ISO 27001 – Bilaga A.11: Fysisk säkerhet och miljösäkerhet

Vad är syftet med bilaga A.11.1?

Bilaga A.11.1 handlar om att säkerställa säkra fysiska och miljömässiga områden. Målet i denna bilaga A-kontroll är att förhindra obehörig fysisk åtkomst, skada och störning av organisationens informations- och informationsbehandlingsanläggningar.

Det är en viktig del av ledningssystemet för informationssäkerhet (ISMS), särskilt om du vill uppnå ISO 27001-certifiering.

A.11.1.1 Fysisk säkerhetsperimeter

Detta beskriver säkerhetsperimetrar och gränser som har områden som innehåller antingen känslig eller kritisk information och eventuell informationsbehandling såsom datorer, bärbara datorer etc. En fysisk säkerhetsperimeter definieras som "alla övergångsgränser mellan två områden med olika säkerhetsskyddskrav".

Detta kan vara ganska specifikt som; Vid platsens yttersta gräns och omfattar utomhus- och inomhusutrymmen; Mellan utanför en byggnad och inuti den; Mellan korridor och kontor eller mellan utsidan av ett förvaringsskåp och inuti det. Det kan också helt enkelt anges som att det är HQ med dess adress och gränserna i omfattning runt det.

Exempel på de typer av fastigheter och lokaler som organisationen kommer att behöva ta hänsyn till när det gäller fysisk säkerhet kan vara;

• Datacenter som är värd för informationstillgångar;
• Huvudkontor;
• Arbetstagare som tenderar att arbeta hemifrån; och
• Arbetare som reser och därför använder hotell, kundlokaler etc. Med ökande outsourcing av t.ex. datacenter och användning av hyrda kontor är det också viktigt att hänvisa till dessa kontroller med leverantörspolicyn i A15.1 och de många andra policyerna som påverkar hem/mobil/ distansarbetare också. Detta stämmer också överens med och relaterar till ditt omfattning i 4.3.

Enkelt uttryckt måste organisationen upprätta säkra områden som skyddar den värdefulla information och informationstillgångar som endast behöriga personer kan komma åt. Detta är också relaterat till riskbedömningen och riskaptiten för en organisation i linje med 6.1 åtgärder för att hantera risker och möjligheter.

Som ett grundläggande exempel bör kontor som innehåller värdefull information endast nås av anställda i den organisationen, eller genom att tillstånd ges för andra, t.ex. besökare, och externa städare/anläggningsunderhållsresurser som har godkänts i enlighet med leverantörspolicyn.

A.11.1.2 Fysiska inträdeskontroller

Säkra områden måste skyddas av lämpliga inträdeskontroller för att säkerställa att endast behörig personal tillåts tillträde. Som ett riktigt grundläggande exempel är det bara de anställda som har fått larmets åtkomstkod och fått nyckel som kan komma åt kontoret. Mer riskvilliga organisationer och eller de med känsligare information som hotas kan gå mycket djupare med policyer som också inkluderar biometri och skanningslösningar.

Inpasseringskontroller kommer att behöva väljas och implementeras utifrån arten och läget för det område som skyddas, och möjligheten att genomföra sådana kontroller om platsen till exempel inte ägs av organisationen. Processerna för att ge åtkomst genom inträdeskontrollerna måste vara robusta, testade och övervakade och kan också behöva loggas och granskas.

Kontrollen av besökare kommer också att vara särskilt viktig och processerna relaterade till sådana bör beaktas. Extra hänsyn bör tas till att tillträde ges till områden där känslig eller sekretessbelagd information behandlas eller lagras. Även om områden som innehåller viktig IT-infrastrukturutrustning måste skyddas i större utsträckning och tillgången begränsas till endast de som verkligen behöver finnas där. Revisorn förväntar sig att se att lämpliga kontroller finns på plats samt att de regelbundet testas och övervakas.

A.11.1.3 Säkra kontor, rum och anläggningar

Säkerhet av kontor, rum och lokaler kan tyckas enkelt och självklart, men det är värt att överväga och regelbundet se över vem som ska ha tillträde, när och hur. Några av de saker som ofta missas är; Vem kan se eller ens höra in på kontoret utifrån och vad ska man göra åt det?; Är åtkomst uppdaterad när personal lämnar eller flyttar så behöver inte längre tillgång till just detta rum; Behöver besökare eskorteras i detta område och är det så, är de?; Och är personalen vaksam på att utmana och rapportera människor de inte känner igen?

För rum som delas med andra (t.ex. om ett hyrt kontorsmötesrum) skulle policyer också omfatta skydd och/eller avlägsnande av värdefulla tillgångar när det inte är upptaget av organisationen – allt från bärbara datorer till information som publiceras på whiteboards, blädderblock etc. .

Den externa revisorn kommer att inspektera säkerhetskontrollerna för kontor, rum och anläggningar och kontrollera att det finns bevis för adekvat, riskbaserad kontrollimplementering, drift och granskning på periodisk basis.

A.11.1.4 Skydd mot yttre hot och miljöhot

Denna kontroll beskriver hur fysiskt skydd mot naturkatastrofer, illvilliga attacker eller olyckor förhindras.

Miljöhot kan vara naturligt förekommande (t.ex. översvämningar, tornados, blixtar etc) eller skapade av människor (t.ex. vattenläckage från anläggningar, civila oroligheter etc). Överväganden för sådana hot måste göras och risker måste identifieras, bedömas och behandlas på lämpligt sätt. Vissa hot (t.ex. att sitta på en översvämningsslätt) kan vara oundvikliga utan betydande kostnader eller olägenheter, men det betyder inte att det inte finns några åtgärder som kan vidtas. Specialistrådgivning kan krävas för vissa aspekter av miljöledning och bör övervägas vid behov.

Att förstå din plats och vad som finns i omedelbar närhet är avgörande för att identifiera potentiella risker. Revisorn kommer att leta efter bevis för att man har tänkt på att identifiera potentiella hot och sårbarheter (både naturligt förekommande och av människan) och att miljörisker har bedömts och antingen behandlats eller tolererats i enlighet med detta.

A.11.1.5 Arbeta i säkra områden

När tillträdeskontrollerna har identifierats och implementerats för säkra områden är det viktigt att dessa kompletteras med procedurkontroller avseende risker som kan inträffa när de är inne i det säkra området. Det kan till exempel behöva finnas:

En begränsad medvetenhet om säkra områdens placering och funktion;
Restriktioner för användning av färdskrivare inom säkra områden;
Begränsning av oövervakat arbete inom säkra områden där så är möjligt;
In- och utövervakning och loggning.
Efter att ha inspekterat åtkomstkontrollerna för det säkra området, kommer revisorn att se till att dessa stöds, vid behov med lämpliga policyer och rutiner och att bevis för deras hantering upprätthålls.

A.11.1.6 Leverans- och lastområden

Åtkomstpunkter såsom utlämnings- och lastutrymmen och andra ställen där obehöriga kan komma in i lokalerna ska kontrolleras och om möjligt isoleras från informationsbehandlingsanläggningar för att undvika obehörig åtkomst. Enbart moln eller digitala arbetsplatser kanske inte har något behov av en policy eller kontroll kring leverans- och lastningsområden; i det fallet skulle de notera det och specifikt utesluta detta från Statement of Applicability (SOA).

För vissa organisationer är leverans-/lastområden antingen inte tillgängliga eller kontrolleras inte av organisationen (t.ex. ett delat kontorsboende). Där organisationen kan kontrollera eller påverka dessa områden är det dock viktigt att risker identifieras och bedöms och lämpliga kontroller därför implementeras. Exempel på dessa kontroller kan vara; Plats bort från huvudkontorsbyggnaden; Extra bevakning; CCTV-övervakning och inspelning; Och rutiner för att förhindra att extern och intern åtkomst är öppen samtidigt.

Revisorn kommer att inspektera leverans- och lastskyddet för att säkerställa att det finns lämpliga kontroller avseende kontroll av inkommande material (t.ex. leveranser) och kontroll av utgående material (t.ex. för att förhindra informationsläckage). Även om nivån på säkerhet kring leverans och lastning i förhållande till de bedömda risknivåer som revisorn kommer att leta efter beror på tillgängligheten och ägandet av sådana anläggningar.

Vad är syftet med bilaga A.11.2?

Bilaga A.11.2 handlar om utrustning. Målet i denna bilaga A kontroll är att förhindra förlust, skada, stöld eller kompromettering av tillgångar och avbrott i organisationens verksamhet.

A.11.2.1 Utrustningsplacering och skydd

Utrustning måste placeras och skyddas för att minska riskerna från miljöhot och faror och mot obehörig åtkomst. Placeringen av utrustningen kommer att bestämmas av ett antal faktorer, inklusive storleken och arten av utrustningen, dess föreslagna användning samt tillgänglighets- och miljökrav. De som ansvarar för placering av utrustning måste göra en riskbedömning och tillämpa följande när det är möjligt i linje med risknivåerna:

• Informationsbehandlingsanläggningar (bärbara datorer, stationära datorer etc) som hanterar känslig data bör placeras och betraktningsvinkeln begränsas för att minska risken för att information ses av obehöriga personer under deras användning.
• Förvaringsutrymmen är säkrade för att undvika obehörig åtkomst med nycklar som innehas av auktoriserade nyckelinnehavare.
• Mat och dryck ska hållas borta från IKT-utrustning.
• Trådlösa routrar, delade skrivare etc bör placeras så att de möjliggör enkel åtkomst när det behövs och inte distraherar någon från att arbeta eller ha information kvar på skrivaren som inte borde finnas där.
• Informationsbehandlingsanläggningar som bärbara datorer är placerade så att de är säkert lagrade när de inte används och lätt åtkomliga när det behövs.
• Hemarbetare måste också noggrant överväga sin placering och placering av utrustning för att undvika risker som liknar de som tas upp för arbetare på kontoren samt oavsiktlig användning eller åtkomst av familj och vänner.

A.11.2.2 Understödjande verktyg

Utrustning måste skyddas från strömavbrott och andra störningar som orsakas av fel i stödjande verktyg. Till exempel bör risker relaterade till felaktiga eller felaktiga strömförsörjningar bedömas och övervägas. Detta kan inkludera; Dubbla strömförsörjningar från olika understationer; Anläggningar för reservkraftproduktion; Regelbunden testning av strömförsörjning och hantering. För telekommunikationer, för att upprätthålla förmågan för dem att fortsätta – kan överväganden inkludera; Dubbel eller multipel routing; Lastbalansering och redundans i växlingsutrustning; Bandbreddskapacitetsövervakning och varning.

Många av riskerna kommer att relatera till "tillgängligheten" av informationsbehandlingssystem och därför bör kontroller stödja verksamhetens krav på tillgänglighet i linje med all affärskontinuitetsplanering och konsekvensbedömningar som genomförs för detta ändamål. Revisorn kommer att leta efter bevis på att kontroller har testats regelbundet för att säkerställa att de fungerar korrekt till önskade nivåer (backup-generatorer etc).

A.11.2.3 Kabelsäkerhet

El- och telekommunikationskablar som bär data eller stödjande informationstjänster måste skyddas från avlyssning, störningar eller skador. Om ström- och nätverkskablar inte är placerade och skyddade på ett adekvat sätt är det möjligt att en angripare kan avbryta eller avbryta kommunikation eller stänga av strömförsörjningen.

När så är möjligt bör nätverks- och strömkablar vara underjordiska eller på annat sätt skyddade och åtskilda för att skydda mot störningar. Beroende på känslighet eller klassificering av data kan det vara nödvändigt att separera kommunikationskablar för olika nivåer och dessutom inspektera anslutningspunkter för obehöriga enheter. Revisorn kommer att visuellt inspektera kablarna och om de är relevanta för klassificerings-/risknivån begära bevis för visuell inspektion.

A.11.2.4 Underhåll av utrustning

Utrustning bör underhållas korrekt för att säkerställa dess fortsatta tillgänglighet och integritet. Kravet på rutinmässigt, förebyggande och reaktivt underhåll av utrustning kommer att variera beroende på utrustningens typ, natur, placeringsmiljö och syfte samt eventuella avtal med tillverkare och tredjepartsleverantörer. Underhåll behöver utföras på utrustning vid lämpliga frekvenser för att säkerställa att den förblir effektivt fungerande och för att minska risken för fel.

Det är en bra idé att hålla underhållsscheman som bevis för revisorn om din utrustning behöver service eller har reparationer (detta kan snyggt knytas till A8.1.1-informationstillgången om så önskas). Loggar över detta underhåll bör innehålla vem som utförde underhållet, vad som gjordes och vem som godkände underhållet. Revisorn kommer att kontrollera dessa loggar för att se att tidsplanerna är adekvata och proportionerliga, och att aktiviteterna har godkänts och genomförts på lämpligt sätt.

A.11.2.5 Borttagning av tillgångar

Utrustning, information eller programvara som tas utanför anläggningen behöver också hanteras. Det kan kontrolleras med någon form av check-in-out-process eller mer enkelt kopplat till en anställd som en del av sin roll och hanteras i enlighet med deras anställningsvillkor – bilaga A 7 som bör behandla informationssäkerhet såklart!

I den ständigt mobila arbetsvärlden kan vissa tillgångar, såsom mobila enheter, rutinmässigt tas bort från organisationens lokaler för att underlätta mobilt arbete eller hemarbete. Om tillgångar inte är utformade för att rutinmässigt tas bort från platsen eller om de är av känslig, högklassificerad, värdefull eller ömtålig natur bör processer finnas på plats för att begära och auktorisera borttagning och för att kontrollera att tillgångarna återlämnas.

Överväganden för att begränsa hur lång tid tillgångar tillåts tas bort bör göras och bör vara riskbaserade. Revisorn kommer att se till att dessa riskbedömningar har utförts för när icke-rutinmässigt avlägsnande av tillgångar inträffar och för policyer som avgör vad som är rutinmässigt och inte.

A.11.2.6 Säkerhet för utrustning och tillgångar utanför lokaler

Säkerhetskontroller måste tillämpas på tillgångar utanför anläggningen, med hänsyn till de olika riskerna med att arbeta utanför organisationens lokaler. Detta är ett vanligt sårbarhetsområde och det är därför viktigt att lämplig nivå av kontroller implementeras och knyter an till andra mobila kontroller och policyer för hemarbetare etc.

Överväganden bör göras och riskbedömningar göras för tillgångar som tas bort, antingen rutinmässigt eller av undantag. Kontroller kommer sannolikt att innehålla en blandning av; Tekniska kontroller såsom åtkomstkontrollpolicyer, lösenordshantering, kryptering; Fysiska kontroller som Kensington-lås kan också övervägas; vid sidan av policy- och processkontroller såsom instruktioner om att aldrig lämna tillgångar obevakade för allmänheten (t.ex. låsning i bilens bagageutrymme).

Det är särskilt viktigt att granska trender för säkerhetsincidenter relaterade till tillgångar utanför anläggningen. Revisorn kommer att förvänta sig att se bevis på att denna riskbedömning äger rum och de proportionerliga kontroller som väljs enligt de utvärderade risknivåerna. De kommer också att förvänta sig att se bevis på att policyn efterlevs.

A.11.2.7 Säker kassering eller återanvändning av utrustning

All utrustning inklusive lagringsmedia bör verifieras för att säkerställa att all känslig data och licensierad programvara har tagits bort eller säkert skrivits över innan de kasseras eller återanvänds. Detta är ett annat område med vanlig sårbarhet där många incidenter har uppstått från dåliga metoder för bortskaffande eller återanvändning.

Om utrustning som innehåller känslig information kasseras, är det avgörande att databärande enheter och komponenter antingen förstörs fysiskt eller säkert torkas med hjälp av lämpliga verktyg och tekniker. Om utrustningen ska återanvändas är det viktigt att all tidigare data och potentiellt installerad programvara "rensas" på ett säkert sätt och att enheten återställs till ett känt "rent" tillstånd. Beroende på graden av känslighet hos data som finns på utrustning som förstörs kan det vara nödvändigt att säkerställa fysisk förstörelse och detta bör göras med hjälp av en process som kan granskas fullständigt.

Ofta används tredjepartsföretag för bortskaffande och om så är fallet är det viktigt att säkerställa att lämplig nivå av "intyg om förstörelse" tillhandahålls – kraftfulla kunder kan förvänta sig att se detta också om du har innehaft värdefull kunddata och en del av ditt kontrakt med dem anger säker förstörelse.

För denna kontroll kommer revisorn att se till att lämpliga teknologier, policyer och processer finns på plats och att bevis på förstörelse eller säker radering har utförts korrekt när så krävs (kopplat tillbaka till avveckling i ditt inventering av informationstillgångar även där det är relevant) .

A.11.2.8 Obevakad användarutrustning

Som med att säkra kontor måste användare se till att all obevakad utrustning har lämpligt skydd, även om det är ett lösenord och en låsskärm för grundläggande informationssäkerhet. Det är sunt förnuft att skydda utrustning när du lämnar den utan tillsyn, men detta beror på nivån av förtroende på den plats där enheten lämnas (t.ex. hotellrum, konferenslokaler etc). Organisationslokaler måste också beaktas om det finns en risk, t.ex. stor mängd besökstrafik, hot desking av ofta byte av personal med olika roller.

Om utrustning lämnas över natten där städning och andra entreprenörer kan ha tillträde utanför ordinarie kontorstid, är det viktigt att överväga riskerna för stöld och manipulering och tillämpa förnuftiga och adekvata kontroller. Policyer, processer och medvetenhetsprogram bör finnas på plats för att säkerställa att användare är medvetna om sitt ansvar när de lämnar utrustning utan uppsikt antingen inom organisationen eller utanför om den är mobil.

Revisorn kommer att se till att kontrollskikt finns på plats som är lämpliga för risknivåerna och att det finns bevis för kontroll av efterlevnad (t.ex. är inspektioner som går runt efter öppettider eller under lunchraster en populär sådan för revisioner på plats).

A.11.2.9 Rensa policy för skrivbord och skärm

Driftsrutiner för papper och flyttbara lagringsmedier och en tydlig skärmpolicy för informationsbehandlingsanläggningar bör i allmänhet antas om inte alla andra kontroller och risker innebär att de inte krävs. Tydliga skrivbord och tydliga skärmpolicyer anses vara god praxis och är relativt enkla att implementera, men i vissa tidskänsliga driftsmiljöer kanske de inte är praktiska.

I detta fall kan andra kontroller utformade för att hantera riskerna implementeras istället. Till exempel, om ett kontor har en stark nivå av fysisk åtkomstkontroll med mycket lite trafik från besökare och externa entreprenörer kan sådana kontroller anses onödiga, men risken för "insiderhot" kan fortfarande vara relevant och kan ligga på oacceptabla nivåer. I slutändan, som med alla säkerhetsaspekter, bör besluten om implementering eller inte av policyer för clear desk och tydliga skärmar baseras på riskbedömning.

Revisorn kommer att undersöka hur besluten om att implementera eller inte klara skrivbords- och skärmpolicyer togs och granskades med lämplig frekvens. Om sådana policyer finns på plats kommer de att leta efter bevis på efterlevnadstestning och rapportering och hantering av eventuella överträdelser.