ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi Alabilmek için Teknik Açıklık Kontrolü Nasıl Yapılmalıdır?
ISO 27001:2013 madde A.12.6 Teknik Açıklık Yönetimi maddesi gereği ISO 27001 belgesi alacak kuruluşlar Server sistemlerinin açıklıklarını tarama yapmalı ve bu açıklıkların neler olduğunu raporlaması gerekmektedir. Bunun için şuanda kullanılan açık kaynak kodlu ve ücretsiz Nessus yazılımı kullanılabilir. Yapacağınız teknik açıklık kontrolünde DDos atakları SQL injection, Parola kontrolü, eski pluginler, port açıklıkları vb.. konuları içermelidir. Ayrıca sosyal mühendislik uygulanarak bilgi sistemleri kullanıcılarının parola ve şifre paylaşımları konusundaki bilinçliliği de ölçülmelidir. Yapılan teknik taramadan sonra çıkan açıklıklar risk değerlendirmede ela alınmalı ve yüksek çıkan riskleri için planlamalar oluşturulmalıdır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve Sistem Odasının Fiziksel Güvenlik alt yapısı nasıl olmalıdır.
Giriş Kontrolü
- Sistem odasına girişler kontrollümü?(Kart Okuyucu, Avuç içi damar okuyucu veya Şifreli Giriş Var mı?
- Sistem odası girişleri Loglanmakta mıdır?
Çıkış Kontrolü
- Sistem odası çıkışları loglanıyor mu?
- Sistem odası kapısı açil bir durum karşısında dışarı doğru açılıyor mu?
- Sistem odası kapısında Push sistemi mevcut mu?
Su Baskını Kontrolü
- Sistem odası yapının orta katında mı?
- Su basmasına karşı su tahliye yolları planlanmış mı?
- Sistem odası zemini yerden yükseltilmiş mi?(15-20 cm)
Isı Toz ve Nem Kontrolü
- Sistem odası Kliması mevcut mu?
- Klima sistemi Devre dışı kalmasına yönelik tedbir mevcut mu?
- Homojen olarak oda sıcaklığı ayarlanmış mı?
- İlgili yerlerde Isı ölçerler mevcut mu?(odanın büyüklüğüne göre zeminde tavanda, kabinde ölçüm)
- Oda sıcaklığı 10-40 C arasında mı?
- Sıcaklığın aşılması durumunda uyarı sistemi mevcut mu?
- Nem Ölçerler mevcut mu?
- Sunucular Toza karşı korunuyor mu?
Yangın Kontrolü
- Yangın Algılama sistemi mevcut mu?
- Gazlı Yangın Söndürücü Kullanılıyor mu?(FM200 Vb..)
- Yangın Söndürme siteminin basınç kontrolü mevcut mu?
Enerji Kontrolü
- Enerji kabloları Kablo kanalı ile korunmakta mı?
- Elektrik Kesintisine karşı UPS sistemi mevcut mu? Kapasitesi Yeterlimi?
- Enerji Yedekleme sistemi mevcut mu?(Jeneratör Alt Yapısı var mı?)
- UPS çalışması sırasında oluşan manyetik alandan Serverler korunabilmekte mi?
- Topraklama Yapılmış mı? Ölçüm Sonuçlarına göre önlemler yeterlimi?
- Zemin antistatik özelliklere sahip mi?
Deprem Kontrolü
- Kabinler Yere veya Duvara sabitlenmiş mi?
- Kabinler arası yerleşim uygun mu? Havalandırma Şartlarına uygun tasarlanmış mı?
- Depreme Yönetmeliği şartları sağlanıyor mu?
Kablolama Kontrolü
- Kablolarda etiketlemeler yapılmış mı?
- Kablolar kablo kanalı ile korunmakta mı?
- Haşerelere karşı kablolar korumaya alınmış mı?
- Kablolar düzenli bir şekilde duruyor mu?
ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Sistem Odasının İstenen Şartları Sağlamıyor Yine de ISO 27001 Belgesi alınabilir mi?
Sistem odası için birçok şart istenmektedir fakat ISO 27001 standardı bir yönetim standardı olması sebebiyle olabilecek eksiklikleri kuruluşların fark edip bu eksiklikler için plan yapmaları istenmektedir. Yani istenen şart sistem odası ile ilgili risk değerlendirme yapılmalı ve çok riskli bir durum söz konusu olmadığı durumda (majör bir eksiklik yok ise) belge almaya engel değildir. Zaten belgenin amacı eksikliklerinizi fark edip bunları gidermek için plan yapmaktır. Dolayısıyla sistem odası için yapacağınız risk değerlendirmede yüksek çıkan riskler için plan, program, sorumlu ve bütçeleme yapıp bu plan çerçevesinde ilerlemeniz belge almanıza engel değildir.
ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Active Directory Kullanılmıyor yine de belge alınabilir mi?
Kuruluşun büyüklüğü göz önüne alınarak yapılan risk değerlendirme sonucu eğer bir domain yapısı kullanmamanız çok ciddi bir risk oluşturmuyor ise belge alabilirsiniz. Örneğin 5 kişinin çalıştığı bir şirkette çok fala gizli bilginin olmadığı bu kuruluşta bir domain yapısı olmaması çok riskli değildir. Fakat 500 kişinin çalıştığı ve çok gizli verilerin olduğu, Ar-ge çalışmalarının yapıldığı bir kuruluşta domain yapısı olmadan 500 kullanıcıyı yönetmek imkânsız olacağından Active Directory yapısının kurulması gerekmektedir.
ISO 27001 Bilgi Güvenliği Yönetim Sisteminde Felaket Kurtarma Merkezi Kurmak Zorunluluğu var mı?
Yine tüm bu soruların cevabı risk değerlendirme sonucu verilebilir. Yukarıdaki örnekte de bahsettiğimiz gibi 5-10 kişinin çalıştığı bir kuruluşun verilerini yedeklenmemesi çok riskli olmayabilir ve FKM kurmak zorunda olmayabilir. Fakat bir banka iseniz sisteminizden saniyeler içinde binlerce veri işleniyorsa. Anlık bir veri kaybı dahi sizin için çok riskli ise FKM kurma zorunluluğunuz olacaktır.