ידי הארגון - החל ממחשבים ניידים, דרך מידע המתפרסם על לוחות, טבלאות ועוד. .

המבקר החיצוני יבדוק את בקרות האבטחה של משרדים, חדרים ומתקנים ויבדוק שיש ראיות ליישום, תפעול וביקורת נאותים מבוססי סיכונים בקרה על בסיס תקופתי.

A.11.1.4 הגנה מפני איומים חיצוניים וסביבתיים

בקרה זו מתארת ​​כיצד מונעת הגנה פיזית מפני אסונות טבע, התקפות זדוניות או תאונות.

איומים סביבתיים יכולים להיות מתרחשים באופן טבעי (כגון שיטפונות, טורנדו, ברקים וכו') או מעשה ידי אדם (למשל דליפת מים ממתקנים, תסיסה אזרחית וכו'). צריך לעשות שיקולים לאיומים כאלה ולזהות סיכונים, להעריך ולטפל כראוי. איומים מסוימים (למשל ישיבה במישור שיטפונות) עשויים להיות בלתי נמנעים ללא עלות או אי נוחות ניכרת, עם זאת, אין זה אומר שאין פעולות שניתן לבצע. ייעוץ מומחה עשוי להידרש בהיבטים מסוימים של ניהול סביבתי ויש לשקול אותו במידת הצורך.

הבנת המיקום שלך ומה נמצא בסביבה הקרובה היא קריטית לזיהוי סיכונים פוטנציאליים. המבקר יחפש ראיות לכך שהושקעה מחשבה בזיהוי איומים ופגיעות פוטנציאליים (הן מתרחשים באופן טבעי והן מעשה ידי אדם) וכי סיכונים סביבתיים הוערכו וטופלו או נסבלו בהתאם.

A.11.1.5 עבודה באזורים מאובטחים

אחת מבקרות הגישה שזוהו והוטמעו עבור אזורים מאובטחים, חשוב שהן יושלמו עם בקרות פרוצדורליות הנוגעות לסיכונים שעלולים להתרחש כאשר נמצאים בתוך האזור המאובטח. לדוגמה, ייתכן שיהיה צורך להיות:

מודעות מוגבלת למיקומם ולתפקודם של אזורים מאובטחים;
הגבלות על שימוש בציוד הקלטה בתוך אזורים מאובטחים;
הגבלה על עבודה ללא פיקוח בתוך אזורים מאובטחים בכל מקום אפשרי;
ניטור ורישום כניסה ויציאה.
לאחר שבדק את בקרות הגישה לאזור המאובטח, המבקר יחפש לראות שהן נתמכות, במידת הצורך עם מדיניות ונהלים מתאימים ושעדויות לניהולן נשמרות.

A.11.1.6 אזורי משלוח וטעינה

נקודות גישה כגון אזורי מסירה והעמסה ונקודות אחרות שבהן אנשים לא מורשים עלולים להיכנס למתחם יהיו מבוקרות ובמידת האפשר מבודדות ממתקני עיבוד מידע כדי למנוע גישה בלתי מורשית. ייתכן שלמקומות עבודה בענן בלבד או דיגיטליים לא יהיה צורך במדיניות או בקרה סביב אזורי מסירה וטעינה; במקרה זה הם ישימו לב לכך ויוציאו זאת במפורש מהצהרת התחולה (SOA).

עבור ארגונים מסוימים, אזורי מסירה/טעינה אינם זמינים או שאינם נשלטים על ידי הארגון (למשל, אירוח משרדי משותף). עם זאת, כאשר הארגון יכול לשלוט או להשפיע על תחומים אלה, חשוב שסיכונים יאותרו ויבדקו ולפיכך ייושמו בקרות מתאימות. דוגמאות לבקרות אלה עשויות לכלול; מיקום הרחק מבניין המשרדים הראשי; שמירה נוספת; ניטור והקלטה במעגל סגור; ונהלים למניעת גישה חיצונית ופנימית פתוחה בו זמנית.

המבקר יבדוק את הגנת המסירה והטעינה כדי להבטיח שקיימות בקרות מתאימות הקשורות לבקרה של חומרים נכנסים (למשל משלוחים) ובקרה של חומרים יוצאים (למשל למניעת דליפת מידע). אמנם, רמת הבטחון סביב אספקה ​​וטעינה ביחס לרמות הסיכון המוערכות שהמבקר יחפש תהיה תלויה בזמינות ובבעלות של מתקנים כאלה.

מהי המטרה של נספח A.11.2?

נספח A.11.2 עוסק בציוד. המטרה בבקרה נספח א' זה היא למנוע אובדן, נזק, גניבה או פגיעה בנכסים והפרעה לפעילות הארגון.

A.11.2.1 מיקום והגנה על ציוד

יש למקם ולהגן על הציוד כדי להפחית את הסיכונים מאיומים וסיכונים סביבתיים, ומפני גישה בלתי מורשית. מיקום הציוד ייקבע על ידי מספר גורמים לרבות גודל ואופי הציוד, השימוש המוצע בו ונגישות ודרישות סביבתיות. האחראים לאיתור ציוד חייבים לערוך הערכת סיכונים וליישם את הדברים הבאים במידת האפשר בהתאם לרמות הסיכון:

• יש למקם מתקני עיבוד מידע (מחשבים ניידים, שולחניים וכו') המטפלים בנתונים רגישים ולהגביל את זווית הצפייה כדי להפחית את הסיכון שאנשים לא מורשים יצפו במידע במהלך השימוש בהם.
• מתקני אחסון מאובטחים כדי למנוע גישה בלתי מורשית עם מפתחות המוחזקים על ידי בעלי מפתח מורשים.
• יש להרחיק מזון ושתייה מציוד ICT.
• נתבים אלחוטיים, מדפסות משותפות וכו' צריכים להיות ממוקמים כך שיאפשרו גישה נוחה בעת הצורך ולא יסיח את דעתו של אף אחד מעבודתו או שיישאר מידע על המדפסת שלא אמור להיות שם.
• מתקני עיבוד מידע כמו מחשבים ניידים ממוקמים כך שהם מאוחסנים בצורה מאובטחת כאשר אינם בשימוש וניתן לגשת אליהם בקלות בעת הצורך.
• עובדי הבית צריכים גם לשקול היטב את מיקומם ואת מיקומו של הציוד כדי למנוע סיכונים דומים לאלו המופנים לעובדים במשרדים, כמו גם שימוש או גישה לא מכוונת על ידי בני משפחה וחברים.

A.11.2.2 כלי עזר תומכים

יש להגן על הציוד מפני תקלות חשמל ושיבושים אחרים הנגרמים כתוצאה מכשלים בכלי עזר תומכים. לדוגמה, יש להעריך ולשקול סיכונים הקשורים לאספקת חשמל תקולה או פגומה. זה עשוי לכלול; ספקי כוח כפולים מתחנות משנה שונות; גיבוי מתקני ייצור חשמל; בדיקה שוטפת של אספקת חשמל וניהול. עבור טלקומוניקציה, על מנת לשמור על יכולת המשך המשך - השיקולים עשויים לכלול; ניתוב כפול או מרובה; איזון עומסים ויתירות בציוד מיתוג; ניטור והתראה של קיבולת רוחב פס.

רבים מהסיכונים יתייחסו ל"זמינות" של מערכות עיבוד מידע ולכן בקרות צריכות לתמוך בדרישות העסקיות לזמינות בהתאם לכל תכנון המשכיות עסקית והערכות השפעה המתבצעות למטרה זו. המבקר יחפש ראיות לכך שבקרות נבדקו באופן קבוע כדי לוודא שהן פועלות כהלכה לרמות הרצויות (מחוללי גיבוי וכו').

A.11.2.3 אבטחת כבלים

יש להגן על כבלי חשמל וטלקומוניקציה הנושאים נתונים או שירותי מידע תומכים מפני יירוט, הפרעות או נזק. אם כבלי החשמל והרשת אינם ממוקמים ומוגנים כראוי, ייתכן שתוקף יוכל ליירט או לשבש תקשורת או לכבות את אספקת החשמל.

בכל מקום אפשרי, כבלי רשת וכבלי חשמל צריכים להיות מתחת לאדמה או מוגנים ומופרדים בדרך אחרת כדי להגן מפני הפרעות. בהתאם לרגישות או לסיווג הנתונים, ייתכן שיהיה צורך להפריד בין כבלי תקשורת לרמות שונות ובנוסף לבדוק נקודות סיום עבור התקנים לא מורשים. המבקר יבצע בדיקה ויזואלית של הכבלים ואם הם רלוונטיים לרמת הסיווג/סיכון בקש הוכחה לבדיקה ויזואלית.

A.11.2.4 תחזוקת ציוד

יש לתחזק את הציוד בצורה נכונה כדי להבטיח את זמינותו ואת תקינותו המתמשכת. הדרישה לתחזוקה שוטפת, מונעת ותגובתית של הציוד תשתנה בהתאם לסוג, אופי, סביבת המיקום ומטרת הציוד וכל הסכמים חוזיים עם יצרנים וספקי צדדים שלישיים. צריך לבצע תחזוקה בציוד בתדרים המתאימים כדי להבטיח שהוא יישאר פונקציונלי ביעילות וכדי להפחית את הסיכון לכשל.

זה רעיון טוב לשמור על לוחות זמנים לתחזוקה כהוכחה למבקר אם הציוד שלך זקוק לטיפול או שיש לו תיקונים (ניתן לקשור את זה בצורה מסודרת למלאי נכסי המידע של A8.1.1 אם תרצה). יומנים של תחזוקה זו צריכים לכלול מי ביצע את התחזוקה, מה בוצע ומי אישר את התחזוקה. המבקר יבדוק את היומנים הללו כדי לראות כי לוחות הזמנים הולמים ופרופורציונליים, וכי הפעילויות אושרו ובוצעו כראוי.

א.11.2.5 הסרת נכסים

ציוד, מידע או תוכנה שנלקחו מחוץ לאתר גם ניהול הצרכים. זה עשוי להיות נשלט באמצעות צורה כלשהי של תהליך צ'ק-אין-אאוט או יותר פשוט משויך לעובד כחלק מתפקידו ומנוהל בהתאם לתנאי העסקתו - נספח A 7 שאמור לעסוק באבטחת מידע כמובן!

בעולם העבודה הנייד תמיד, נכסים מסוימים, כגון מכשירים ניידים, עשויים להיות מוסרים באופן שגרתי מהשטחים הארגוניים כדי להקל על עבודה ניידת או ביתית. כאשר נכסים לא מתוכננים להסרה באופן שגרתי מהאתר או אם הם בעלי אופי רגיש, מסווג מאוד, בעל ערך או שביר, יש לקיים תהליכים לבקש ולאשר הסרה ולבדיקת החזרת הנכסים.

שיקול להגבלת משך הזמן שבו מותר להסיר נכסים צריכה להתבצע וצריכה להיות מבוססת סיכונים. המבקר יחפש לראות שהערכות סיכונים אלו בוצעו למקרים בהם מתרחשת הסרה לא שגרתית של נכסים ולמדיניות הקובעת מה שגרתי ומה לא.

A.11.2.6 אבטחת ציוד ונכסים מחוץ לשטח

יש להחיל בקרות אבטחה על נכסים מחוץ לאתר, תוך התחשבות בסיכונים השונים הכרוכים בעבודה מחוץ לשטח הארגון. זהו תחום נפוץ של פגיעות ולכן חשוב שרמת הבקרה המתאימה תיושם ותקושר לבקרות ומדיניות ניידות אחרות עבור עובדי בית וכו'.

יש לעשות שיקולים ולבצע הערכות סיכונים עבור נכסים שהוצאו מהאתר, באופן שגרתי או חריג. בקרות ככל הנראה יכללו תערובת של; בקרות טכניות כגון מדיניות בקרת גישה, ניהול סיסמאות, הצפנה; בקרה פיזית כגון Kensington Locks עשויה גם להיחשב; לצד בקרות מדיניות ותהליכים כגון הוראה לעולם לא להשאיר נכסים ללא השגחה לעיני הציבור (למשל נעילה בתא המטען של המכונית).

חשוב במיוחד לסקור מגמות של אירועי אבטחה הקשורים לנכסים מחוץ לאתר. המבקר יצפה לראות ראיות להערכת סיכונים זו המתקיימת ואת הבקרות המידתיות שנבחרו בהתאם לרמות הסיכון המוערכות. הם גם יצפו לראות ראיות לעמידה במדיניות.

A.11.2.7 סילוק מאובטח או שימוש חוזר בציוד

יש לאמת את כל פריטי הציוד לרבות מדיית אחסון כדי להבטיח שכל מידע רגיש ותוכנה מורשית הוסרו או הוחלפו בצורה מאובטחת לפני השלכה או שימוש חוזר. זהו תחום נוסף של פגיעות נפוצה שבה תקריות רבות נוצרו כתוצאה משיטות סילוק לקויות או שימוש חוזר.

אם ציוד מסולק מהכיל מידע רגיש, חיוני שמכשירים ורכיבים נושאי נתונים יושמדו פיזית או יימחקו בצורה מאובטחת באמצעות כלים וטכנולוגיות מתאימות. אם עומדים לעשות שימוש חוזר בציוד, חשוב שכל נתונים קודמים ותוכנה שעלולה להיות מותקנת "ימחקו" בצורה מאובטחת והמכשיר יוחזר למצב "נקי" ידוע. בהתאם לרמת הרגישות של הנתונים הכלולים על ציוד המושמד, ייתכן שיהיה צורך להבטיח הרס פיזי וזה צריך להיעשות באמצעות תהליך שניתן לביקורת מלאה.

לעתים קרובות נעשה שימוש בחברות צד שלישי לסילוק, ואם זה המקרה חיוני להבטיח את הרמה המתאימה של "תעודת השמדה" מסופקת - לקוחות רבי עוצמה עשויים לצפות לראות זאת גם אם יש לך נתוני לקוחות יקרי ערך וחלק מ החוזה שלך איתם מציין השמדה בטוחה.

לצורך בקרה זו, המבקר יחפש לראות כי קיימים טכנולוגיות, מדיניות ותהליכים מתאימות וכי עדויות להרס או מחיקה מאובטחת בוצעו כראוי בעת הצורך (קשורים לביטול משימוש במלאי נכסי המידע שלך גם במקרה הרלוונטי) .

A.11.2.8 ציוד למשתמש ללא השגחה

כמו באבטחת משרדים, על המשתמשים לוודא שלכל ציוד ללא השגחה יש את ההגנה המתאימה, גם אם זו סיסמה ומסך נעילה לאבטחת מידע בסיסית. הגיון בריא להגן על ציוד כאשר משאירים אותו ללא השגחה, אולם הדבר יהיה תלוי ברמות האמון הניתנות במיקום שבו הושאר המכשיר (למשל חדרי שינה בבתי מלון, אולמות כנסים וכו'). יש לשקול גם הנחות ארגוניות אם קיים סיכון, למשל נפח גבוה של תנועת מבקרים, שולחן עבודה חם על ידי צוות המחליף תכופות עם תפקידים שונים.

אם משאירים ציוד למשך הלילה שבו עשויה להיות גישה לניקיון ולקבלנים אחרים מחוץ לשעות המשרד הרגילות, חשוב לקחת בחשבון את הסיכונים של גניבה ושיבול ולהפעיל בקרות הגיוניות והולמות. מדיניות, תהליכים ותוכניות מודעות צריכים להיות במקום כדי להבטיח שהמשתמשים מודעים לאחריותם כאשר משאירים ציוד ללא השגחה בתוך הארגון או מחוצה לו אם הוא נייד.

המבקר יחפש לראות כי קיימות שכבות בקרה המתאימות לרמות הסיכון וכי קיימות ראיות לבדיקת תאימות (למשל, בדיקות הליכה לאחר שעות שעות הפעילות או בהפסקות צהריים הן שכבות פופולריות לביקורות באתר).

A.11.2.9 נקה את מדיניות השולחן והמסך

בדרך כלל יש לאמץ נהלי תפעול של ניירות ואמצעי אחסון נשלפים ומדיניות מסך ברורה עבור מתקנים לעיבוד מידע, אלא אם כן כל שאר הבקרות והסיכונים אומרות שהם אינם נדרשים. מדיניות ברורה של שולחן עבודה ומסך ברורים נחשבים לתרגול טוב והם פשוטים יחסית ליישום, עם זאת, בסביבות תפעוליות רגישות לזמן הם עשויים שלא להיות מעשיים.

במקרה זה ניתן ליישם במקום בקרה אחרת המיועדת לניהול הסיכונים. לדוגמה, אם למשרד יש רמה חזקה של בקרת גישה פיזית עם מעט מאוד תעבורת מבקרים וקבלנים חיצוניים, בקרה כזו עשויה להיחשב מיותרת, עם זאת, הסיכון של "איום פנימי" עדיין עשוי להיות רלוונטי ויכול להיות ברמות בלתי מקובלות. בסופו של דבר, כמו בכל שיקולי אבטחה, ההחלטות הנוגעות ליישום או לא של מדיניות שולחן ברורה ומסך ברור צריכות להתבסס על הערכת סיכונים.

המבקר יחפש לראות כיצד ההחלטות ליישום או לא ברור של מדיניות שולחן ומסך ברורה התקבלו ונבדקו בתדירות מתאימה. אם מדיניות כזו קיימת, הם יחפשו ראיות לבדיקות תאימות ולדיווח וניהול של הפרות כלשהן.