Fysieke beveiliging en beveiliging van de omgeving

Transcriptie

1 ISMS (Information Security Management System) Fysieke beveiliging en beveiliging van de omgeving Checklist 2008 Version control please always check if you re using the latest version Doc. Ref. : isms.034.checklist.phys Release Status Date Written by Approved by NL_1.00 Voorstel voor Instellingen Sociale Zekerheid 26/08/2008 Luc Symons Werkgroep Informatieveiligheid 24/09/2008 Opmerking : in dit document zijn de opmerkingen verwerkt van een werkgroep met deelname van mevrouw Minnaert (RSVZ) en de heren Bochart (KSZ), Bouamor (CIMIRE SIGEDIS), Costrop (Smals), De Ronne (RJV), De Vuyst (KSZ), Petit (FBZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (ONSSPPO), Van den Heuvel (KSZ), Vandergoten (RIZIV) en Vertongen (RSZ) Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document bezit. De inhoud van dit document mag vrij worden verspreid voor niet-commerciële doeleinden mits vermelding van de bron (Kruispuntbank van de Sociale Zekerheid, Eventuele verspreiding voor commerciële doeleinden dient het voorwerp uit te maken van de voorafgaande en schriftelijke toestemming vanwege de Kruispuntbank van de Sociale Zekerheid. P 1

2 Inhoudsopgave ISMS...1 (INFORMATION SECURITY MANAGEMENT SYSTEM) INLEIDING EN SCOPE BEVEILIGDE RUIMTEN FYSIEKE BEVEILIGING VAN DE OMGEVING FYSIEKE TOEGANGSBEVEILIGING BEVEILIGING VAN KANTOREN, RUIMTEN EN FACILITEITEN BESCHERMING TEGEN BEDREIGINGEN VAN BUITENAF WERKEN IN BEVEILIGDE RUIMTEN OPENBARE TOEGANG EN GEBIEDEN VOOR LADEN EN LOSSEN BEVEILIGING VAN APPARATUUR PLAATSING EN BESCHERMING VAN APPARATUUR NUTSVOORZIENINGEN BEVEILIGING VAN KABELS ONDERHOUD VAN APPARATUUR BEVEILIGING VAN APPARATUUR BUITEN HET TERREIN VEILIG VERWIJDEREN OF HERGEBRUIKEN VAN APPARATUUR VERWIJDERING VAN BEDRIJFSEIGENDOMMEN...9 P 2

3 1 Inleiding en scope Deze checklist, gestructureerd volgens ISO norm 27002, is een hulpmiddel om de status van de fysieke beveiliging en beveiliging van de omgeving na te gaan. Het betreft een niet-exhaustieve opsomming van belangrijke aandachtspunten die o.a. beïnvloed worden door de behoeften, de doelstellingen en de omvang van de organisatie. Bovendien kunnen ze wijzigen in de tijd. Een aantal aspecten zijn nauw verbonden met de opdrachten van de preventie-adviseur en/of vallen onder zijn bevoegdheid. Het is de bedoeling dat er een samenwerking bestaat tussen de preventie-adviseur en de veiligheidsconsulent (KB van houdende organisatie van de informatieveiligheid). Er dient rekening gehouden te worden met de relevante lokale, regionale, nationale of internationale regels en wetgeving. 2 Beveiligde ruimten 2.1 Fysieke beveiliging van de omgeving J : N : G : NT : Ja Nee Gedeeltelijk Niet toepasselijk 1 Zijn de zones die informatie en IT-voorzieningen bevatten, met het oog op de gepaste beveiliging ervan, duidelijk gedefinieerd? 2 Is de buitenkant van de locatie of het gebouw voldoende solide en op voldoende wijze beschermd tegen toegang door onbevoegden (vb. solide omheining, buitenmuren, buitendeuren, buitenramen, )? 3 Wordt de toegang tot het gebouw en tot specifieke zones gecontroleerd zodanig dat enkel bevoegde personen toegang krijgen (vb. bemande receptie, badgesysteem, )? 4 Wordt het principe van opeenvolgende beveiligingsbarrières gehanteerd (vb. beveiliging gebouw, beveiliging computerafdeling, beveiliging lokaal, )? 5 Voldoet de installatie, de werking en de controle van de toegangen aan de wet- en regelgeving terzake? 6 Zijn er gepaste anti-inbraaksystemen geïnstalleerd waarvan de effectieve werking op regelmatige tijdstippen getest wordt? Wordt hierbij rekening gehouden met o.a. de beveiliging van onbemande ruimtes, de periodes van activering (vb. enkel na kantooruren, of permanent)? 7 Indien computer- of netwerkapparatuur door een externe onderneming wordt beheerd, is deze dan fysiek afgescheiden van systemen die zelf beheerd worden? P 3

4 8 Worden gepaste en analoge maatregelen genomen op de andere locaties van de instelling? 9 Wordt de toegang voor onderhouds- en schoonmaakpersoneel tot beveiligde zones op voldoende mate beheerst en gecontroleerd? 10 Wordt er voldoende aandacht besteed aan de problematiek van fysieke toegangsbeveiliging wanneer meerdere organisaties in hetzelfde gebouw gehuisvest zijn? Bijzondere aandachtspunten Bijzondere aandacht dient ook besteed aan de problematiek (o.a. wet- en regelgeving) omtrent de installatie en het gebruik van bewakingscamera s; het gebruik van bewakingsdiensten; reglementering inzake welzijn en bescherming van de werknemers. 2.2 Fysieke toegangsbeveiliging 1 Bestaan er procedures en regels om bezoekers toegang te verlenen (vb. registratie van aankomst en vertrek, afhaling aan receptie, begeleiding tot betrokken dienst, lijst met deelnemers vergadering/opleiding)? 2 Worden voor het verlenen van de toegang tot het gebouw en de locaties waar gevoelige informatie wordt verwerkt of opgeslagen, authenticatievoorzieningen toegepast (vb. badge, code)? Wordt er een 'audit trail bijgehouden? 3 Wordt er door alle medewerkers, extern personeel en bezoekers een zichtbare vorm van identificatie gedragen (vb. badge)? Wordt dit opgevolgd en gecontroleerd? 4 Is de toegang voor het personeel van externe ondersteunende diensten beperkt tot deze ruimtes waartoe ze effectief toegang toe moeten hebben? En wordt deze toegang geautoriseerd en gecontroleerd? 5 Worden de toegangsrechten regelmatig beoordeeld en geactualiseerd, en indien nodig ingetrokken? P 4

5 2.3 Beveiliging van kantoren, ruimten en faciliteiten 1 Worden de belangrijkste voorzieningen geplaatst in ruimtes die niet toegankelijk zijn voor het publiek? 2 Wordt er op gelet dat er zo weinig mogelijk aanduidingen aangebracht zijn die wijzen op computer- of netwerkactiviteiten? (vb. locatie computerzaal, evacuatie-schema s) 3 Wordt ervoor gezorgd dat informatiebronnen waarin locaties worden aangeduid met gevoelige IT-voorzieningen niet vrij toegankelijk zijn voor het publiek (vb. interne telefoongidsen)? 2.4 Bescherming tegen bedreigingen van buitenaf 1 Worden er maatregelen genomen tegen brand wateroverlast bliksem explosie oproer andere vormen van natuurlijke of door mensen veroorzaakte calamiteit? 2 Worden gevaarlijke of brandbare materialen op een veilige afstand van beveiligde ruimtes opgeslagen (vb. papier behoort niet in een beveiligde ruimte te worden opgeslagen of bewaard)? 3 Worden reserveapparatuur en media voor back-up op veilige afstand bewaard (vb. op andere dan hoofdlocatie)? Bevindt het uitwijkcentrum zich op voldoende afstand van de hoofdlocatie? ATEX-richtlijn (ATEX = atmosphère explosive). P 5

6 2.5 Werken in beveiligde ruimten 1 Wordt in beveiligde ruimten onder toezicht gewerkt (zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten)? 2 Is er toezicht op de toegang en de werkzaamheden van extern personeel tot en in beveiligde ruimten? 3 Worden leegstaande beveiligde ruimten afgesloten en regelmatig gecontroleerd. 4 Mag slechts met uitdrukkelijke toestemming gebruik gemaakt worden van opnameapparatuur (film, foto, video, gsm-opname, )? 2.6 Openbare toegang en gebieden voor laden en lossen 1 Wordt de laad- en loszone op voldoende wijze gecontroleerd, zodanig dat onbevoegde toegang vermeden wordt? 2 Worden de aangeleverde materialen behoorlijk gecontroleerd en volgens de voorziene procedures overgebracht naar de locatie waar ze nodig zijn? P 6

7 3 Beveiliging van apparatuur 3.1 Plaatsing en bescherming van apparatuur 1 Worden werkstations met gevoelige gegevens zodanig opgesteld dat onbevoegden het scherm niet kunnen aflezen? 2 Wordt apparatuur die bijzondere bescherming vereist zodanig opgesteld (bv. in aparte gesloten locatie) zodat de beveiliging van de ruimte niet extra versterkt moet worden? 3 Worden er maatregelen genomen om risico s zoals diefstal, brand, explosie, rook, wateroverlast (of onderbreking van de watertoevoer), stof, trillingen, chemische reacties, verstoring van de elektriciteitsvoorziening en van de communicatie, elektromagnetische straling en vandalisme, te minimaliseren? 4 Geldt er rookverbod en verbod om te eten en te drinken in de nabijheid van de apparatuur? 5 Worden de omgevingsomstandigheden zoals temperatuur en luchtvochtigheid gecontroleerd zodanig dat de werking van de IT-voorzieningen niet negatief beïnvloed wordt? 3.2 Nutsvoorzieningen 1 Is er onderbrekingsvrije stroomvoorziening (UPS) aanwezig om een goede afsluitprocedure te ondersteunen of apparatuur ononderbroken te laten werken? 2 Bestaat er een noodprocedure i.g.v. uitval UPS? 3 Is er een noodgenerator voorzien i.g.v. langdurige stroomuitval? 4 Worden deze nutsvoorzieningen voldoende gecontroleerd, onderhouden en getest? 5 Is de telecommunicatie-apparatuur via 2 onderscheiden wegen verbonden met de systemen van de telecomleverancier? P 7

8 3.3 Beveiliging van kabels 1 Zijn de electriciteits- en telecommunicatiekabels voor IT-voorzieningen afdoende beschermd (vb. beveiligde kabelgoten, niet via openbare ruimtes, )? 2 Netwerkkabels behoren te worden beschermd tegen ongeautoriseerd aftappen of beschadiging, bijvoorbeeld door ze in mantelbuizen of kabelgoten te leggen en zo min mogelijk door openbare ruimten te laten lopen. 3 Zijn kabels en apparatuur duidelijk identificeerbaar (vb. om fouten zoals het per ongeluk patchen van de verkeerde netwerkkabels te vermijden)? 4 Bestaat er een gedocumenteerde patchlijst? 5 Worden voor zeer gevoelige of kritieke systemen nog extra maatregelen getroffen (vb. monitoren, glasvezel )? 3.4 Onderhoud van apparatuur 1 Wordt de apparatuur correct en volgens schema onderhouden? 2 Worden reparaties en onderhoud enkel door bevoegd personeel uitgevoerd? 3 Worden alle vermeende of daadwerkelijke storingen, alsook alle preventieve en corrigerende onderhoudswerkzaamheden geregistreerd? 4 Wordt er bij het onderhoud en de reparaties rekening gehouden met eventuele eisen opgelegd door de verzekeringsmaatschappij? P 8

9 3.5 Beveiliging van apparatuur buiten het terrein 1 Bestaan er regels m.b.t. de apparatuur en de media die buiten het terrein worden gebruikt (vb. backups, tapes, laptop, )? 2 Bestaan er regels en worden er maatregelen geïmplementeerd m.b.t. thuiswerk? 3 Werden er gepaste verzekeringen afgesloten om apparatuur te beschermen die zich buiten de locatie bevindt? 3.6 Veilig verwijderen of hergebruiken van apparatuur 1 Worden de opgeslagen gegevens (op voldoende wijze) verwijderd, voordat apparatuur inclusief opslagmedia afgevoerd worden? 3.7 Verwijdering van bedrijfseigendommen 1 Wordt er op toegezien dat apparatuur, informatie en programmatuur niet zonder toestemming buiten de locatie meegenomen wordt? 2 Wordt de ontvangst en de inlevering van apparatuur opgevolgd? 3 Is er voor de vernietiging van dragers die gevoelige informatie bevatten een contract afgesloten met een gespecialiseerde firma waarbij bovendien aandacht besteed wordt aan de vertrouwelijkheid? P 9