Bilgi Teknolojileri denetçileri tarafından donanım ve donanım güvenliği üzerine gerçekleştirilen denetim faaliyetlerinin temel hedefi Bilgi Sistemleri
Varlıklarının kaybolması, zarar görmesi ve her hangi bir sebeple iş süreç
sahiplerine hizmet sağlayabilmesine engel oluşturacak durumlara karşı koruma
sağlanmasına yönelik gerekli güvencenin verilmesidir. Donanım varlıkları çeşitli güvenlik tehditlerine karşı fiziksel korunma
gerektirebilmektedir. Donanım varlıklarının çevresel bir zarara sebep
olmadıklarından ya da çevresel bir zarardan etkilenmediklerinden emin olunması
önemlidir. Kontroller ile yetkisiz veri erişimleri, yetkisiz ekipman
çıkarılması ve yok edilmesi riskleri düşürülmektedir. Kontrollerin kapsamı güç
sağlanması ve iletişim gibi destekleyici unsurların dahi güvence altına alınması
şeklinde genişleyebilir.
Denetçi temelde aşağıdaki 4 hedef üzerine
odaklanabilir;
1. Varlıkların
etkin ve etkili kullanımı
2. Varlıkların
korunması
3. Varlıkların
yetkiler dahilinde erişilebilirliği
4. Donanımın
bütünlüğüne yönelik bakım
Varlık Sınıflandırılması ve Kontrol
BT Denetçisi, organizasyon
tarafından kullanılan çeşitli varlıklara ve bu varlıkların konum bilgilerine ilişkin
fikir sahibi olmak adına Varlık Envanteri üzerinde inceleme yaparak denetime başlayabilir.
Envanter kayıtları varlıklara
ilişkin hard-disk numarası, ana kart numarası ve konum bilgisi gibi detayları
içermektedir. Her varlığa bir sahiplik ataması yapılmalıdır. Denetlenen
organizasyonun işletilen bir varlık sınıflandırma rehberi olmalıdır. Varlık
sınıflandırma, çok çeşitli olan varlıkların yönetilmesine ilişkin spesifik süreçlerin
işletilmesine ve varlıkların korunmasına rehberlik etmektedir. Varlık ve
bilgilerin ele alınması ve etiketlenmesi tanımlanmış sınıflandırma şemasına
uygun yapılmalıdır.
Donanımlar böylelikle
operasyonlara yönelik kritiklik seviyeleri ve iş açısından olan önceliklerine
göre kategorize edilmektedirler. Burada önemli nokta varlığın mali değerinin
kritiklik için kriter olamayacağıdır. Kritikliğe
karar vermenin yolu varlığın eksikliğinde hangi iş fonksiyonların etkileneceği, normal duruma dönülmesinin ne kadar süre alacağı ve iş fonksiyonlarının doğasının bu süreye tahammül durumunun değerlendirilmesinden geçmektedir. Kritik
varlıkların kontrolleri üzerinde denetçi tarafından özellikle durulmalıdır.
Fiziksel Ekipman Yerleştirimi ve Korunması
Ekipman yerleştirim ve korunması, çevresel
tehdit ve felaketlerden korunmayı ve yetkisiz erişimin kontrol altına
alınmasını sağlamaktadır. Bir denetçi aşağıdaki sekiz hususu göz önünde
bulundurmalıdır;
1. Ekipman
yerleşimi teknik çalışma alanlarına erişimi zorlaştırmalıdır. Örneğin sıcaklığı
kontrol eden termostat ve sistem odasındaki klimalara sistem kaynaklarına
erişim ihtiyacı olmayan personel sistem odalarına giriş sağlamadan kontrol
sağlamalıdırlar.
2. Hassas
verileri barındıran varlıkların konum ve düzeni yetkisiz erişim ve yetki
dışında takip riskini azaltacak şekilde olmalıdır.
3. Özel
korunma ihtiyacı olan varlıklar standart varlık koruma prosedürlerini kolay
işletebilmek adına izole edilmelidir. Özel sıcaklık ve nem düzeyi gerektiren
sunucu odası izole edilmeli ve özel alana özgü kontroller tesis edilmelidir
(ısı, nem ölçüm ve takibi gibi.)
4. Hırsızlık,
yangın, patlama, duman, su, toz, deprem, kimyasal madde, elektrik ve
elektromanyetik parazit ve benzeri tehditlerden kaynaklanabilecek kayıplar
yeterli kontroller ile minimize edilmelidir.
5. İlgili
alanlarda yeme, içme, sigara içmek yasaklanmalı; ihlaller cezai yaptırıma
bağlanmalıdır.
6. Varlıklar
üzerinde potansiyel etkiye sahip olabilecek çevresel değişiklikler erken uyarı
sistemini içerecek şekilde yakından izlenmelidir.
7. Komşu
binalardan kaynaklanabilecek felaket etkileri, çatıdan gelebilecek su sızması
gibi riskler değerlendirilmelidir.
8. Komşu
yerleşkelerden olabilecek erişim olasılığı değerlendirilmelidir. Örneğin,
bankalara erişim için yan binalardan kazılan tünel örnekleri filmlerde çok işlenmektedir. Ağ
bağlantıları için kullanılan varlıklar kolay erişime imkan sağlıyorsa, datanın
kesimi riski mevcuttur.
Güç Kaynakları
Düzenli olmayan güç tesisinden
kaynaklanabilecek risklerden ekipmanları koruyabilecek bir sistem var olmalıdır. Denetçi
aşağıdaki 7 hususu değerlendirmelidir;
1. Güç
kaynağının sürekliliğinin sağlanması için yedek elektrik hattı, UPS ve
jeneratörler gibi birden fazla kaynaktan beslenmeyi sağlayacak önlemlerin
varlığı,
2. Güç
kesintisi anında alınacak aksiyonların tanımlandığı Acil Eylem Planı Varlığı (
Contigency Plan)
3. UPSlerin
ihtiyaç dahilinde gerekebilecek enerjiyi sağlamaya yönelik kapasiteye sahip
olma durumlarının belirli aralıklarla kontrol edilmesi,
4. Jeneratörlerin düzenli olarak test edilmesi,(Gerekebilecek
akaryakıtın varlığına özellikle dikkat edilmesi gerekmektedir. Akaryakıt seviyesi düzenli olarak takip
edilmediği zaman, ihtiyaç durumu oluştuğunda yakıt yetersizliği iş
kesintilerine sebebiyet verebilir)
5. Gerekmesi durumunda acil güç kapatılması
için güç şartellerine kolay erişim sağlanmalıdır. Acil durum güç kapama
şartelinin acil durum çıkış güzergahı üzerinde tasarlanmaması en yaygın yapılan
hatadır. Bu tasarım, acil durum tahliyesi durumunda önemli zaman tasarrufuna
imkan sağlamaktadır.
6. Yıldırıma yönelik güç ve iletişim
hatlarına yönelik olarak binanın yeterli korumaya sahip olma durumu,
7. Güç ve iletişim hatlarının korunmasına
yönelik planların varlığı,
Kablolama Güvenliği
Denetim içerisinde güç ve
iletişim hatlarının kesinti ve zarar görmeye karşı korunmasına yönelik önlemler
değerlendirilmelidir. Aşağıdaki kontroller değerlendirilebilir;
1. Güç
ve veri iletim hatları eksiksiz korunmalıdır. Yer altında ve korunaklı olarak
konuşlandırılmalıdır.
2. Kötü
niyetli fiziksel kesinti ve zararlara karşı network kabloları korunacak şekilde
tasarlanmalıdır. Kamuya açık alanlardan kablo geçişlerine özellikle dikkat
edilmelidir.
3. Enerji
ve data iletim hatlarının ayrı tutulması gerekmektedir.
4. Korunaklı
kabinler ve/veya kilitli odalar ile güvenlik tesis edilmelidir. Hassas ve
kritik sistemler için alternatif kanalların tahsisi önerilmektedir.
Fiziksel Erişim ve Hizmet Kesintileri
Bilgi varlıkları üzerinde
fiziksel kısıtlar ile tasarlanan kontroller en az dikkat çekici kontroller
olmakla birlikte yetkisiz erişimleri engellemeye karşı en etkili olan
kontrollerdir. Bilgi varlıklarının yetkisiz erişimler ve kesintilerden
korunmasına yönelik 10 adımdan oluşan öneriler listesi aşağıdaki gibidir:
1.
Fiziksel alanlara karar verilirken coğrafi
konum, enerji hatları, uçuş güzergahları, muhtemel terörist saldırıları gibi
çok detaylı unsurlar göz önünde bulundurulmalıdır. Alan seçimine ilişkin
çevredeki bütün binaların incelenmesi, geçmiş doğal ve afet olaylarına ilişkin
bilgi alınması önemli olacaktır. Fiziksel alanlardaki varlıkların
üreticilerinin ortam koşulları, nem seviyesi ve diğer çevresel değişkenlere
ilişkin önerileri göz önünde bulundurulmalıdır. Unutulmamalıdır ki üretici
önerilerinin göz ardı edilmesi garantinin boşa çıkmasına dahi neden olabilmektedir.
Kurum yer tercihi esnasında en kötü senaryoları da göz önünde bulundurmalıdır.
2.
Yetkisiz erişimlere karşı birinci seviye
kontroller için güvenlik parametreleri oluşturulmalıdır.
3.
Fiziksel erişimlerin yetkili personel ile
sınırlandırıldığından ve kayıt altına alındığından emin olunmalıdır. Kişilerin görev
tanımlarına uygun olacak şekilde gerektiği kadarı ile erişim izni verilmelidir
(Kurum içi hiyerarşinin gözetilmesinden ziyade). Bir kurumun idari en yetkili amirinin bütün yetkilere sahip olması durumu maalesef yaygındır ve riskliliği artırmaktadır. Giriş çıkış izinlerinin erişim
iznine konu alanın ve alan içerisindeki varlıkların hassasiyet durumlarına göre
verilmesi gerektiği göz önünde bulundurulmalıdır.
4. Bilgi varlıkları envanter bilgileri ve taşıma
bilgilerine ilişkin uygun dokümantasyonun yapılması ve güncel olması sağlanmalıdır.
5.
Temiz, eksiksiz ve kesintisiz güç sağlanmalıdır.
6.
Acil durum tahliye rotalarını ve planları
içerecek şekilde eksiksiz bir planlama ve yangın koruma sistemi kurulmalıdır.
7.
Potansiyel
bozulmalara karşı sistemdeki zayıf halkaların tespiti için bütün diyagramlar
değerlendirilmeli, gerektiği durumlarda uzman desteğine başvurulmalıdır.
8.
Sigorta poliçesi kapsamının doğru
belirlenebilmesi için bütün gereklilikler gözlemlenmelidir.
9. Potansiyel tehditlere karşı inceleme
yapılabilmesi için kritik alanlara varlıkların gönderiminden önce tutulduğu bir
alan tasarlanmalıdır. Sistemlere erişim network üzerinden olduğu için network
üzerinden paylaşımların kontrol edilebilmesi günden güne daha zorlaşmaktadır.
10.
Özellikle hassas alanlar başta olmak üzere
ziyaretçilere eşlik edilmesine yönelik işleyişin tasarlanması ve uygulanması
önem arz etmektedir.
Diğer Hususlar:
Diğer hususlar aşağıda ele
alınmıştır;
1. Donanım
varlıklarına fiziksel olarak zorla erişim engellenmiş durumda mı? (Cihazların
kurcalanması bağlamında düşünülebilir, BIOS pilinin sökülebilir olması risktir. Çünkü BIOS konsoluna girişimin parola ile sağlanması önemli bir kontroldür. BIOS üzerinden çalışabilir bir CD ya da bellek üzerinden çalıştırılabilecek çeşitli işletim sistemleri ile yüksek yetkilere erişmenin çeşitli ve bir kaç google araması ile öğrenilebilecek yolları vardır, risklidir.)
2. Bilgisayar
alanlarına (laboratuar, UPS veya jeneratör odaları) erişime yönelik anahtarların korunduğundan ve kopyalanma riskine
karşı önlem alındığından emin olunması
3. Laptop
ve el terminalleri gibi taşınabilir cihazlar üzerinde verinin kopyalanması,
depolama üniteleri ve bileşenlerinin sökülmesi gibi risklere karşı önlemler
alınmış mı? Bu kontrollerin bireysel olarak da kullanıma sunulan kurum
sahipliğindeki akıllı telefon, tablet gibi cihazlarda işletilmesi zor olabilir.
4. Cihazların taşınması sadece yetkili personel
tarafından gerçekleştirilmesi
Bilgi Sistemleri Tesisleri
BT denetçisi aşağıda sıralanan 3
alanda korumaya yönelik önlemlerin alındığından emin olmalıdır:
1. Fiziksel
varlıklar
a.
Yedekleme alanları da dahil bilgisayar odaları,
b.
Farklı lokasyonlardaki network ekipmanları da
dahil olmak üzere hesaplama ekipmanları
c.
Taşınabilirler de dahil olmak üzere depolama medyaları
2. Yazılı
Varlıklar
a.
Geliştirmenin yapıldığı alanlar
b.
Program kodları
c.
El kitapları ve rehberler
3. Lojistik
a.
Kurum dışı yedekleme depolama alan(lar)ı
b.
İletişim tesisleri
c.
Güç kaynakları
d.
İmha alanları
Çevresel Aygıtlar ve Depolama Aygıtları
Çevresel aygıtlar yazıcılar,
ekranlar, projeksiyon cihazları gibi cihazlardır. Genellikle depolama alanları
cihazların içerlerinde yer almakta birlikte çeşitli sistemlerde kullanmak için
harici depolama aygıtları da kullanılmaktadır. Flash diskler, mikro SD kartlar,
harici harddiskler bu kategoride sayılabilir. Cihazın taşınabilirliğinin
kolaylığı ve büyüklüğü atfedilen riski direkt etkilemektedir. Bahsi geçen
cihazların data aktarımı için kablosuz bağlantı özelliği barındırması ise
riskliliği etkileyen bir başka unsurdur.
Çevresel Aygıtların Yönetimi
Yazıcılar, tarayıcılar, kart
okuyucuları, USB modemler, flash diskler, network adaptörleri gibi cihazlar
örnektir. BT denetçisi aşağıdaki ölçütlerin kullanım
durumunu değerlendirmektedir;
1. Çevresel
aygıtlar ihtiyaç duyulduğu ölçüde kullanılma durumu (need to use bases)
2. Yetkisiz
erişimlerden cihazın korunmasına yönelik önlemlerin alınma durumu
3. Özel
yetkilendirme ile kısıtlı flash disk kullanımına izin verilme durumu
4. Belirli
sayıda kullanıcı tarafından kullanılan çevresel aygıtların ana sunucu ya da
diğer kritik varlıklara yakın konuşlandırmama durumu
Taşınabilir Bilgisayar Medyasının Yönetilmesi
Datanın gizliliği için belki de
en az üzerinde durulan önemli bir konudur. Denetçi, taşınabilir medyaların
sisteme tanımlanma ve sistem dışında bırakılma süreçlerini değerlendirmelidir.
1.
Yetkilendirilmeden hiçbir medya
kullanılmamalıdır.
2. Kurumdan uzaklaştırılacak tekrar kullanılabilir medyalar
üzerinde yer alan datalar geri yükleme ve kurtarmayı engelleyici işlemler
yapılarak silinmelidir.
3. Depolama aygıtlarının sökülmesi onay süreci
işletildikten sonra dokümante edilerek gerçekleştirilmelidir. Hassas öğelerin
tanımlanması ve sökülmesi esnasında ekstra kontroller işletilmelidir.
4.
Bütün medyalar güvenli ortamlarda tutulmalıdır.
5.
Yedekler kurum dışında güvenli bir yerde de
tutulmalıdır. (Şifrelenmesi önerilir.)
6.
Hassas sistemler başta olmak üzere güvenliği
sağlanmış sistemlere erişim yetkilendirme ile olmalı ve erişimler kayıt altına
alınmalıdır.
