1. AMAÇ |
Donanımlar üzerinde alınan yazılımsal güvenlik kadar, fiziksel güvenliğinde önemine dikkat çekmek. İş alanına ve bilgilerine, yetkisiz erişimin, hasar ve müdahalenin engellenmesi için oluşabilecek senaryoları ve alınabilecek önlemleri belirlemek. |
|
2. KAPSAM |
SAFYÜN HALI A.Ş.’nin hizmet vermesi için gerekli olan tüm donanımları, fiziksel altyapıyı, bu donanımların içinde bulunduğu ortamı ve konuyla ilgili sorumluları kapsar. |
|
3. UYGULAMA |
Donanımlar ve insan kadar, çevresel tehlikelerinde iş sürekliliği için aynı zamanda birer fiziksel risk faktörü olduğunu, güvenliğin diğer tüm politikalarla beraber bir bütün olarak düşünülmesi gerektiğini hatırlatmak için aşağıdaki uyarılar dikkate alınmalıdır. |
|
a. Donanım |
Mümkün olduğunca 7/24 kesintisiz çalışan sistemlere donanımsal arıza durumunda müdahale edebilmek için, tüm donanımların fault tolerance (hataya dayanıklılık) ve hot swap(sistem çalışırken değiştirilebilir) özelliklerinin olmasına, kendi içlerinde veya birbirleriyle paralel, yedekli çalışabilir olduğuna dikkat edilmesi gerekir. İş sürekliliği için mümkünse her donanımın aktif aktif ya da aktif pasif çalışan redundant (yedekli) yapıda olması tavsiye edilir. Kritik sistemlerde, mümkünse her donanımdan bir adet yedek veya konsinye bulundurulması gerekir. |
|
Donanımlarda oluşabilecek parça arızaları için kritik parçalar yedeklenmeli, donanım bakımları düzenli olarak belli periyotlarda yapılmalıdır. |
|
b. İnsan – Hırsızlık -Terörizm |
Sunucu veya ağ donanımına fiziksel olarak erişebilen saldırganın donanımın kontrolünü kolaylıkla ele geçirebileceği unutulmamalıdır. Fiziksel güvenliği sağlanamayan donanım üzerinde alınacak yazılımsal güvenlik önlemlerinin hiç bir değeri bulunmamaktadır. |
|
1-Hırsızlık ve terörizm’e karşı bina güvenliği ; |
2-Bina çevresinde yüksek duvarlar, tel örgüler, |
3-Kapı ve pencerelerde demir parmaklıklar, |
4-Kapalı devre kamera sistemleri, ses kayıt cihazları, |
5-Hareket dedektörleri, hırsız alarmları, panik anahtarları, |
6-Farklı noktalardaki güvenlik personeli, kapıları, güvenlik detektörleri ve kontrolleri |
7-gibi önlemlerle büyük ölçüde sağlanabilir. |
|
Sistem odaları sürekli kilitli olmalı, sadece yetkili personel için erişim izni verilmeli, manyetik kartlar veya biyometrik denetimli (retina, ses, parmak izi tanıyan vb.) kapı sistemleri kullanılarak giriş-çıkış kontrol edilmelidir. |
|
Dışarıda ve içeride oluşabilecek olan hırsızlık, gasp olaylarını önlemek için; |
1-Güvenli bina dışına çıkarılmış gizli donanım, yazılım, dokümanlar (notebook, desktop pc, dvd, dlt, dosya vb.) umumi alanlarda, evde, arabada açıkta bırakılmamalı, mümkünse kilitli çanta, kutu vb. ile taşınmalıdır. |
2-İstemcilere güvenilir işletim sistemlerinin, antivirus, antispyware, host based firewall programlarının son versiyonları yüklenmelidir. |
3-İstemcilerde bios’a supervisor şifre konulmalı, boot order değişimi engellenmeli, bios read only hale getirilmelidir. |
4-İstemcilerde 2 aşamalı kimlik doğrulama ve yetkilendirme yapıları kullanılmalıdır. (usb token, crypto card, retina veya parmak izi tarayıcı vb.) |
5-İstemcilerde depolanması gereken tüm gizli veriler için EFS (Encrypted File System) türünde dosya sistemleri kullanılmalı, bilinen kriptoloji algoritmalarıyla şifrelenmeli, IRM(Information Rights Management) gibi yapılarla belgeler yetkilendirilmeli, kullanım süresi sınırlandırılmalıdır. |
Kuruluşla ilgili verilerin, programların kuruluş dışına çıkarılmamaları için merkezi bir file server’da her kullanıcı için home folder yapısı kurulmalı, gerekirse istemcilerde domain veya lokal politikalarla usb, com vb. türü tüm portlar, cd-rom, floppy drive, disk drive, usb memory vb. gibi media araçlarının ve lokal sürücülerin tümünün kullanımı kapatılmalıdır. |
|
c. Yangın |
Donanımlar yangına karşı oldukça zayıf bir korumaya sahiptirler. Yangın sistemlere doğrudan yakarak zarar veremese bile, yüksek sıcaklık sabit disklerin ve kartlar üzerindeki tüm lehimlerin erimesine neden olabilir. |
Mümkünse sistem odalarına ve odaya gelen tüm kablolalara dışarıdan gelecek ısıyı engellemek için ısı yalıtımı yapılmalı, Halogen Free kablo ve elektrik ekipmanlarının kullanılması sağlanmalıdır. Bu kablolar ve korumalar yandığında alevi iletmeyip, yangının diğer bölgelere sıçrama zamanını azaltır.Oluşan duman zehirleyici özelliğe sahip değildir. |
Duman, disklerinin kafalarına, optik disklere ve teyp sürücülerine etki eder. Duman konusunda en tehlikeli kaynak sigaradır. Sistem odasında sigara içilmesine izin verilmemelidir. |
Sistem odasındaki yangın ve duman dedektörlerinin çalışır durumda olduğu kontrol edilmelidir. Alarm durumunda ilgili kişilere e-mail, SMS, telefon vb. yollarıyla alarmların ulaşması sağlanmalıdır. Otomatik yangın alarm sisteminin yanlış alarm ve acil durumlarda durdurulabilir olduğu denetlenmelidir. |
Taşınabilir yangın söndürücülerin kapıya olabildiğince yakın olması ve sistem odasına girme yetkisine sahip personelin bu söndürücüyü kullanabilme konusunda yeterli deneyime sahip olması, yangın söndürücülerin doluluğunun periyodik olarak kontrol edilmesi sağlanmalıdır. |
Sistem odalarında özellikle otomatik gazlı yangın söndürme sistemleri tercih edilmelidir. Eğer yangın söndürme sistemi CO², FM200, NAF-S–III, Halon gibi gazlı bir sistem ise, yangın alarmı ile birlikte sistem odasına girecek personelin gazdan etkilenmemesi için yapması gerekenleri gösteren uyarı panosununda sistem odasının dış kapısına ya da uygun bir yere yerleştirilmesi sağlanmalıdır. |
Cep telefonları, walkie-talkie’ler, her türlü radyo alıcı ve vericileri bilgisayar sistemlerine zarar verir. Özellikle güçlü vericiler, bilgisayar sistemlerine kalıcı zararlar verebilirler. Bazı gazlı yangın söndürücü sistemleri belirtilen alıcı-vericilerin yakın çevresinde iken patlama eğilimi gösterebilirler. Bu tür yangın söndürücülerin bulundugu ortamlarda kesinlikle alıcı ve vericiler kullanılmamalıdır. Her türlü alıcı ve verici, bilgisayar sistemlerinden, kablolardan ve çevre birimlerinden en az 2.5 m uzakta tutulmalıdır. |
Bina genelinde su ile otomatik çalışan yangın söndürücüler varsa, sistemler yangın söndürücü devreye girmeden önce elektrik bağlantısı kesilmiş olmak şartıyla çok fazla zarar görmezler. Fakat su temelli bir yangın söndürücü kullanıldığı takdirde, donanımların tekrar çalıştırılmasından önce, profesyonel bir ekip tarafından temizlenmesi, tümüyle kuruduklarından emin olunması gerekir. Su ile çalışan otomatik söndürme sistemi seçerken kuru-boru özelliği sağlayan bir sistem seçilmelidir. Böylesi sistemlerde, yangın alarmı anahtarlanmadığı sürece, söndürme düzeneğinin boruları kuru kalacak, su borular içerisinde bulunmayacak ve yanlışlıkla yağmurlama yapılma ihtimali azalacaktır. |
|
d. Sıcaklık |
İnsanlar gibi bilgisayar donanımlarıda belirli sıcaklık değerleri arasında işlevselliklerini sürdürebilirler. Birçok donanım için 10-25 °C arası oda sıcaklıklarının korunması uygun olacaktır. Eğer donanımların içinde bulunduğu ortamın sıcaklığı çok yüksek ise, sistemlerin fanları yeterli gelmeyecek, donanımların bileşenleri zarar görebilecek veya sistemler koruma durumuna geçecektir. Eğer sıcaklık çok düşerse, donanımlar açıldığında termal şoka uğrayarak elektronik devrelerinin çatlaması nedeniyle çalışmaz hale gelebilecektir. |
Donanımların kullanım kılavuzlarından faydalanarak uygun sıcaklık aralıkları tespit edilip (genelde 20-25 °C), klima ve iklimlendirme sistemleriyle uygun oda sıcaklığı dengelenmelidir. |
Sistem odasına termal ısı dedektörleri yerleştirerek çok sıcak ve çok soğuk durumlarda alarmların oluşturulması sağlanmalıdır. Alarm durumunda ilgili kişilere e-mail, SMS, telefon vb. yollarla alarmların ulaşması sağlanmalıdır. |
Donanımların duvarlara çok yakın yerleştirilmemesine özen gösterilmelidir. Duvarlara çok yakın yerleştirilen donanımlar, havalandırmayı engelleyerek, sistemlerin iç ısılarının yükselmesine neden olabilir. Bir çok üretici, sağlıklı hava sirkülasyonu için donanımların her kenarının 15-20 cm. açıkta olmasını önermektedir. |
|
e. Deprem veya Patlama |
Titreşim, insanları rahatsız etmeyecek kadar az da olsa, uzun sürede bilgisayar sistemlerine zarar verebilir. En hafif titreşim bile, zamanla sabit disklerin kafa ayarlarının bozulmasına sebeb olabilir. Çok yüksek titreşimlerin olduğu bir bölgedeyseniz, sistem odası zeminine kauçuk veya lastik türevi maddeler kullanılması düşünülülebilir. |
Her deprem, sistemlere doğrudan zarar vermesede, dolaylı olarak donanımların zarar görmesiyle sonuçlanacak bir etkiye sebep olabilir. Olası büyük bir depremde iş sürekliliğinin sağlanması için; |
Donanımların, zeminden çok yükseğe yerleştirilmesinden kaçınılmalıdır. |
Rack’lerin yere, tavana, kendi aralarında rack mount kitlerle sabitlenmesi sağlanmalıdır. |
Rack’lerin içindeki tüm donanımların vidalarla ve kablo bağlarıyla sabitlenmesi sağlanmalıdır. |
Donanımlar özellikle zeminin üzerindeki katlarda, pencerelerden uzak tutulmalıdır,mümkünse sistem odalarında pencere olmamalıdır. |
Depremde karasal alt-yapı ve telekom hizmetleri zarar göreceğinden mümkünse sistemlerin uydu linkleri üzerinden iletişim kurmasını sağlayacak yedek network alt-yapısı oluşturmalıdır. |
Her ne kadar bilgisayar sistemleri patlamaya meyilli olmasalarda, bu sistemlerin içinde bulunduğu binaların özellikle doğal gaz ve yanıcı bileşenlerin depolandığı binalarda patlama oluşma ihtimali vardır. Deprem, patlama ihtimaline karşı, donanımların özel çelik kasa veya konstrüksiyon içerisinde saklaması düşünülebilir. |
Sistem odasının yeri, patlama için merkez olabilecek istasyonlardan uzak olacak biçimde seçilmelidir. Yedekler patlamaya ve depreme dayanabilecek kasalar içerisinde ya da kurum dışındaki başka güvenli mekanlarda saklanmalıdır. Sistem yedeklerinin farklı lokasyonlarda tutulmasıyla ve farklı şehir, ülke yada disaster recovery merkezlerinde alternatif aynalama yöntemlerinin oluşturulmasıyla iş sürekliliği sağlanmalıdır. |
|
f. Enerji ve Kablolama |
Elektrik kaçakları, kesintileri sistemlere hem donanımsal hem de yazılımsal olarak çok ciddi zararlar verebilir. Enerji sürekliliğinin ve regülasyonun sağlanması gerekir. |
Sistem odalarındaki rack’ler mümkün olduğunca enerji panolarından uzak noktaya konulmalıdır. Manyetik alan oluşumu sonucu veri kayıplarını minimize etmek için enerji ve network kablolaması mümkünse yükseltilmiş taban altından ayrı kanal veya ızgaralardan yapılmalıdır. |
Mümkünse donanımlar, birbiriyle paralel çalışan, uygun kapasiteli, en az iki adet UPS’den beslenmeli ve UPS'lere de 2 farklı trafodan enerji verilmelidir. Her rack’e iki farklı UPS’den enerji verilmeli, her prizin sigortası ayrı olmalı ve hangi rack’e ait olduğu sigorta üzerinde belirtilmelidir. |
Topraklamanın düzgün yapılması, UPS’ler ve Rack’ler için şebekeden ayrı topraklama çekilmesi sağlanmalıdır. Mümkünse çift jenaratör kullanılmalıdır. Şebeke beslemesinin kesilmesi durumunda, jeneratörün 2-5 sn içinde otomatik devreye girmesi sağlanmalı, UPS’ler jeneratör üzerinden beslenmeye devam etmelidir. UPS’in şebeke enerjisini regüle edemediği durumlarda bazen extra regülatörlerinde kullanılması söz konusu olabilir. |
Statik elektriğin yaratabileceği sorunlara engel olmak üzere sistem odası zeminine kauçuk veya antistatik lastik türevi maddeler döşenmesi düşünülülebilir. |
Yıldırımlar, ani gerilim dalgalanmaları yaratarak donanımlara zarar verebilirler. Çoğu zaman UPS’ler yükü regüle etse de yıldırımlar tarafından yaratılan ani yüksek gerilim dalgalanmalarına karşı etkisiz kalırlar. Eğer sistem odasının olduğu binada paratoner varsa, yıldırım paratonere çarptığı andan toprakla buluşana kadarki sürede, akım geçen tüm yol üzerinde ciddi bir manyetik alan yaratır. Sistem odasının yeri seçilirken paratonerin kablolaması göz önünde bulundurmalıdır. |
Yedekler manyetik ortamlarda saklanıyorsa, yedeklerin binanın iskeletini oluşturan demirlerden olabildiğince uzakta olması sağlanmalıdır. Genellikle en uygun yer odanın ortası veya başka bir lokasyon olacaktır. |
Eger henüz yoksa, bina paratonerinin en kısa zamanda kurulmasını sağlayarak, kablolamasının sistem odasından uzak olacak biçimde yapılmasını sağlanmalıdır. |
Ethernet kartları ve switch portlarına giren patch kablolar network topoloji şemasında belirtilen uç terminasyonuna göre etiketlenmeli , mümkünse farklı vlan’lar için farklı renkte kablolar kullanılmalı, uç terminasyon yapısı rack içine yapıştırılmalıdır.(Örn:Lucarac01’in eth0’dan gelen kablo E8 olarak kodlandırılmış olsun, switch’in 18 portuna giriyorsa switch tarafına giren patch kablo ucunda E8, lucarac01’in eth0’na giren patch kablo ucunda S18 yazması gibi) |
|
g. Nem |
Nem, bilgisayar sistemlerinin çalışabilmesi için gereklidir. Ancak havadaki nem oranının aşırı yükselmesi sistemlere zarar verebilir. Nem, sistem odasındaki statik elektriğin yüklenmesini azaltacak yönde etkisini gösterir. Nemin çok az olması, statik elektrik yüklenme ve aktarımlarını arttırarak manyetik teyp ve benzeri bileşenlerde sorunlara yol açar. Nem oranının çok yükselmesi ise, bilgisayar sistemlerinin devrelerinde kısa devrelere kadar uzanan sorunlara neden olabilir. |
Nem düzeyi %20 ile %50 arasında tutulmalıdır.Bunun için klima veya çeşitli iklimlendirme sistemleri kullanılabilir.Yüksek güvenilirlik gerektiren ortamlar için nem düzeyinin belirlenen sınırlar dışına çıkması durumunda devreye girecek alarm sistemleri ve nem dedektörleri kullanılmalıdır. |
Donanımların nem duyarlılığı birbirlerinden farklı olabilir. Uygun nem düzeyinin tespiti için donanımların kullanım kılavuzlarına bakılmalıdır. |
|
h. Su |
Su, aktif sistemleri çok hızlı biçimde çalışmaz hale getirebilir. Su ile ilgili en büyük tehlike, elektriksel bir kısa devredir. Kısa devre, kısa devrenin gerçekleştiği devre yolunun ısınmasına büyük ihtimallede tümüyle erimesine neden olacaktır. Benzer biçimde, kısa devre esnasında elektronik bileşenlerden bir kısmı aşırı akım çekecek ve zarar görecektir. |
Su, donanımlar için hızla yayılan bir tehdit haline geleceğinden sistem odasında iki farklı seviyede su dedektörleri kullanmalıdır; |
|
1- Birinci düzeyde, yükseltilmiş tabanın altında, suyu fark edip alarmı çalıstıracak dedektörler, |
2- İkinci düzeyde, yükseltilmiş tabanın üstünde, donanımların enerjisini kesecek, sonlandıracak dedektörler. |
|
Alarm durumunda ilgili kişilere e-mail, SMS, telefon vb. yollarla alarmların ulaşması sağlanmalıdır. |
Racklerin klima altlarına konulması engellenmelidir. Sistem odasını cevreleyen duvarlarda su izolasyonu sağlanmalıdır. |
Eğer binanın bulunduğu bölgede sel tehlikesinden etkilenme ihtimali varsa sistem odası için zeminin üzerinde bir yer seçilmelidir. |
|
i. Toz |
Toz disk kafalarında, optik, manyetik media ürünlerinde, fanlarda birikerek sistemi çalışmaz hale getirebilir. Havada uçuşan tozun büyük bölümü elektriksel olarak iletkendir. Birçok bilgisayar sistemlerinde, tasarımları sebebiyle, soğutma fanları aracılığıyla toz sistem içerisine çekilmekte ve uzun sürede tozun sistem kartlarının üzerini kapladığı görülmektedir. Kartlar üzerinde biriken bu toz parçacıkları, kısa devrelere, sistemlerin iç sıcaklıklarının artmasına neden olmakta ve sistemlere zarar vermektedir. |
Sistem odası olabildiğince tozdan arındırılmalıdır. |
Klima, havalandırma sistemlerinin periyodik bakımlarının yapılması, filtrelerinin temizlenmesi sağlanmalıdır. |
Sistem odasındaki havalandırma ihtiyacını tek bir büyük havalandırma penceresi ile değil, küçük ancak sayıca fazla havalandırma penceresiyle sağlanmalıdır. Bu küçük pencerelerin her biri, bir insanın sürünerek geçemeyeceği kadar küçük ve kilitlenebilir olmalıdır. |
Eger sunucu ve aktif cihazların üzerinde de hava filtreleri varsa, periyodik olarak değiştirilmesi sağlanmalıdır.Cihazların en az yılda bir hava kompresörü yardımıyla temizlenmesi ve bakımlarının yapılması sağlanmalıdır. |
|
j. Böcekler ve Kemirgenler |
Böcekler ve kemirgenler (fareler), sistem odalarında özellikle yükseltilmiş döşeme ve rack’lerin içerisinde, sıkışık kablo tomarlarının arasında görülebirler. Anahtarlı güç kaynağının anahtar aksamına sıkışıp kalmış bir böcek; utp veya enerji kablosunu kemirmiş bir fare aktif sistemi kısa sürede çalışmaz hale getirebilir. |
Böceklerden ve kemirgenlerden korunmak için sık sık ilaçlama yapılmalı, sistem odasının uygun yerlerine, yükseltilmiş döşeme altlarına, kalıcı olacak, böcek ve kemirgen öldürücü yemlerin yerleştirilmesi sağlanmalıdır.Frekans ile kovucu sistem kullanılmalıdır. |
|
4. YAPTIRIM |
Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Prosedürü hükümleri uygulanır. |