Bilgi Sistemleri Güvenliği
Fiziksel Güvenlik Kontrolleri
Fiziksel güvenlik kontrolleri; bina, oda, veri merkezi ve kritik alan güvenliği, fiziksel erişim kontrolü, güvenlik bölgeleri, ziyaretçi yönetimi ve ekipmanların korunması çerçevesinde sınav odaklı ve detaylı biçimde ele alınmaktadır.
Konu İçeriği
Fiziksel Güvenlik Kontrolleri
Bilgi sistemleri güvenliği yalnızca mantıksal erişim kontrolleri, parola politikaları veya ağ güvenliği tedbirlerinden ibaret değildir. Bilgi sistemlerini barındıran fiziksel mekanların korunması da güvenliğin temel unsurlarındandır. Kitapta fiziksel ve çevresel güvenlik ana başlığı altında, özellikle fiziksel kontrollerin bilgi işleme tesislerinin korunması bakımından taşıdığı önem ayrıntılı biçimde ele alınmaktadır. Bu bölümde bina, oda, veri merkezi ve kritik alan güvenliği, fiziksel erişim kontrolü, güvenlik bölgeleri, ziyaretçi yönetimi ve ekipmanların korunması incelenmektedir.
1) Fiziksel Güvenlik Kontrollerinin Temel Amacı
Kitaba göre fiziksel ve çevresel kontrollerin en temel amaçları, yetkisiz fiziksel erişime karşı koruma ile doğal veya insan kaynaklı felaketlere ve çevresel etkilere karşı korumadır. Bu ifade, fiziksel kontrollerin sadece kapı kilitlemekten ibaret olmadığını gösterir.
Fiziksel güvenlik sağlanmadığında yetkisiz kişiler sistemlere doğrudan erişebilir, hassas bilgiler ifşa olabilir, sistem bütünlüğü üzerinde kontrol kaybı yaşanabilir ve hizmet kesintileri ortaya çıkabilir. Bu nedenle fiziksel güvenlik, bilgi sistemleri güvenliğinin temel savunma katmanlarından biridir.
En iyi mantıksal erişim kontrolleri uygulanmış olsa bile, bilgi sistemlerine yetkisiz fiziksel erişim sağlandığında bu kontroller devre dışı bırakılabilir. Bu da fiziksel güvenliğin neden vazgeçilmez olduğunu açıkça ortaya koyar.
Fiziksel güvenlik kontrollerinin temel amaçları =
Yetkisiz fiziksel erişime karşı koruma + felaket ve çevresel etkilere karşı koruma
2) Bilgi İşleme Tesisi Kavramı
Kitapta fiziksel ve çevresel güvenlik kontrolleriyle ilgili “bilgi işleme tesisi” kavramı kullanılmaktadır. Bilgi işleme tesisi; bilgi işlem faaliyetlerinde kullanılan her türlü sistem, servis, altyapı ve bu bileşenlerin konuşlandırıldığı fiziksel mekanlar olarak tanımlanmaktadır.
Bu tanım, fiziksel güvenliğin sadece veri merkezini değil, bilgi işlem faaliyetlerinin yürütüldüğü tüm fiziki alanları kapsadığını gösterir. Dolayısıyla bina, oda, araç, iletişim kabineti, sistem odası ve benzeri alanlar fiziksel güvenlik kapsamına girer.
Bu nedenle fiziksel güvenlik değerlendirilirken sadece ana tesis değil, bilgi işleme faaliyetinin yürüdüğü tüm destekleyici alanlar dikkate alınmalıdır.
Bilgi işleme tesisi kavramı, sadece veri merkezini değil; bilgi işlem faaliyetlerinde kullanılan sistem, servis, altyapı ve fiziksel mekanların tamamını kapsar.
3) Bina, Fiziksel Tesis ve Kritik Alan Güvenliği
Kitapta fiziksel tesislerin, bilgi sistemleri sistem ve ağ bileşenlerini barındıran bina, diğer yapı veya araçlar olduğu belirtilmektedir. Bu tesislerin fiziksel özellikleri; yetkisiz erişim, yangın, su sızıntısı ve benzeri tehditlerin seviyesini belirler.
Bu çerçevede bina ve fiziksel tesis güvenliği, bilgi sistemlerinin barındığı alanın korunması anlamına gelir. Bir sistemin ne kadar iyi yapılandırıldığı kadar, hangi fiziki ortamda bulunduğu da önemlidir. Güvenliği zayıf bir mekanda bulunan kritik sistemler, mantıksal olarak güçlü olsalar bile risk altında kalabilir.
Dolayısıyla fiziksel tesis güvenliği, bilgi sistemlerinin bütünlüğü ve sürekliliği açısından temel başlangıç noktasıdır.
4) Sistem Odası, Veri Merkezi ve Korunması Gereken Alanlar
Kitapta kritik bilgi sistemleri için güvenli alanlar oluşturulması gerektiği açıkça belirtilmektedir. Ayrıca fiziksel korunması gerekli tesislere örnek olarak sistem odası/veri merkezi, bilgisayar odası, programlama alanı, operatör konsolları ve terminalleri, teyp kitaplığı, diskler, manyetik ortamlar, depolar, tesis dışı yedekleme dosyası depolama tesisi, iletişim kabinetleri ve telekomünikasyon ekipmanları sayılmaktadır.
Bu yaklaşım, korunması gereken alanların yalnızca ana veri merkeziyle sınırlı olmadığını gösterir. Bilginin işlendiği, iletildiği, yedeklendiği veya işletildiği tüm kritik alanlar fiziksel güvenlik kapsamındadır.
Bu nedenle kritik alanların tanımı kurum içinde açık biçimde yapılmalı ve uygun koruma tedbirleri bu alanlara göre uygulanmalıdır.
Sistem odası, veri merkezi, bilgisayar odası, iletişim kabinetleri ve yedekleme alanları fiziksel korunması gerekli kritik alanlardandır.
5) Fiziksel Erişim Kontrolü
Kitapta bilgi sistemlerine fiziksel erişimlerin yönetilmesi ve korunması gerektiği belirtilmektedir. Bu kapsamda tesislerin fiziksel güvenlik sınırlarının belirli olması, personel ve araç giriş-çıkışlarının kayıt altına alınması ve kimlik kontrol mekanizmalarının bulunması gerektiği ifade edilmektedir.
Fiziksel erişim kontrolü, yalnızca kapıdan geçiş izni vermek değildir. Kimlerin hangi alana ne şartlarda gireceğini, girişlerin nasıl doğrulanacağını ve kayıtların nasıl tutulacağını belirleyen sistematik kontrol yapısıdır.
Bu nedenle fiziksel erişim, organizasyonun mantıksal erişim kadar ciddiyetle ele alması gereken güvenlik katmanıdır.
Fiziksel erişim kontrolü sadece kapı kilidi değildir;
sınır belirleme, kayıt, kimlik kontrolü ve doğrulama mekanizmalarını da kapsar.
6) Güvenlik Bölgeleri ve Güvenli Alanlar
Kitapta kritik bilgi sistemleri için güvenli alanlar oluşturulup oluşturulmadığının değerlendirilmesi gerektiği belirtilmektedir. Güvenli alanlara giriş-çıkış işlemlerinde kimlik doğrulama mekanizmalarının kullanılması ve bu işlemlerin kayıt altına alınması beklenmektedir.
Bu yaklaşım, tüm alanların aynı düzeyde korunmasının yeterli olmadığını; farklı güvenlik bölgeleri oluşturulabileceğini gösterir. Kritik sistemlerin bulunduğu alanlar daha sıkı korumaya tabi tutulmalı ve bu alanlara sadece yetkili kişiler erişebilmelidir.
Böylece güvenlik bölgeleri, risk seviyesine göre ayrıştırılmış fiziksel koruma yapısı oluşturur.
Kritik bilgi sistemleri için güvenli alanlar oluşturulmalı ve giriş-çıkışlarda kimlik doğrulama kullanılmalıdır.
7) Yetkilendirme ve Alanlara Erişim Sınırı
Kitapta personelin hangi alanlara giriş yapabileceğinin belirli olması ve yetkilendirme periyodik kontrollerinin yapılması gerektiği ifade edilmektedir. Bu nokta fiziksel güvenliğin en kritik ilkelerinden biridir.
Her çalışanın her alana fiziksel erişim hakkı olmamalıdır. Erişim ihtiyaca göre sınırlandırılmalı, yetkiler belirli kurallar dahilinde verilmeli ve zaman içinde gözden geçirilmelidir. Aksi halde kullanılmayan veya gereksiz erişim hakları fiziksel güvenlik açığı yaratabilir.
Bu nedenle fiziksel erişimde de en az yetki yaklaşımı mantıksal erişimde olduğu kadar önemlidir.
8) Ziyaretçi Yönetimi ve Refakat
Kitapta ziyaretçilerin kuruma giriş-çıkış kontrollerini içeren bir prosedürün mevcut olması gerektiği belirtilmektedir. Ayrıca destek ve bakım gibi hizmetler için gelen üçüncü taraf personeline refakat edilip edilmediği de değerlendirme konusu yapılmaktadır.
Bu yaklaşım, ziyaretçi yönetiminin fiziksel güvenlikte merkezi yer tuttuğunu gösterir. Kuruma gelen ziyaretçilerin veya üçüncü taraf personelin kontrolsüz biçimde kritik alanlara erişmesi, önemli risk doğurabilir. Bu nedenle ziyaretçi prosedürü, kayıt alma, kimlik kontrolü, refakat ve çıkış izleme gibi unsurları içermelidir.
Böylece ziyaretçi yönetimi, fiziksel güvenlik zincirinin zayıf halkası olmaktan çıkarılır.
Ziyaretçilerin giriş-çıkış kontrolleri prosedüre bağlı olmalı; üçüncü taraf personel gerekiyorsa refakat altında çalışmalıdır.
9) Kamera Sistemi, Güvenlik Birimi ve Kayıt Disiplini
Kitapta fiziksel tesislerin içerisinde güvenlik kontrollerini sağlayabilecek bir güvenlik birimi bulunup bulunmadığı, kapalı devre kamera sistemi olup olmadığı ve giriş-çıkışların kayıt altına alınıp alınmadığı hususlarının göz önünde bulundurulması gerektiği belirtilmektedir.
Bu unsurlar, fiziksel güvenliğin izleme ve caydırıcılık boyutunu güçlendirir. Güvenlik birimi veya kamera sistemi tek başına yeterli olmasa da, giriş-çıkış kayıtları ve olay inceleme süreçleri açısından önemli destek sağlar.
Kayıt disiplini fiziksel olayların sonradan incelenebilmesini ve erişim hareketlerinin takip edilebilmesini mümkün kılar.
Kamera ve güvenlik birimi faydalıdır; ancak esas olan fiziksel erişim kurallarının, kayıtların ve güvenli alan mantığının birlikte işlemesidir.
10) Kurum Dışına Çıkan Varlıkların Kontrolü
Kitapta kurum dışına çıkan bilgi sistemi varlıklarının kayıt altına alınıp alınmadığı ve transfer için onay ile yetkilendirme süreci bulunup bulunmadığı da fiziksel kontroller kapsamında değerlendirilmektedir.
Bu vurgu, ekipmanların korunmasının sadece tesis içindeki cihazlarla sınırlı olmadığını gösterir. Kurum dışına çıkan cihazlar, taşınan depolama ortamları veya transfer edilen ekipmanlar özel risk taşır. Bu nedenle çıkış işlemleri kayıt altına alınmalı ve onaya bağlı yürütülmelidir.
Böylece ekipman güvenliği kurum dışına taşan süreçlerde de sürdürülmüş olur.
11) Ekipmanların Korunması ve Çalışma Kuralları
Kitapta güvenli alanlarda çalışma kurallarının belirli olup olmadığına dikkat çekilmektedir. Ayrıca temiz masa ve temiz ekran politikasının uygulanıp uygulanmadığı da fiziksel kontroller arasında sayılmaktadır.
Bu yaklaşım, ekipmanların korunmasının sadece fiziksel duvarlarla değil, kullanım disipliniyle de sağlandığını gösterir. Açıkta bırakılan ekranlar, masada unutulan belgeler, korumasız bırakılan terminaller veya gözetimsiz ekipmanlar fiziksel güvenlik zaafı yaratabilir.
Dolayısıyla ekipmanların korunması, çalışma alanı disiplini ve güvenli kullanım alışkanlıklarıyla birlikte düşünülmelidir.
Ekipmanların korunması; güvenli alan kuralları, temiz masa-temiz ekran yaklaşımı ve kontrollü fiziksel erişimle birlikte sağlanır.
12) Fiziksel Güvenliğin Diğer Kontrollerle İlişkisi
Kitapta fiziksel ve çevresel güvenlik kontrollerinin mantıksal erişim kontrolleri, kimlik tanımlama ve doğrulama, bilgi sistemleri sürekliliği ve acil durum eylem planlaması gibi alanları desteklediği belirtilmektedir.
Bu ifade, fiziksel güvenliğin bağımsız ve tek başına duran bir alan olmadığını gösterir. Tersine, bilgi sistemleri güvenliğinin diğer katmanlarıyla birlikte çalışan bütünleşik kontrol alanıdır. Fiziksel güvenlik zayıfsa mantıksal kontroller de etkisiz kalabilir; fiziksel koruma güçlü olduğunda ise diğer kontroller daha anlamlı hale gelir.
Bu nedenle fiziksel güvenlik kontrolleri, kurumsal güvenlik mimarisinin temel bileşenlerinden biridir.
Final Özet (Sınavlık)
- Fiziksel güvenlik kontrollerinin temel amacı yetkisiz fiziksel erişime ve felaket/çevresel etkilere karşı korumadır.
- Bilgi işleme tesisi kavramı, bilgi işlem faaliyetlerinde kullanılan sistem, servis, altyapı ve fiziksel mekanların tamamını kapsar.
- Bina, sistem odası, veri merkezi, bilgisayar odası, iletişim kabinetleri ve yedekleme alanları fiziksel korunması gereken kritik alanlardandır.
- Fiziksel erişim kontrolü; sınır belirleme, giriş-çıkış kaydı, kimlik kontrolü ve doğrulamayı kapsar.
- Kritik bilgi sistemleri için güvenli alanlar oluşturulmalı ve bu alanlara sadece yetkili kişiler girebilmelidir.
- Personelin hangi alanlara girebileceği belirlenmeli ve yetkiler periyodik olarak gözden geçirilmelidir.
- Ziyaretçilerin giriş-çıkışları prosedüre bağlı olmalı, üçüncü taraf personel gerektiğinde refakat altında çalışmalıdır.
- Kamera sistemi, güvenlik birimi ve kayıt disiplini fiziksel güvenliği destekler.
- Kurum dışına çıkan bilgi sistemi varlıkları kayıt altına alınmalı ve transfer için onay/yetkilendirme süreci bulunmalıdır.
- Temiz masa ve temiz ekran yaklaşımı ekipmanların korunmasının parçasıdır.
Öğrenim Hedefleri
- Fiziksel güvenlik kontrollerinin temel amacını kavramak
- Bilgi işleme tesisi kavramını ve kapsamını öğrenmek
- Bina, oda, veri merkezi ve kritik alan güvenliği mantığını açıklayabilmek
- Fiziksel erişim kontrolü ve güvenlik bölgeleri yaklaşımını anlamak
- Ziyaretçi yönetimi ve refakat gerekliliğini öğrenmek
- Ekipmanların korunması ve kurum dışına çıkan varlıkların kontrolünü kavramak
- Fiziksel güvenliğin diğer güvenlik kontrolleriyle ilişkisini açıklayabilmek
Önemli Notlar
EZBER: Fiziksel güvenlik kontrollerinin temel amacı yetkisiz fiziksel erişime ve felaket/çevresel etkilere karşı korumadır.
EZBER: Kritik bilgi sistemleri için güvenli alanlar oluşturulmalı ve bu alanlara sadece yetkili kişiler erişebilmelidir.
EZBER: Personel ve araç giriş-çıkışları kayıt altına alınmalı, kimlik kontrol mekanizmaları bulunmalıdır.
EZBER: Ziyaretçilerin giriş-çıkış kontrollerini içeren prosedür bulunmalıdır.
EZBER: Kurum dışına çıkan bilgi sistemi varlıkları kayıt altına alınmalı ve transfer için onay/yetkilendirme süreci bulunmalıdır.
EZBER: Temiz masa ve temiz ekran politikası fiziksel güvenlik uygulamalarındandır.
Bu Konudaki Tüm Sorular
Aşağıda, ilgili konuya ait veritabanında kayıtlı tüm aktif sorular listelenmektedir.