O firma de dezvoltare software din Iasi, 45 de angajati, lucra la un proiect pentru o banca. La auditul de pre-certificare ISO 27001, auditorul a cerut sa vada cum protejeaza serverele fizic. Raspunsul: sala serverelor avea o usa cu incuietoare obisnuita, fara jurnal de acces, fara camere si fara detector de fum. Auditul s-a oprit acolo. Firma a pierdut 3 saptamani si a investit aproximativ 12.000 lei in masuri fizice inainte de reauditare.
Anexa A.7 din ISO 27001:2022 contine 14 controale fizice care acopera tot ce tine de protectia tangibila a informatiilor: de la garduri si usi pana la cabluri si eliminarea hard disk-urilor vechi. Le selectezi pe baza evaluarii de riscuri si le documentezi in Declaratia de Aplicabilitate.
Protejeaza perimetrul si controleaza accesul
Primele 3 controale formeaza linia de aparare exterioara.
A.7.1 Perimetru de securitate fizica. Definesti granitele zonelor care contin informatii sau echipamente. In practica: garduri, usi cu control acces, receptie cu verificare legitimatie. Nu trebuie sa fie un buncăr. Un birou de 3 camere are nevoie de o usa de intrare cu yala electromagnetica si un sistem de interfon, nu de gard cu sirma ghimpata.
A.7.2 Acces fizic. Zonele securizate au nevoie de mecanisme care limiteaza cine intra: carduri de acces, coduri PIN, registru de vizitatori. Auditorul verifica daca exista jurnale de acces si daca vizitatorii sunt insotiti.
A.7.3 Securizarea birourilor, camerelor si facilitatilor. Birourile in care se proceseaza date sensibile au nevoie de protectie suplimentara. Camera serverelor, de exemplu, trebuie sa aiba acces restrictionat separat de restul biroului.
Legea 333/2003 privind paza obiectivelor si HG 301/2012 (normele de aplicare) cer analize de risc la securitatea fizica si masuri de protectie (garduri, gratii, incuietori, iluminat, alarme). Daca firma ta respecta deja Legea 333, o parte din cerintele A.7.1 si A.7.2 sunt acoperite.
Monitorizeaza si lucreaza in zone securizate
A.7.4 Monitorizare fizica. Acesta este un control nou in versiunea 2022 (nu exista in editia 2013). Cere implementarea unor instrumente de monitorizare: camere CCTV, senzori de miscare, alarme. Un sistem de supraveghere video cu 8 camere costa intre 1.500 si 8.000 lei in Romania, in functie de rezolutie si functionalitati.
Atentie la GDPR: camerele de supraveghere intra sub regulamentul de protectie a datelor. Ai nevoie de semne de avertizare, perioada limitata de stocare si baza legala pentru filmare.
A.7.5 Protectie impotriva amenintarilor fizice si de mediu. Incendii, inundatii, cutremure, pene de curent. Masurile includ detectoare de fum, stingatoare, UPS-uri si planuri de evacuare. Pentru sala serverelor, un UPS de baza costa 2.000-5.000 lei, iar un sistem de stingere cu gaz inert porneste de la 15.000 lei.
A.7.6 Lucrul in zone securizate. Regulile pentru cine poate lucra in sala serverelor, cand si cum. Interzicerea telefoanelor mobile cu camera, interdictia de a lucra singur in zona critica, obligatia de a incuia la plecare.
A.7.7 Birou curat si ecran curat. Documentele confidentiale nu raman pe birou peste noapte. Ecranele se blocheaza automat dupa inactivitate. Pare banal, dar auditorul verifica: deschide sertare, se uita pe birouri, testeaza daca ecranele sunt blocate.
Protejeaza echipamentele si cablurile
Aceste 4 controale se aplica diferit in functie de tipul organizatiei:
- Daca ai servere on-premise (A.7.8): amplaseaza-le intr-o zona cu acces restrictionat, departe de ferestre, cu temperatura controlata
- Daca ai angajati remote (A.7.9): cripteaza laptopurile, inregistreaza fiecare dispozitiv la iesirea din sediu, stabileste reguli de custodie
- Daca ai sala de servere proprie (A.7.11): asigura UPS, generator de rezerva si climatizare redundanta
- Daca ai infrastructura de retea fizica (A.7.12): protejeaza cablurile in jgheaburi inchise, separa traseele de date de cele electrice, eticheteaza conexiunile
O greseala frecventa: firma investeste in firewall si antivirus, dar lasa switch-ul de retea intr-un dulap neinchis de pe hol. Un angajat nemultumit conecteaza un dispozitiv neautorizat si intercepteaza traficul intern. Controalele A.7.8 si A.7.12 previn exact acest scenariu.
Gestioneaza ciclul de viata al echipamentelor si mediilor de stocare
A.7.10 Medii de stocare. Stick-uri USB, hard disk-uri externe, CD-uri. Politica de stocare stabileste cine poate folosi medii amovibile, cum se cripteaza, cum se distrug cand nu mai sunt necesare.
A.7.13 Intretinerea echipamentelor. Echipamentele se intretin conform recomandarilor producatorului. Cand un server pleaca la service, datele de pe el trebuie sterse sau discul trebuie scos si pastrat in zona securizata.
A.7.14 Eliminarea sau reutilizarea securizata a echipamentelor. Cand un laptop sau server iese din uz, datele trebuie distruse irecuperabil. Formatarea simpla nu este suficienta. Optiunile: stergere certificata (software de tip wipe cu raport), degaussing sau distrugere fizica a discului.
Cum arata implementarea pentru o firma medie din Romania
Sa luam exemplul concret. Un SRL cu 30 de angajati din Bucuresti, domeniul IT, vrea certificare ISO 27001. Are un birou inchiriat pe 2 etaje, o sala de servere si angajati in regim hibrid.
Costurile aproximative pentru controalele fizice:
- Sistem control acces cu carduri (2 usi): 3.000-5.000 lei
- Supraveghere video 8 camere: 4.000-8.000 lei
- UPS pentru sala servere: 2.500-5.000 lei
- Detectoare de fum si stingatoare: 1.000-2.000 lei
- Software stergere certificata (licenta): 500-1.500 lei
- Semnalizare si registru vizitatori: 200-500 lei
Total estimat: 11.200-22.000 lei. Cheltuiala se face o singura data (cu exceptia mentenantei anuale). Multe firme acopera deja o parte din aceste cerinte prin obligatiile din Legea 333/2003.
OUG 155/2024 (transpunerea Directivei NIS2) cere protectia retelelor si sistemelor informatice atat la nivel logic cat si fizic. Firmele vizate de NIS2 (peste 6.000 de organizatii in Romania) au obligatia explicita de a implementa masuri de securitate fizica. Cele 14 controale din Anexa A sunt un framework gata de folosit.
Intrebari frecvente
Sunt obligatorii toate cele 14 controale fizice?
Nu. Selectezi controalele pe baza evaluarii de riscuri. Daca nu ai angajati care lucreaza remote, A.7.9 nu se aplica. Orice control exclus trebuie justificat in Declaratia de Aplicabilitate.
Ce verifica auditorul la controalele fizice?
Auditorul viziteaza locatia fizica. Verifica usile, camerele, jurnalele de acces, politica de birou curat, starea echipamentelor. Testeaza daca regulile scrise se aplica in practica, nu doar pe hartie.
Cum se leaga Legea 333/2003 de controalele A.7?
Legea 333 cere masuri de securitate fizica (garduri, alarme, analiza de risc la securitate fizica). ISO 27001 A.7 are cerinte similare, dar orientate spre protectia informatiilor. O firma care respecta Legea 333 are deja fundatia pentru A.7.1, A.7.2 si A.7.4.