TS ISO/IEC 27001:2005-A.9
Nasreddin hocanın kalın zincirli kapısı ve büyük asma kilidi ziyaretçileri neden durduramıyor? Modern bir kilit bu problemi çözebilir mi?
Fiziksel ve çevresel problemler günlük hayatta en kolay algıladığımız ve önlem alabildiğimiz riskler arasında yer alıyor. Bunun en önemli nedeni fiziksel problemlerin teknolojinin son yirmi yıldaki hızlı gelişmesine paralel hızda sorunlar geliştirmemesi. Anne babalarımızın zamanındaki fiziksel problemler, onların da yaşadığına benzer sorunlar hala bugün bizi bekleyenler arasında yer alıyor.
Yine de, bilginin güvenliğini her açıdan ele almayı hedefleyen TS ISO/IEC 27001’de ilk sürümünden fiziksel ve birlikte gruplanabilecek çevresel güvenlik konuları kendine yer buluyor. Standardın teknik gereksinimlerini ortaya koyan “Ek A” bölümündeki “kurumun ihtiyacına bağlı olarak seçilebilecek, zorunlu olmayan” maddeler arasında yer alsa da, içindeki hemen tüm alt maddeler, pratik nedenlerle devreye alınmak zorundadır.
Fiziksel güvenliği, standardın da yaklaşımına paralel olarak, iki şekilde düşünebiliriz. Kuruluş binalarına, ünitelerine ve bilgilerine yetki dışı fiziksel erişimi, hasarı ve müdahaleyi engellemeyi hedefleyen, başka bir söylemle “dışarıdan gelebilecek tehditlere karşı” alınacak güvenlik bunların ilki. Diğeri ise, varlıkların kaybını, hasarını, çalınmasını ya da tehlikeye girmesini ve kuruluşun faaliyetlerinin kesintiye uğramasını engellemeyi hedefliyor.
Güvenli Alanlar
Fiziksel güvenliğin ilk aşaması, evlerimizde, iş yerlerimizde olduğu gibi, bizim için değerli alanları koruyacak sınırları belirlemektir. Sınırların çoğu duvarla, geri kalanı da pencere, kapı ve benzeri fiziksel ayraçlarla tanımlanır. Küçük mekanlarda tek bir sınır (çevre) varken, büyük mekanlarda soğan halkaları gibi iç içe iki ya da daha fazla sınır olması beklenir. Özellikle ana bilgisayar sistemleri, hepimizin bildiği gibi, ofis çevresinin içinde sistem odasını çevreleyen ikinci bir sınır içinde bulunur. Sınırların amacı farklı etki alanları yaratmaktır. Hassas alanlara girişi kontrol altına almak için giriş – çıkış kayıt altına alınmalıdır. Bu kayıt kapı giriş kartları ve elektronik sistemler aracılığıyla yapılabileceği gibi, basit bir giriş/çıkış defteri de, doğru kullanımı garanti edildiği sürece, aynı işi görür. Kimlerin hangi alanlara hangi yetkilerle girebilecekleri, yapılan risk değerlendirme sonucunda belirlenmelidir.
Şirketler kendi kontrolleri dışındaki sorunlardan da etkilenebilir. Bu nedenle tesis yerinin seçiminden tasarımına, uygulanacak kontrollerin tümünde yangın, sel, su baskını, patlama, iç ayaklanma ve diğer doğal veya insan kaynaklı felaketlerden gelebilecek olası zararlar dikkate alınmalıdır. Tesisin yanındaki komşu tesislerden gelebilecek tehditler de göz önüne alınmalıdır.
Fiziksel güvenliğin sıkça göz ardı edildiği yerler arasında kurum dışından gelenlerin rahatlıkla gelebildiği, posta odaları, depolar, yükleme ve boşaltma alanları yer alır. Büyük bir kuruluşta pek çok gönderi alışverişi yapılır. Şirkette çalışan hiç kimse tanınmayan bir kişinin teslim ettiği veya tanınmayan bir kişiye teslim edilen bir paketten şüphelenmez. Bu nedenle kuruluşa gelen gönderilerin beklendiğinden ve kuruluştan alınacak gönderilerin de yalnızca yetkili kişiler tarafından alındığından ve bu personelin de kuruluşa giriş yaptığı yerde doğru bir biçimde kontrol edildiğinden emin olunması için bu faaliyetin denetlenmesi esastır.
Ayrıca, posta, paket ve ürünlerin alınıp verildiği yerler genellikle kuruluş dışındaki insanların da kolaylıkla erişebilmesine uygundur. Bu alanlardan yetkisiz kişilerin kendilerni fark ettirmeden kuruluşa sızmasına engel olacak çözümler yaratılmalıdır.
Teçhizat Güvenliği
TS ISO/IEC 27001’in Fiziksel ve Çevresel Güvenlik maddesindeki bu ikinci başlık teknik teçhizatın fiziksel ve çevreden elebilecek tehditlere karşı korunmasını amaçlıyor.
Bu amaca ulaşabilmek için yapılabileceklerin ilki, ilgili cihazların zarar görmeyecekleri şekilde yerleştirilmeleri ve korunmalarıdır. Özellikle nem, toz ve kimyasal maddelerin yoğun bulunduğu oramlarda bilgisayar ve diğer teçhizatın nasıl davranacağı, ne kadar dayanıklı olduğu göz önüne alınmalı, gerekiyorsa uygun ortam sağlamak için kontroller devreye alınmalıdır. İhtiyaca ve ortama bağlı olarak cihaz kullanılmadığında örtülecek basit bir örtü bile bu toza karşı koruyucu olabilir.
Bilgi güvenliği yönetim sisteminin temelinde yatan “risk yönetimi” bu konuya da yönetmeye yardımcı olur, belirlenen risklere bağlı olarak başka etkili çözümler ve uygun kontroller de yaratılabilir.
Cihazların çalışması için gerekli destek hizmetleri de uygun şekilde seçilmeli ve kullanılmalıdır. Elektrik, su, ısıtma ve havalandırma ile iklimlendirme hizmetleri iş sürekliliği sağlanmak ve herhangi bir bilgisayar ve iletişim teçhizatı için kullanılan çok önemli gereksinimlerdir. Bu altyapıların sağlanması ve yedeklenmesi kadar önemli bir konu da mevcut durumun gözlemlenebilmesi ve kontrollerin etkinliğinin değerlendirilmesidir. Birkaç yıl önce bir şirkette, haftasonu yaşanan kısa bir elektrik kesintisi sonucu klima sistemlerinin “beyni” şaşırmış ve sistem odasını soğutmayı bırakıp tüm güçleriyle ısıtmaya başlamışlardı. Pazartesi sabah sistem odası 40°C’ı aşmış, sunucuların bazılarının kendilerini korumak için “shutdown” ettiklerini fark etmiştik. Klima arızaları elbette istenmeyen bir durum ancak Cumartesi akşamüstünden Pazartesi sabahına kadar durumu fark edememek daha can alıcı.
Düzgün bir biçimde döşenmedikçe, kullanılamaz duruma gelebilen kablo bağlantılarının hasar görmesi son derece kolaydır ve bazen kablodaki arızanın nerede olduğunu bulmak genellikle zordur. 17 Ağustos depreminde İzmit’te bir fabrikada birbirini yedekleyen, üzerinden forklift geçtiği halde zarar görmeyen zırhlı fiber optik kabloların iki çifti de aynı anda fay hattının ortasında kaldığı için kopmuştu.
Daha sonra önlemler artırıldı ve kablo hatları düzenlenmekle kalmadı, hassas sistemlerin çalışmasının aksamaması için alternatif kablosuz bağlantılar sağlandı.
Teçhizat başta sorusuz çalışsa da, işimizde ve güvenliğimizde süreklilik hedeflediğimiz sürece düzenli bakım en önemli yardımcımızdır. Hangi cihazın hangi sıklıkta bakıma alınacağı, kim tarafından ne seviyede gözden geçirileceği, düzenli değiştirilmesi gereken parçaların olup olmadığı yine “risk analizi” sonucunda ortaya çıkarsa hem etkili hem de sadece gerekli bakımların yapıldığı bir düzen kurulabilir.
Yukarıda bahsettiğimiz güvenlik, kuruma ait cihazların bulunduğu tüm ortamlarda sağlanmalıdır. Bu konu şirkete ait merkez, bölge müdürlükleri, fabrikalar, şubeler ve ofislerle sınırlı değildir. Evde çalışmanın desteklendiği durumlarda, ofis dışında gerçekleşen toplantı ve konferanslarda, taşınabilir cihazlarla yapılan seyahatlerde de gerekli güvenlik önlemlerinin neler olduğu risk analizine bağlı olarak çıkarılmalı ve devreye alınmalıdır.
Fiziksel ve Çevresel Güvenlik maddesinin son kontrolü “Teçhizatın güvenli olarak elden çıkarılması ve yeniden kullanımı” başlığını içeriyor. Hassas bilgilerin şirket dışına çıkmasının engellenmesi dışında telif hakları ve eski verilerin/delillerin yedeklenmesi konusunun da risk analizine bağlı olarak ele alınmasını talep ediyor.
Nasreddin Hoca’ya ait hikaye şu şekilde: Türbesinin ferforje yüksek kapıları, kalın zinciri ve büyük asma kilidi ana giriş için bir miktar koruma sağlasa da, duvarları olmayan bir yapının koruyuculuğu Hoca’nın fiziksel güvenlik konusunda da bize ders vermesini sağlıyor…