Ortam ve ekipman imhası nedir ve ISO 27001’e uygun olarak nasıl yapılır?

Bugün, sabit sürücü ve diğer medya aygıtları birkaç yıl öncesine göre daha az yaygın, çünkü halen çok sayıda insan kalem sürücüler, harici sabit sürücüler vb. kullanıyor olsa da mevcut eğilim bulutu kullanmak. Buluttaki tüm bilgiler nihayetinde bir sunucuda, yani aynı zamanda bir medya aygıtı olan sabit diskinde depolanır. Bu nedenle, hassas verilerin sızmadığından emin olmak için güvenli ortam imhası çok önemlidir.

 

ISO 27001, bilgilerin korunmasına yönelik uluslararası bir standarttır ve bu standardın, sabit diski elden çıkarma ve diğer medya aygıtlarını elden çıkarma konusunda bize nasıl yardımcı olabileceğini göreceğiz.

 

Sabit sürücü ve diğer ortamların atılması için beş ipucu

  1. Ortamı örneğin yakarak veya parçalayarak fiziksel olarak yok edin.
  2. Bilgileri güvenli bir şekilde silin.
  3. Bir gizlilik sözleşmesi tanımlayarak harici bir taraf seçin.
  4. Toplama etkisinden kaçının.
  5. İmha işlemini kaydedin (hangi medyanın imha edildiğini veya hangi medyanın yeniden kullanılabilir olduğunu vb.).

 

Hangi ortamların güvenli bir şekilde atılması gerekiyor?

İlk olarak, hangi ortamlarla ilgilenmemiz gerektiğini ve bunları neden ve nasıl güvenli bir şekilde imha edebileceğimizi belirleyelim.

 

ISO 27001’de en önemli şeyin bilgi olduğu göz önüne alındığında, hassas bilgileri depolamak için kullandığımız ortamlara özen göstermemiz gerekiyor. Ama “medya” ile ne demek istiyorum?

 

Genel olarak, bu bağlamda bir ortam, bilgi depolamak için kullanılan bir cihazdır, bu nedenle ortam, sabit sürücüleri, USB kalem sürücüleri, harici sabit sürücüleri, CD’leri, DVD’leri vb.

 

Aşağıdaki senaryoları düşünün:

 

Basılı belgeler (örneğin, bütçe taslakları veya müşterinin reddedilen teklifleri) artık gerekli değildir ve karalama kâğıdı olarak kullanılmaz veya kaldırılmak üzere bekleme alanlarında birikmez.

 

Bakım personeli tarafından atılan, doğrudan çöpe atılan veya hurda olarak satılan arızalı ekipman (örneğin, CEO’nun tableti veya proje ekibinin defterleri).

 

Eskidiği düşünülen ekipman (örneğin, iyi durumda olan beş yıllık bir sunucu) yatırımın bir kısmını telafi etmek için satıldı veya iş imajını geliştirmek için bağışlandı.

 

Bu durumlarda, belge/ekipman kurtarma veya yeniden kullanmanın iş faaliyetlerini veya kişilerin mahremiyetini tehlikeye atabilecek bilgiler vermemesini nasıl sağlayacaksınız? Bir İnternet aramasında, varlıkların ve belgelerin uygunsuz şekilde elden çıkarılmasının olayın temel nedeni olduğu durumları bulabilirsiniz:

  • Bir kuruluşun sabit diskleri, binlerce gizli belge, çalışan adı, Sosyal Güvenlik Numaraları ve CEO’ya gizli notlar içeren internette satıldı.
  • Bir üniversitede çöpe atılan bilgisayarda binlerce öğrencinin adı, sosyal güvenlik numarası ve maddi yardım bilgileri yer aldı.
  • Bir kuruluş, kredi kartı, banka kartı ve kişisel bilgiler içeren geri dönüştürülmüş kağıt kullanıyor ve potansiyel olarak binlerce kaydı ifşa ediyordu.

 

Neyse ki, ISO 27001, risk oluşturan bilgilerin açığa çıkma risklerini en aza indirecek şekilde ortam ve varlıkların nasıl güvenli bir şekilde imha edileceğine dair bazı yönlendirmeler ve rehberlik sağlayabilir.

 

Gizli bilgi

Medya imhası için önemli bir girdi bilgi sınıflandırmasıdır.

 

Birçok şirket bilgilerini sınıflandırır, çünkü tüm medya aynı bilgilere sahip değildir ve tüm bilgiler işletme için aynı değere sahip değildir. Örneğin, işin sunumunu içeren bir PDF dosyası (kamuya açık bilgi olarak kabul edilebilir) içeren bir USB flash sürücü ile şirketin müşteri veritabanını (gizli olarak kabul edilebilir) içeren bir USB flash sürücü arasında büyük bir fark vardır.

 

Dolayısıyla, bilgiyi sınıflandırmamız gerekiyor ve ISO 27001 Ek A’da bu amaç için bize yardımcı olabilecek A.8.2.1 Bilgilerin sınıflandırılması kontrolüne sahibiz. Açıkçası, eğer bilgi halka açıksa, onu kamu malı olarak paylaşabiliriz, çünkü gizli bilgi sızıntısı riski yoktur.

 

Ancak, bilgiler halka açık değilse (gizli, kısıtlı, dahili vb.), işi mahvedebilecek gizli bilgi sızıntısı riski taşıyabileceğinden, bunları güvenli bir şekilde saklamamız ve imha etmemiz gerekir. yasal düzenlemelere ( GDPR gibi ) uyumsuzluk göstermenin yanı sıra.

 

Güvenli ortam imhasıyla neden uğraşasınız ki?

Gizli bilgileri güvenli bir şekilde ele almanın yanı sıra, varlıkların ve ortamların güvenli bir şekilde imha edilmesi için başka nedenler de vardır. Genellikle yalnızca artık ihtiyaç duymadığımızı veya değerli olmadığını düşündüğümüz şeyleri elden çıkardığımız için basit faaliyetler gibi görünebilirler. Ancak çevresel geri dönüşüm faaliyetlerini düşündüğünüzde, birisi için değersiz olan bir şeyin başkası için çok değerli olabileceğini görebilirsiniz.

 

Aynı şey bilgi için de geçerlidir. Değerli olmadığını düşündüğümüz bazı bilgiler, bir rakibin iş avantajı elde etmesine, bir suçlunun bir kuruluşun zayıflıklarını keşfetmesine veya daha da kötüsü, kişisel veya özel bilgileri suç işlemek için kullanarak bir müşterinin veya kişinin hayatına zarar vermesine neden olabilir.  Daha az önemli değil, bazı durumlarda müşteriler ve potansiyel iş ortakları bir sabit disk imha sertifikası ister.

 

ISO 27001 kontrolleri ve ISO 27002 tavsiyeleri

Bir işletmenin ilgili bilgilerini tüm yaşam döngüsü boyunca korumak amacıyla ISO 27001, bilgi imhasıyla ilgili iki özel kontrol sağlar:

  • Bir ortamın atılması gerektiğinde, bilgilerin uygun şekilde atılmasını sağlamak için prosedürlerin kullanılması düşünülmelidir (kontrol A.8.3.2 – Ortamın atılması).
  • Saklama ortamı içeren ekipman, imha edilmeden veya yeniden kullanılmadan önce hassas bilgiler içermediğinden emin olmak için doğrulanmalıdır (kontrol A.11.2.7 – Ekipmanın güvenli şekilde imha edilmesi veya yeniden kullanımı).

 

Diğer kontrol biçimleri gibi, güvenli elden çıkarma(imha) da bir organizasyonel politika tarafından desteklenmelidir.

 

Medya imhası

 

Medya imhası ile ilgili olarak, ISO 27002 tavsiyeleri aşağıdaki gibi özetlenebilir:

 

Elden çıkarma prosedürleri, bilgi sınıflandırma düzeyiyle orantılı olmalıdır: Sınıflandırma ne kadar yüksekse, bilgilerin yok edildikten sonra geri alınamayacağına dair güvence o kadar fazladır. Ortamın parçalanması veya yakılması ya da verilerin üzerine yazılması iyi uygulama örnekleridir.

 

Güvenli bir şekilde imha edilmesini gerektirecek Bilgilerin net bir şekilde tanımlanması: Filigran veya renkli kenarlık kullanılarak, birisinin güvenli bir şekilde imha edilmesi gereken bilgileri tanımlaması daha kolaydır.

 

Farklı türdeki ortamları karıştırarak atın:  Farklı öğelerin (örneğin, CD’ler, HDD’ler, kağıt vb.) karışımı ne kadar fazlaysa, belirli bir ortamı kurtarmak o kadar zor ve daha güvenlidir.

 

Elden çıkarmak için birikmiş ortamlara erişimi kontrol edin:  Çok sayıda hassas olmayan bilgi birlikte, hassas bilgilerin alınmasını mümkün kılabilir (toplama etkisi). Örneğin, bir araya getirilen çok sayıda eski yayınlanmış piyasa raporu, birinin hassas bir piyasa stratejisiyle ilgili bir trendi anlamasına olanak sağlayabilir. İmha prosedürlerini yürütmek için kısa bir biriktirme süresi veya küçük bir depolama hacmi tanımlamayı düşünün.

 

Atılan hassas öğelerin izlenebilirliğini sağlayın:  Öğelerin düzgün bir şekilde imha edildiğinden emin olmak için, en azından prosedürü kimin, ne zaman ve hangi yöntemin kullanıldığına dair günlük bilgilerini listelemelisiniz.

 

Ekipmanın yeniden kullanımı veya imhası

 

A.8.3.2 kontrolü bilgi ve saklandığı medya ile ilgilenirken, A.11.2.7 kontrolü medyayı kullanan ekipmanın uygun şekilde kullanılmasına yöneliktir, çünkü bazen daha özel bilgi gerektirir. medyaya erişmek veya korumak için. İşte bu kontroller için ISO 27002 tavsiyelerinin bir derlemesi:

 

Atmadan veya yeniden kullanmadan önce ekipman doğrulaması:  Ekipmanın içinde depolama ortamı olup olmadığını (örn. sabit sürücü veya bellek yongaları) doğrulamanız gerekir. Kritik öğelerin doğrulandığından emin olmak için bir imha kontrol listesi kullanabilirsiniz.

 

Geri alınamayan yöntemlerin kullanımı:  Çok hassas bilgilerin imhasını gerçekleştirmek için fiziksel imha (örn. öğütme veya parçalama yoluyla) veya belirli veya genel kalıplarla üzerine yazma teknikleri kullanılmalıdır.

 

Hasarlı ekipmanın değerlendirilmesi:  Bazen hasarlı cihazların onarılması için harici taraflara gönderilmesi gerekir. Bu durumlarda, öğelerin tamire gönderilmek veya atılmak yerine fiziksel olarak imha edilmesinin gerekip gerekmediğini belirlemek için cihaz hassas veriler açısından değerlendirilmelidir. ISO 31010, kullanılabilecek iyi bir risk değerlendirme teknikleri listesi sunar.

 

Üçüncü şahısların kullanımı

 

Bazen kalemlerin hacmi veya elden çıkarmayla ilgili teknik gereksinimler, uzmanlaşmış kuruluşların kullanımını iyi bir seçenek haline getirir, ancak uygun bir kuruluş seçilirken dikkatli olunmalıdır. Göz önünde bulundurmanız gereken kriterler, güvenliğini nasıl yönettiği, kullanılan imha yöntemleri ve sektörünüzdeki deneyimidir. Tüm bunları hizmet sözleşmesine dahil ettiğinizden emin olun.

Medya imhası için 5 ipucu

 

Medyadaki hassas bilgileri tehlikeye atma riskinin nasıl ele alınacağına dair kolay bir örnek görelim. Örneğin, işle ilgili gizli bilgiler içeren bir sabit disk olan bir varlığınız var. Bu sabit sürücü bir bilgi sistemine (bir sunucu) kuruldu, ancak bilgiyi başka bir bilgi sistemine, örneğin başka bir sunucuya veya buluta taşımaya karar verdiniz.

 

Bu riski ortadan kaldırmak için, ISO 27001 denetimi A.8.3.2 Ortamın İmhası’nı uygulayarak riski azaltabilirsiniz ve bu güvenlik denetimini uygulamak için bazı en iyi uygulamalar şunlardır:

 

  • Medyayı fiziksel olarak yok edin . Bunu, örneğin yakarak veya parçalayarak vb. yapabilirsiniz. Bu fiziksel imha, hasarlı cihazlar için de geçerlidir. Ancak dikkatli olun, çünkü hasarlı bir medya aygıtı geri yüklenebilecek hassas bilgilere de sahip olabilir, bu yüzden bundan kaçınmak için onu fiziksel olarak imha etmelisiniz.
  • Bilgileri güvenli bir şekilde silin . Bilgilerin üzerine yazmak veya güvenli bir şekilde silmek için kullanabileceğiniz yazılım araçları vardır.
  • Harici bir taraf seçin . Medyanızın imhası hizmetini sunan birçok şirket var, ancak burada bir gizlilik sözleşmesi tanımlayarak sağlayıcı seçimine dikkat etmeniz gerekiyor.
  • Toplama etkisinden kaçının . Grup içindeki bir şey hassas bilgi haline gelebileceğinden, hassas olmayan bilgiler içeren çok fazla ortama sahip olmaktan kaçınmanız daha iyi olur.
  • Bertarafı kaydettirin : Bertarafı kaydettirmek size denetim izleri için faydalı bilgiler sağlar (hangi medyanın imha edildiği veya hangi medyanın yeniden kullanılabilir olduğu vb.).

 

Sabit sürücü elden çıkarma örneği

 

Son olarak, gerçekleştirmesi kolay ve ücretsiz bir sabit disk imha örneği burada.

 

  1. Güçlü bir algoritma ve uzun bir parola kullanarak tüm sabit diski şifreleyin.
  2. Yazılım çözümlerini kullanarak tüm bilgileri güvenli bir şekilde silin (pek çok ücretsiz çözüm vardır).
  3. Medya cihazını fiziksel olarak imha edin (yakma veya parçalama vb.).

 

Gerçekte, bu yöntem yalnızca en kritik ve hassas veriler için geçerli olacak ve daha az kritikliğe sahip veriler için bu yöntemlerden yalnızca biri yeterli olacaktır.

 

CertBy başarılı bir sonuca varmak için gerekli tüm hizmetleri ve desteği sağlayabilmektedir. TSE onaylı sızma test hizmetleri, 6698 sayılı kişisel verilerin korunması kanunu çerçevesinde yürüttüğü çalışmalar (mahremiyet konusu), ISO 15504 SPICE ile yazılım yetki belgesi mercii olarak yürüttüğü belgelendirme hizmetleri ve en üst bilgi teknolojileri (BT) güvenliğinin  damgası ISO 15408 ortak kriterler laboratuvar hizmetleri ile CertBy Us (Cybersecurity Emergency Response Team BY Us) yani akıl ile siber güvenliğin tek adresi CertBy’dır.