ISO 27001 – Bijlage A.11: Fysieke en omgevingsbeveiliging

Wat is het doel van bijlage A.11.1?

Bijlage A.11.1 gaat over het waarborgen van veilige fysieke en ecologische gebieden. Het doel van deze bijlage A-controle is het voorkomen van ongeoorloofde fysieke toegang tot, schade aan en interferentie met de informatie en informatieverwerkingsfaciliteiten van de organisatie.

Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen.

A.11.1.1 Fysieke beveiligingsperimeter

Dit beschrijft de beveiligingsperimeters en grenzen met gebieden die gevoelige of kritische informatie bevatten en alle informatieverwerkingsfaciliteiten zoals computers, laptops enz. Een fysieke beveiligingsperimeter wordt gedefinieerd als "elke overgangsgrens tussen twee gebieden met verschillende beveiligingsvereisten".

Dit kan heel specifiek zijn, zoals; Aan de buitenste grens van het terrein en met buiten- en binnenruimtes; Tussen de buitenkant van een gebouw en de binnenkant ervan; Tussen een gang en kantoor of tussen de buitenkant van een opbergkast en de binnenkant ervan. Het kan ook eenvoudigweg worden omschreven als het hoofdkwartier met zijn adres en de reikwijdte eromheen.

Voorbeelden van de soorten eigendommen en panden waarmee de organisatie rekening moet houden in termen van fysieke beveiliging kunnen zijn:

• De datacentra die informatiemiddelen hosten;
• Hoofdkantoor;
• Werknemers die de neiging hebben om vanuit huis te werken; En
• Werknemers die reizen en daarom gebruik maken van hotels, klantlocaties enz. Met de toenemende uitbesteding van bijvoorbeeld datacentra en het gebruik van gehuurde kantoren is het ook belangrijk om deze controles te vergelijken met het leveranciersbeleid in A15.1 en de talrijke andere beleidsregels die van invloed zijn op thuis/mobiel/ ook telewerkers. Dit sluit ook aan bij en heeft betrekking op uw Scope in 4.3.

Simpel gezegd: de organisatie moet veilige gebieden opzetten die de waardevolle informatie en informatiemiddelen beschermen waartoe alleen geautoriseerde mensen toegang hebben. Dit houdt ook verband met de risicobeoordeling en risicobereidheid voor een organisatie in lijn met acties in 6.1 om risico's en kansen aan te pakken.

Als basisvoorbeeld mogen kantoren met waardevolle informatie alleen worden betreden door medewerkers van die organisatie, of door toestemming te verlenen aan anderen, bijvoorbeeld bezoekers, en externe schoonmakers/onderhoudspersoneel van faciliteiten die zijn goedgekeurd in overeenstemming met het leveranciersbeleid.

A.11.1.2 Fysieke toegangscontroles

Beveiligde gebieden moeten worden beschermd door de juiste toegangscontroles om ervoor te zorgen dat alleen geautoriseerd personeel toegang krijgt. Om een ​​heel eenvoudig voorbeeld te geven: alleen de medewerkers die de toegangscode voor het alarm hebben gekregen en een sleutel hebben ontvangen, hebben toegang tot het kantoor. Organisaties die meer risicomijdend zijn en/of organisaties met gevoeligere informatie die bedreigd worden, kunnen veel dieper gaan met beleid dat ook biometrie- en scanoplossingen omvat.

Toegangscontroles moeten worden geselecteerd en geïmplementeerd op basis van de aard en locatie van het gebied dat wordt beschermd, en de mogelijkheid om dergelijke controles uit te voeren als de locatie bijvoorbeeld geen eigendom is van de organisatie. De processen voor het verlenen van toegang via de toegangscontroles moeten robuust zijn, getest en gemonitord en moeten mogelijk ook worden geregistreerd en gecontroleerd.

De controle van bezoekers zal ook bijzonder belangrijk zijn en de processen die daarmee verband houden, moeten in overweging worden genomen. Er moet extra aandacht worden besteed aan het verlenen van toegang tot gebieden waar gevoelige of geheime informatie wordt verwerkt of opgeslagen. Terwijl met name gebieden met belangrijke IT-infrastructuurapparatuur in grotere mate moeten worden beschermd en de toegang moet worden beperkt tot alleen de gebieden die daar echt nodig zijn. De accountant verwacht dat er passende controles zijn ingevoerd en dat deze regelmatig worden getest en gecontroleerd.

A.11.1.3 Beveiliging van kantoren, kamers en faciliteiten

Beveiliging van kantoren, kamers en faciliteiten lijkt misschien eenvoudig en voor de hand liggend, maar het is de moeite waard om te overwegen en regelmatig te beoordelen wie toegang moet hebben, wanneer en hoe. Sommige dingen die vaak gemist worden zijn; Wie kan van buitenaf het kantoor binnenkijken of horen en wat kan ik eraan doen?; Wordt de toegang bijgewerkt wanneer het personeel vertrekt of overgaat, zodat er geen toegang meer nodig is tot deze specifieke kamer; Moeten bezoekers in dit gebied begeleid worden en is dat zo?; En zijn medewerkers waakzaam als het gaat om het uitdagen en rapporteren van mensen die ze niet herkennen?

Voor ruimtes die met anderen worden gedeeld (bijvoorbeeld als het een gehuurde vergaderruimte is) omvat het beleid ook de bescherming en/of verwijdering van waardevolle bezittingen wanneer deze niet door de organisatie worden gebruikt – variërend van laptops tot informatie op whiteboards, flipcharts enz. .

De externe auditor zal de beveiligingscontroles van kantoren, kamers en faciliteiten inspecteren en controleren of er bewijs is van een adequate, op risico gebaseerde controle-implementatie, werking en toetsing op periodieke basis.

A.11.1.4 Bescherming tegen externe en ecologische bedreigingen

Deze controle beschrijft hoe fysieke bescherming tegen natuurrampen, kwaadwillige aanvallen of ongelukken wordt voorkomen.

Bedreigingen voor het milieu kunnen van nature voorkomen (bijvoorbeeld overstromingen, tornado's, blikseminslag enz.) of door de mens worden veroorzaakt (bijvoorbeeld waterlekkage uit faciliteiten, burgerlijke onrust enz.). Er moeten overwegingen voor dergelijke bedreigingen worden gemaakt en de risico's moeten op passende wijze worden geïdentificeerd, beoordeeld en behandeld. Sommige bedreigingen (bijvoorbeeld het zitten op een uiterwaarden) kunnen onvermijdelijk zijn zonder aanzienlijke kosten of ongemakken, maar dat betekent niet dat er geen actie kan worden ondernomen. Voor sommige aspecten van het milieubeheer kan gespecialiseerd advies nodig zijn, dat indien nodig moet worden overwogen.

Het begrijpen van uw locatie en wat zich in de directe omgeving bevindt, is van cruciaal belang voor het identificeren van potentiële risico's. De auditor zal op zoek gaan naar bewijs dat er is nagedacht over het identificeren van potentiële bedreigingen en kwetsbaarheden (zowel in de natuur voorkomende als door de mens veroorzaakte) en dat milieurisico's dienovereenkomstig zijn beoordeeld en behandeld of getolereerd.

A.11.1.5 Werken in beveiligde gebieden

Omdat de toegangscontroles voor beveiligde gebieden zijn geïdentificeerd en geïmplementeerd, is het belangrijk dat deze worden aangevuld met procedurele controles met betrekking tot de risico's die zich kunnen voordoen wanneer men zich binnen de beveiligde gebieden bevindt. Er moet bijvoorbeeld het volgende zijn:

Een beperkt bewustzijn van de locatie en functie van beveiligde gebieden;
Beperkingen op het gebruik van opnameapparatuur binnen beveiligde gebieden;
Beperking van werken zonder toezicht in beveiligde gebieden waar mogelijk;
In en uit monitoring en logging.
Nadat de auditor de toegangscontroles tot beveiligde gebieden heeft geïnspecteerd, zal hij erop toezien dat deze, waar nodig, worden ondersteund met passend beleid en procedures, en dat er bewijsmateriaal van het beheer ervan wordt bijgehouden.

A.11.1.6 Leverings- en laadgebieden

Toegangspunten zoals leverings- en laadruimtes en andere punten waar onbevoegden het pand zouden kunnen betreden, moeten worden gecontroleerd en, indien mogelijk, geïsoleerd van informatieverwerkingsfaciliteiten om ongeautoriseerde toegang te voorkomen. Voor cloud-only of digitale werkplekken is er wellicht geen behoefte aan beleid of controle rond leverings- en laadruimtes; in dat geval zouden zij dit noteren en dit specifiek uitsluiten van de Statement of Applicability (SOA).

Voor sommige organisaties zijn aflever-/laadruimten niet beschikbaar of worden deze niet beheerd door de organisatie (bijvoorbeeld een gedeelde kantoorruimte). Wanneer de organisatie deze gebieden echter kan beheersen of beïnvloeden, is het belangrijk dat risico's worden geïdentificeerd en beoordeeld en dat daarom passende controles worden geïmplementeerd. Voorbeelden van deze controles kunnen zijn: Locatie weg van het hoofdkantoor; Extra bewaking; CCTV-bewaking en -opname; En procedures om te voorkomen dat externe en interne toegang tegelijkertijd open zijn.

De auditor inspecteert de leverings- en laadbeveiliging om er zeker van te zijn dat er passende controles plaatsvinden met betrekking tot de controle van inkomende materialen (bijv. leveringen) en de controle van uitgaande materialen (bijv. ter voorkoming van informatielekken). De mate van zekerheid rond levering en laden in verhouding tot de ingeschatte risiconiveaus waar de auditor naar zal kijken, zal echter afhangen van de beschikbaarheid en het eigendom van dergelijke faciliteiten.

Wat is het doel van bijlage A.11.2?

Bijlage A.11.2 gaat over Apparatuur. Het doel van deze bijlage A-controle is het voorkomen van verlies, schade, diefstal of compromittering van activa en onderbreking van de activiteiten van de organisatie.

A.11.2.1 Locatie en bescherming van apparatuur

Apparatuur moet worden geplaatst en beschermd om de risico's van bedreigingen en gevaren voor het milieu en tegen ongeoorloofde toegang te verminderen. De locatie van apparatuur zal worden bepaald door een aantal factoren, waaronder de grootte en aard van de apparatuur, het voorgestelde gebruik en de toegankelijkheid ervan en milieueisen. Degenen die verantwoordelijk zijn voor het plaatsen van apparatuur moeten een risicobeoordeling uitvoeren en waar mogelijk het volgende toepassen in overeenstemming met de risiconiveaus:

• Informatieverwerkingsfaciliteiten (laptops, desktops enz.) die gevoelige gegevens verwerken, moeten zo worden geplaatst dat de kijkhoek beperkt wordt om het risico te verkleinen dat informatie tijdens het gebruik door onbevoegden wordt bekeken.
• Opslagfaciliteiten zijn beveiligd om ongeautoriseerde toegang te voorkomen, waarbij de sleutels in het bezit zijn van geautoriseerde sleutelhouders.
• Houd eten en drinken uit de buurt van ICT-apparatuur.
• Draadloze routers, gedeelde printers enz. moeten zo worden geplaatst dat ze gemakkelijk toegankelijk zijn wanneer dat nodig is en niemand mogen afleiden van het werk of dat er informatie op de printer achterblijft die daar niet hoort te zijn.
• Informatieverwerkingsfaciliteiten zoals laptops zijn zo geplaatst dat ze veilig worden opgeslagen wanneer ze niet worden gebruikt en gemakkelijk toegankelijk zijn wanneer dat nodig is.
• Thuiswerkers moeten ook zorgvuldig nadenken over de locatie en positionering van apparatuur om risico's te vermijden die vergelijkbaar zijn met die voor werknemers op kantoor, evenals onbedoeld gebruik of toegang door familie en vrienden.

A.11.2.2 Ondersteunende nutsvoorzieningen

Apparatuur moet worden beschermd tegen stroomstoringen en andere verstoringen veroorzaakt door storingen in ondersteunende nutsvoorzieningen. Risico's die verband houden met falende of defecte stroomvoorzieningen moeten bijvoorbeeld worden beoordeeld en overwogen. Dit kan omvatten; Dubbele voedingen van verschillende substations; Reserve-energieopwekkingsfaciliteiten; Regelmatig testen van de stroomvoorziening en het beheer. Voor de telecommunicatie kunnen, om de mogelijkheid te behouden om door te gaan, de volgende overwegingen worden overwogen: Dubbele of meervoudige routering; Loadbalancing en redundantie in schakelapparatuur; Bewaking en waarschuwing van bandbreedtecapaciteit.

Veel van de risico's zullen verband houden met de “beschikbaarheid” van informatieverwerkingssystemen en daarom moeten de controles de bedrijfsvereisten voor beschikbaarheid ondersteunen in overeenstemming met eventuele bedrijfscontinuïteitsplanning en effectbeoordelingen die voor dit doel worden uitgevoerd. De auditor zal op zoek gaan naar bewijs dat de controles regelmatig zijn getest om ervoor te zorgen dat ze correct functioneren op de gewenste niveaus (back-upgeneratoren enz.).

A.11.2.3 Beveiliging van de bekabeling

Stroom- en telecommunicatiekabels die gegevens vervoeren of informatiediensten ondersteunen, moeten worden beschermd tegen onderschepping, interferentie of schade. Als stroom- en netwerkkabels niet adequaat zijn geplaatst en beschermd, is het mogelijk dat een aanvaller de communicatie kan onderscheppen of verstoren of de stroomvoorziening kan afsluiten.

Waar mogelijk moeten netwerk- en stroomkabels ondergronds of anderszins beschermd en gescheiden zijn om te beschermen tegen interferentie. Afhankelijk van de gevoeligheid of classificatie van gegevens kan het nodig zijn om communicatiekabels voor verschillende niveaus te scheiden en bovendien aansluitpunten te inspecteren op niet-geautoriseerde apparaten. De auditor zal de kabels visueel inspecteren en indien deze relevant zijn voor het classificatieniveau/risico, verzoeken om bewijs van visuele inspectie.

A.11.2.4 Onderhoud van apparatuur

Apparatuur moet correct worden onderhouden om de voortdurende beschikbaarheid en integriteit ervan te garanderen. De vereisten voor routinematig, preventief en reactief onderhoud van apparatuur zullen variëren afhankelijk van het type, de aard, de locatieomgeving en het doel van de apparatuur en eventuele contractuele overeenkomsten met fabrikanten en externe leveranciers. Onderhoud aan apparatuur moet met de juiste frequentie worden uitgevoerd om ervoor te zorgen dat deze effectief blijft functioneren en om het risico op storingen te verminderen.

Het is een goed idee om onderhoudsschema's bij te houden als bewijs voor de auditor als uw apparatuur onderhoud nodig heeft of gerepareerd moet worden (dit kan indien gewenst netjes worden gekoppeld aan de A8.1.1-inventaris van informatiemiddelen). In logboeken van dit onderhoud moet worden vermeld wie het onderhoud heeft uitgevoerd, wat er is gedaan en wie toestemming heeft gegeven voor het onderhoud. De auditor zal deze logboeken controleren om te zien of de planningen adequaat en proportioneel zijn, en of de activiteiten op de juiste manier zijn geautoriseerd en uitgevoerd.

A.11.2.5 Verwijdering van activa

Apparatuur, informatie of software die extern wordt meegenomen, heeft ook beheer nodig. Dat kan worden gecontroleerd met een of andere vorm van check-in-out-proces of, eenvoudiger gezegd, gekoppeld aan een werknemer als onderdeel van zijn of haar rol en beheerd in overeenstemming met zijn arbeidsvoorwaarden – bijlage A 7, die uiteraard over informatiebeveiliging zou moeten gaan!

In de steeds mobielere wereld van werken kunnen sommige bezittingen, zoals mobiele apparaten, routinematig uit de bedrijfsruimten worden verwijderd om mobiel of thuiswerken te vergemakkelijken. Als activa niet zijn ontworpen om routinematig van de locatie te worden verwijderd of als ze van gevoelige, zeer geheime, waardevolle of kwetsbare aard zijn, moeten er processen zijn om verwijdering aan te vragen en toe te staan ​​en om de teruggave van de activa te controleren.

Er moet worden nagedacht over het beperken van de tijdsduur waarin activa mogen worden verwijderd, en deze moet op risico gebaseerd zijn. De auditor zal nagaan of deze risicobeoordelingen zijn uitgevoerd voor gevallen waarin niet-routinematige verwijdering van activa plaatsvindt en voor beleid dat bepaalt wat wel en niet routinematig is.

A.11.2.6 Beveiliging van apparatuur en activa buiten het terrein

Er moeten beveiligingscontroles worden toegepast op externe activa, waarbij rekening moet worden gehouden met de verschillende risico's die gepaard gaan met het werken buiten de gebouwen van de organisatie. Dit is een algemeen kwetsbaar gebied en het is daarom belangrijk dat het juiste niveau van controles wordt geïmplementeerd en aansluit bij andere mobiele controles en beleid voor thuiswerkers enz.

Er moeten overwegingen worden gemaakt en risicobeoordelingen worden uitgevoerd voor activa die routinematig of bij uitzondering van de locatie worden verwijderd. Controles zullen waarschijnlijk een combinatie omvatten van; Technische controles zoals toegangscontrolebeleid, wachtwoordbeheer, encryptie; Fysieke controles zoals Kensington Locks kunnen ook worden overwogen; naast beleids- en procescontroles zoals de instructie om bezittingen nooit onbeheerd achter te laten in het zicht van het publiek (bijvoorbeeld het afsluiten van de kofferbak van de auto).

Het is vooral belangrijk om trends in beveiligingsincidenten met betrekking tot externe activa te beoordelen. De accountant verwacht bewijsmateriaal te zien waaruit blijkt dat deze risicobeoordeling heeft plaatsgevonden en dat de proportionele controles zijn geselecteerd op basis van de geëvalueerde risiconiveaus. Ze verwachten ook bewijs van naleving van het beleid.

A.11.2.7 Veilige verwijdering of hergebruik van apparatuur

Alle apparatuur, inclusief opslagmedia, moet worden gecontroleerd om er zeker van te zijn dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat deze worden weggegooid of hergebruikt. Dit is een ander gebied met een veel voorkomende kwetsbaarheid, waar veel incidenten het gevolg zijn van slechte verwijderings- of hergebruikpraktijken.

Als apparatuur wordt weggegooid die gevoelige informatie bevat, is het van cruciaal belang dat gegevensdragende apparaten en componenten fysiek worden vernietigd of veilig worden gewist met behulp van de juiste tools en technologieën. Als apparatuur opnieuw wordt gebruikt, is het belangrijk dat alle eerdere gegevens en mogelijk geïnstalleerde software veilig worden ‘geveegd’ en dat het apparaat terugkeert naar een bekende ‘schone’ staat. Afhankelijk van het gevoeligheidsniveau van de gegevens over apparatuur die wordt vernietigd, kan het nodig zijn om fysieke vernietiging te garanderen. Dit moet gebeuren met behulp van een proces dat volledig kan worden gecontroleerd.

Vaak wordt voor de verwijdering gebruik gemaakt van externe bedrijven en als dit het geval is, is het essentieel om ervoor te zorgen dat het juiste niveau van “certificaat van vernietiging” wordt verstrekt – machtige klanten mogen dit ook verwachten als u waardevolle klantgegevens in bezit heeft gehad en een deel van uw contract met hen specificeert veilige vernietiging.

Voor deze controle zal de auditor erop toezien dat de juiste technologieën, beleidsmaatregelen en processen aanwezig zijn en dat bewijs van vernietiging of veilige verwijdering correct is uitgevoerd wanneer dat nodig is (indien relevant ook gekoppeld aan buitengebruikstelling in uw inventaris van informatiemiddelen). .

A.11.2.8 Onbeheerde gebruikersapparatuur

Net als bij het beveiligen van kantoren moeten gebruikers ervoor zorgen dat alle onbeheerde apparatuur de juiste bescherming heeft, zelfs als dat een wachtwoord en een vergrendelingsscherm is voor basisinformatiebeveiliging. Het is gezond verstand om apparatuur te beschermen wanneer u deze onbeheerd achterlaat, maar dit zal afhangen van de mate van vertrouwen die wordt gesteld in de locatie waar het apparaat wordt achtergelaten (bijvoorbeeld hotelkamers, conferentieruimtes enz.). Er moet ook rekening worden gehouden met de organisatorische ruimte als er een risico bestaat, bijvoorbeeld een groot bezoekersverkeer, hotdesking door regelmatig wisselend personeel met verschillende rollen.

Als apparatuur 's nachts wordt achtergelaten waar schoonmaakpersoneel en andere aannemers buiten de normale kantooruren toegang toe hebben, is het belangrijk om rekening te houden met de risico's van diefstal en geknoei en verstandige en adequate controles toe te passen. Er moeten beleid, processen en bewustmakingsprogramma's aanwezig zijn om ervoor te zorgen dat gebruikers zich bewust zijn van hun verantwoordelijkheden wanneer ze apparatuur onbeheerd achterlaten, zowel binnen de organisatie als daarbuiten als deze mobiel is.

De auditor zal erop toezien dat er controlelagen aanwezig zijn die passen bij de risiconiveaus en dat er bewijs is van nalevingscontrole (zo zijn rondlopende inspecties na kantooruren of tijdens de lunchpauze populair bij audits op locatie).

A.11.2.9 Duidelijk bureau- en schermbeleid

In het algemeen moeten operationele procedures voor papieren en verwijderbare opslagmedia en een duidelijk schermbeleid voor informatieverwerkingsfaciliteiten worden toegepast, tenzij alle andere controles en risico's betekenen dat deze niet nodig zijn. Clear desk- en clear screen-beleid worden als een goede praktijk beschouwd en zijn relatief eenvoudig te implementeren, maar in sommige tijdgevoelige operationele omgevingen zijn ze mogelijk niet praktisch.

In dit geval kunnen in plaats daarvan andere controles worden geïmplementeerd die zijn ontworpen om de risico's te beheersen. Als een kantoor bijvoorbeeld een sterk niveau van fysieke toegangscontrole heeft met zeer weinig verkeer van bezoekers en externe contractanten, kunnen dergelijke controles als onnodig worden beschouwd. Het risico op 'dreiging van binnenuit' kan echter nog steeds relevant zijn en op een onaanvaardbaar niveau liggen. Uiteindelijk moeten, net als bij alle veiligheidsoverwegingen, de beslissingen met betrekking tot het al dan niet implementeren van clear desk en clear screen-beleid gebaseerd zijn op risicobeoordeling.

De auditor zal kijken hoe de beslissingen om het clear desk- en clear screen-beleid al dan niet te implementeren, zijn genomen en met een passende frequentie worden beoordeeld. Als dergelijk beleid van kracht is, zullen ze op zoek gaan naar bewijs van nalevingstests en de rapportage en het beheer van eventuele inbreuken.