Физическая безопасность информационных ресурсов направлена, в первую очередь, на предотвращение неавторизованного доступа, повреждения и воздействия в отношении помещений и информации организации, а также на обеспечение безопасности средств обработки критичной служебной информации, посредством использования различных средств контроля проникновения, а также защитных барьеров.
Для того чтобы грамотно построить физическую безопасность своих информационных ресурсов надлежащим образом необходимо понять основные угрозы безопасности, а также методы их решения.
Можно выделить следующие угрозы безопасности:
-
Противоправная деятельность конкурентов, преступных групп, а также третьих лиц или сотрудников компании в отношении собственности компании и сотрудников, которые могут привести к материальным и финансовым потерям фирмы или нанесения ущерба здоровью персонала компании;
-
Преднамеренные действия сотрудников компании, которые имеют доступ к финансовым, материальным и информационным ресурсам;
-
Непреднамеренные нарушения установленных требований учета, хранения, оборота и продажи товарно-материальных ценностей, финансовых ресурсов, служебных документов и информации, приводящие к утере ресурсов и хищениям;
-
Умышленные действия, которые приводят к сбоям в работе:
-
Технических систем (электроснабжение, вентиляция, отопление, системы охлаждения и др.) которые могут привести к сбоям в работе и производственным потерям;
-
Средств охраны (Видеонаблюдения, систем СКУД, Охранно-пожарной сигнализации, связи) которые позволят злоумышленнику проникнуть на территорию компании, и может повлечь за собой хищению материальных, финансовых и информационных ресурсов;
-
-
Чрезвычайные ситуации: пожары, аварии, разрушения, техногенные катастрофы и природные катаклизмы.
Вопросом физической безопасности информационных объектов занимаются достаточно давно. Со временем все наработки и рекомендации были собраны в свод правил по управлению защитой информации в стандартах ISO/IEC 27002 и ГОСТ Р ИСО/МЭК 17799-2005. В данных стандартах описаны рекомендации для комплексной защиты информации.
Рассмотрим на Рисунке 1, основные моменты связанные именно с физической безопасностью информационных ресурсов, которые имеют не только теоретическую, но и практическую ценность.
Нормативное обеспечение:
- Необходимо разработать, задокументировать и периодически обновлять политики физической защиты и защиты среды информационной системы;
- Необходимо разработать процедуры и меры связанные с реализацией политики физической защиты и защиты средств информационной системы.
Персонал и уровни доступа:
- Необходимо разработать списки персонала, которым будет разрешен доступ в соответствии с политикой безопасности, а также механизм идентификации (бейджи, информационные карты и т.п.);
- Соответствующие должностные лица должны рассматривать и утверждать списки доступа, а также пересматривать списки в соответствии с установленной периодичностью.
Управление физическим доступом:
- Уровень защищенности помещений должен быть соразмерен с возможными рисками;
- Необходимо иметь систему правления доступом во всех точках доступа к информационным ресурсам и активам;
- Необходимо использовать четко определенные периметры безопасности для защиты помещений и зон, в которых расположены средства обработки информации;
- Необходимо использовать четко определенные периметры безопасности для защиты помещений и зон расположения средств обработки информации;
- Доступ в помещения и здания должен быть предоставлен только авторизованному персоналу;
- До предоставления физического доступа к активам должна быть выполнена процедура проверки полномочий на доступ;
- Необходимо регулярно анализировать и пересматривать права доступа сотрудников в зоны безопасности;
- Должен осуществляться постоянный контроль доступа в зонах входа в периметр здания для обеспечения уверенности в том, что доступ позволен только авторизованному персоналу.
Мониторинг физического доступа:
- В процессе мониторинга должны использоваться устройства наблюдения и сигнализации реального времени, а также автоматизированные средства, обеспечивающие распознание нарушений и инициирующие ответные действия;
- Контроль физического доступа к помещениям должен обеспечиваться использованием самых жестких методов идентификации/аутентификации.
Защита оборудования:
- Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от воздействий окружающей среды и возможности неавторизованного доступа;
- Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с электричеством (резервные источники питания, генераторы и т.п.);
- Необходимо обеспечить противопожарную защиту, а также защиту от других экологических и техногенных катастроф;
- Необходимо защищать телекоммуникационные кабельные сети от перехвата информации или повреждения;
- Необходимо проводить надлежащее техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и целостности.
Контроль посетителей:
- Должна быть выделена зона регистрации посетителей;
- Всех посетителей необходимо сопровождать на объектах;
- Должны вестись журналы учета доступа посетителей;
- Журналы учета доступа посетителей должны периодически анализироваться соответствующими должностными лицами;
- Должны использоваться автоматизированные средства ведения журналов учета доступа посетителей.
Физическая безопасность информационных ресурсов – это комплекс информационно-технических мероприятий, соблюдение которых позволит эффективно защитить бизнес от возможных атак конкурирующих организаций, внутренних атак, а также возможных стихийных бедствий.
На текущий момент, в целях обеспечения информационной безопасности бизнеса клиентов, одним из первых этапов мы предлагаем провести аудит информационной безопасности.
