Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Физическая безопасность Физическая безопасность и безопасность окружающей среды (BS ISO/IEC 27002:2005 RU, раздел 9)
Protectiva Compliance Manager
Навигация
 

Физическая безопасность и безопасность окружающей среды (BS ISO/IEC 27002:2005 RU, раздел 9)

Операции с документом
Защищенные области, Безопасность оборудования.

Защищенные области

Цель: Предотвратить несанкционированный физический доступ к информации, причинение ущерба и проникновения в помещения организации.

Критические или конфиденциальные средства обработки информации должны быть размещены в защищенных областях, защищены установленным периметром безопасности с соответствующими защитными барьерами и механизмами контроля входа. Они должны быть физически защищены от несанкционированного доступа, причинения ущерба и проникновения.

Обеспечиваемая защита должна быть соразмерна идентифицированным рискам.

Физический периметр безопасности

 

Механизм контроля

Для защиты зон, содержащих информацию и средства ее обработки, должны использоваться периметры безопасности (барьеры, такие как стены, входные ворота, открываемые при помощи смарт-карты, или приемная с секретарями).

Руководство по внедрению

Следующие рекомендации должны рассматриваться и внедряться для периметров безопасности там, где это целесообразно:

  • периметры безопасности должны быть четко определены, а размещение и прочность периметров должны зависеть от требований к безопасности ресурсов, находящихся внутри периметра, и результатов оценки рисков;
  • периметры здания или площадки, содержащих средства обработки информации, должны быть физически прочными (т.е. не должно быть брешей в периметре или зон, допускающих легкое вторжение); внешние стены помещений организации должны быть прочными, и все внешние двери должны быть защищены от несанкционированного доступа при помощи механизмов контроля, например прутьями, сигнализацией, замками и т.п.; двери и окна, оставляемые без присмотра, должны быть заперты, а также для окон, в особенности расположенных на уровне первого этажа, должна быть предусмотрена внешняя защита;
  • площадка или здание должны быть оснащены приемными с секретарями или другими средствами физического контроля доступа; доступ на площадки и в здания должен быть ограничен только авторизованным персоналом;
  • для предотвращения несанкционированного физического доступа и загрязнения окружающей среды там, где это применимо, должны быть построены физические барьеры;
  • все двери пожарных выходов на периметре безопасности должны быть оснащены сигнализацией, находиться под наблюдением и тестироваться вместе со стенами для определения требуемого уровня стойкости согласно подходящим региональным, национальным и международным стандартам; они должны функционировать в соответствии с местными противопожарными правилами в безотказной манере;
  • подходящие системы обнаружения вторжений должны быть установлены в соответствии с национальными, региональными или международными стандартами и регулярно тестироваться, чтобы охватывать все внешние двери и доступные окна; не занятые помещения должны находиться на сигнализации постоянно; должны быть также охвачены и другие зоны, например, компьютерные и коммуникационные залы;
  • средства обработки информации, контролируемые организацией, должны быть отделены от тех, которые контролируются третьими сторонами.

Дополнительная информация

Физическая защита может быть обеспечена путем создания одного или нескольких физических барьеров вокруг помещений организации и средств обработки информации. Использование нескольких барьеров дает дополнительную защиту, при которой преодоление одного барьера не означает немедленную компрометацию безопасности.

Защищенная область может быть запираемым офисом или несколькими комнатами, окруженными непрерывным внутренним физическим барьером безопасности. Для контроля физического доступа между областями с различающимися требованиями безопасности внутри периметра безопасности могут понадобиться дополнительные барьеры и периметры.

Особые соображения относительно безопасности физического доступа должны рассматриваться применительно к зданиям, в которых размещаются несколько организаций.

Механизмы контроля физического входа

 

Механизм контроля

Защищенные области должны быть защищены соответствующими механизмами контроля входа, обеспечивающими возможность доступа только для авторизованного персонала.

Руководство по внедрению

Необходимо рассмотреть следующие механизмы контроля:

  • дата и время входа и выхода посетителей должны регистрироваться и все посетители должны находиться под наблюдением, если они не были предварительно авторизованы; им должен предоставляться доступ только с конкретными разрешенными целями, и они должны быть проинструктированы о требованиях безопасности, действующих в данной области, и аварийных процедурах;
  • доступ к областям, где обрабатывается или храниться конфиденциальная информация должен контролироваться и предоставляться только авторизованным лицам; для авторизации и подтверждения доступа должны использоваться механизмы аутентификации, например карты с ПИН-кодами; должно быть обеспечено безопасное ведение журнала аудита всех попыток доступа;
  • все сотрудники, подрядчики и пользователи третьей стороны, а также все посетители должны носить определенные опознавательные знаки и незамедлительно оповещать персонал службы безопасности в случае обнаружения посетителей без сопровождения и любых лиц, не имеющих опознавательного знака;
  • персоналу службы поддержки третьей стороны должен предоставляться ограниченный доступ к защищенным областям или средствам обработки критичной информации, только в случае необходимости; этот доступ должен быть авторизован и должен отслеживаться;
  • права доступа в защищенные области должны регулярно пересматриваться и обновляться, а также отменяться в случае необходимости.

Защита офисов, комнат и оборудования

 

Механизм контроля

Должны разрабатываться и применяться механизмы обеспечения безопасности офисов, комнат и оборудования.

Руководство по внедрению

Необходимо рассмотреть следующие механизмы контроля:

  • должны приниматься во внимание относящиеся к делу нормативные акты и стандарты в области охраны здоровья и безопасности жизнедеятельности;
  • ключевое оборудование не должно быть общедоступно;
  • по возможности, здания должны быть малозаметны и давать минимум информации об их назначении, без очевидных признаков, за пределами или внутри здания, свидетельствующих о наличии деятельности по обработке информации;
  • справочники и внутренние телефонные книги, определяющие расположение средств обработки конфиденциальной информации, не должны быть общедоступны.

Защита от внешних угроз и угроз со стороны окружающей среды

 

Механизм контроля

Должны разрабатываться и применяться механизмы физической защиты от ущерба в результате пожаров, наводнений, землетрясений, взрывов, актов гражданского неповиновения, а также других форм стихийных бедствий и антропогенных катастроф.

Руководство по внедрению

Должны приниматься во внимание любые угрозы безопасности со стороны соседних помещений, например пожар в соседнем здании, протечка воды с крыши или на подземных этажах или взрыв на улице.

Для предотвращения ущерба в результате пожара, наводнения, землетрясения, взрыва, актов гражданского неповиновения и других форм стихийных бедствий и антропогенных катастроф необходимо рассмотреть следующие механизмы контроля:

  • опасные и легко воспламеняемые материалы должны храниться на безопасной дистанции от защищенной области. Предметы снабжения, такие как канцелярские принадлежности, не должны храниться внутри защищенной области;
  • резервное оборудование и носители резервных копий должны располагаться на безопасной дистанции, для предотвращения ущерба в случае чрезвычайной ситуации на основной площадке;
  • должно быть предусмотрено и соответствующим образом расположено необходимое противопожарное оборудование.

Работа в защищенных областях

 

Механизм контроля

Должны быть разработаны и применяться механизмы физической защиты и инструкции по работе в защищенных областях.

Руководство по внедрению

Необходимо рассмотреть следующие механизмы контроля:

  • персонал должен быть осведомлен о существовании защищенной области или проводимых в ней работах только в объеме, необходимом для выполнения им своих служебных обязанностей;
  • следует избегать неконтролируемой работы в защищенных областях, как по причинам безопасности, так и в целях предотвращения возможностей для злонамеренной деятельности;
  • пустующие защищенные области должны быть физически заперты и периодически проверяться;
  • если использование фото, видео, аудио или другого записывающего оборудования, такого, как камеры в мобильных устройствах, не авторизовано, то оно должно быть запрещено.

Соглашения о работе в защищенных областях включают контроль сотрудников, подрядчиков и пользователей третьей стороны, работающих в защищенных областях, также как и других производимых там действий третьей стороны.

Общедоступные области доставки и погрузки

 

Механизм контроля

Во избежание несанкционированного доступа, такие точки доступа, как области доставки и погрузки и другие места, в которых посторонние лица могут войти в помещения, должны контролироваться и, если это возможно, должны быть изолированы от средств обработки информации.

Руководство по внедрению

Необходимо рассмотреть следующие механизмы контроля:

  • доступ в зону доставки и погрузки с внешней стороны здания должен быть разрешен только для идентифицированного и авторизованного персонала;
  • зона доставки и погрузки должна быть спроектирована таким образом, чтобы товары могли разгружаться без предоставления доступа персоналу доставки к другим частям здания;
  • когда внутренняя дверь открыта, внешняя дверь (двери) зоны доставки и погрузки должна охраняться;
  • поступающий материал должен инспектироваться на предмет потенциальных угроз до того, как он будет перенесен из зоны доставки и погрузки в место использования;
  • вносимый материал должен регистрироваться в соответствии с процедурами управления ресурсами при входе на площадку;
  • по возможности, входящие и исходящие грузы должны быть физически изолированы.

Безопасность оборудования

Цель:   Предотвратить потерю, повреждение, кражу или компрометацию ресурсов и нарушение деятельности организации.

Оборудование должно быть защищено от физических угроз и опасностей окружающей среды.

Защита оборудования (включая оборудование, используемое за пределами территории организации, а также перемещаемое имущество) необходима для снижения риска несанкционированного доступа к информации и защиты от потерь и повреждения. Следует также уделить внимание размещению и расстановке оборудования. Для защиты от физических угроз, охраны поддерживающей инфраструктуры, такой как источники электроэнергии и кабельная разводка, могут потребоваться специальные механизмы контроля.

Размещение и защита оборудования

 

Механизм контроля

С целью снижения рисков, связанных с опасными явлениями окружающей среды, и возможностей несанкционированного доступа, должно осуществляться надежное размещение или защита оборудования.

Руководство по внедрению

Следует рассмотреть следующие механизмы контроля для защиты оборудования:

  • оборудование должно размещаться таким образом, чтобы минимизировать необходимость доступа в рабочие зоны;
  • средства обработки конфиденциальных данных должны быть расположены таким образом, чтобы снизить риск постороннего наблюдения за их использованием, а средства хранения должны быть защищены от несанкционированного доступа;
  • отдельное оборудование, требующее специальной защиты, должно быть изолировано с целью снижения общего уровня требуемой защиты;
  • должны быть одобрены механизмы контроля для минимизации потенциальных угроз, включая кражу, пожар, взрывы, задымления, утечку воды (или аварию водоснабжения), запыление, вибрацию, химические воздействия, электрические помехи, коммуникационные помехи, электромагнитное излучение и вандализм;
  • должны быть созданы инструкции для принятия пищи, питья и курения в непосредственной близости от средств обработки информации;
  • должны контролироваться условия окружающей среды, такие как температура и влажность, которые способны неблагоприятно воздействовать на функционирование средств обработки информации;
  • на всех зданиях должны применяться молниеотводы, а защитные фильтры должны быть встроены во все входящие силовые и телекоммуникационные линии;
  • для оборудования, эксплуатируемого в промышленном окружении, должны быть предусмотрены специальные методы защиты, такие как пленки для защиты клавиатуры;
  • оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено с целью минимизации риска утечки информации в результате побочных излучений.

Вспомогательные системы

 

Механизм контроля

Оборудование должно быть защищено от сбоев электропитания и других нарушений функционирования, связанных со сбоем вспомогательных систем.

Руководство по внедрению

Все вспомогательные системы, такие как электричество, водоснабжение, канализация, отопление/вентиляция и кондиционирование воздуха должны быть пригодными для систем, которые они поддерживают. Вспомогательные службы должны регулярно инспектироваться и соответствующим образом тестироваться, чтобы гарантировать их  должное функционирование, а также, чтобы уменьшить любой риск их сбоя или неисправной работы. Должно быть обеспечено электроснабжение, соответствующее спецификациям производителя оборудования.

Для оборудования, обеспечивающего критические бизнес операции, рекомендуются источники бесперебойного питания (ИБП), поддерживающие корректное выключение или продолжительную работу. Планы восстановления электропитания должны предусматривать действия, предпринимаемые в случае отказа ИБП. Для продолжения обработки данных при длительном отсутствии электропитания должен быть предусмотрен резервный генератор. В целях обеспечения длительного периода работы генератора в наличии должно иметься достаточное количество топлива. Оборудование ИБП и генераторы должны регулярно проверяться для получения гарантий их адекватной емкости и тестироваться в соответствии с рекомендациями производителя. В дополнение, следует рассмотреть возможность использования нескольких источников электроэнергии или, если офис достаточно большой, отдельной силовой подстанции.

Аварийные выключатели электроэнергии должны быть расположены рядом с аварийными выходами в комнатах с оборудованием, что позволит обеспечить быстрое отключение электроэнергии в случае аварии. На случай сбоя основного источника электроэнергии должно быть предусмотрено аварийное электропитание.

Водоснабжение должно быть стабильным и достаточным для обеспечения кондиционирования воздуха, увлажняющего оборудования и систем пожаротушения (там, где они используются).  Неисправности системы водоснабжения могут привести к повреждению оборудования или помешать эффективному функционированию систем пожаротушения. В случае необходимости, должны быть опробованы и установлены системы предупреждения о неисправностях во вспомогательных системах.

Телекоммуникационное оборудование должно подключаться к электросети, по крайней мере, по двум различным маршрутам, чтобы предотвратить  останов голосовых сервисов в случае обрыва одного из соединений. Голосовые сервисы должны соответствовать требованиям локального законодательства в области экстренной связи.

Дополнительная информация

Способы обеспечения бесперебойной работы источников электропитания включают в себя использование нескольких источников с целью избежать единой точки отказа электропитания.

Безопасность кабельной разводки

 

Механизм контроля

Телекоммуникационные и силовые кабели, передающие данные или поддерживающие информационные сервисы, должны быть защищены от прослушивания или повреждения.

Руководство по внедрению

Должны быть рассмотрены следующие механизмы контроля:

  • силовые и телекоммуникационные линии к средствам обработки информации должны быть проложены под землей, там, где это возможно, или защищаться альтернативными методами;
  • сетевые кабели должны быть защищены от несанкционированного прослушивания или повреждения, например, путем использования изоляционных труб или посредством избежания маршрутов, проходящих через общедоступные области;
  • в целях предотвращения помех, силовые кабели должны быть отделены от телекоммуникационных;
  • для конфиденциальных или критичных систем следует использовать дополнительные механизмы контроля, включающие:
    • установку изоляционных труб в защищенной оболочке и запертых комнат или боксов в контрольных и оконечных точках;
    • использование альтернативных маршрутов или средств передачи информации, обеспечивающих необходимый уровень безопасности;
    • использование оптоволоконных кабелей;
    • использование электромагнитного экранирования для защиты кабелей;
    • инициирование технических измерений и физического инспектирования для обнаружения подключения к кабелям несанкционированных устройств;
    • контролируемый доступ к патч-панелям и кабельным комнатам.

Техническое обслуживание оборудования

 

Механизм контроля

В целях обеспечения длительной доступности и целостности, оборудование должно правильно обслуживаться.

Руководство по внедрению

Должны рассматриваться следующие механизмы контроля:

  • техническое обслуживание оборудования должно осуществляться в соответствии с рекомендованными поставщиком сервисными интервалами и спецификациями;
  • ремонт оборудования и регламентные работы должны выполняться только уполномоченным обслуживающим персоналом;
  • необходимо регистрировать все подозреваемые или реальные сбои, а также все превентивные и восстановительные работы;
  • необходимо использовать соответствующие механизмы контроля при передаче оборудования на техническое обслуживание, принимая во внимание, будет это обслуживание выполняться персоналом на месте или за пределами организации; там, где это необходимо, конфиденциальная информация должна быть удалена из оборудования, либо обслуживающий персонал должен пользоваться соответствующей степенью доверия;
  • должны соблюдаться все требования, накладываемые политиками страхования.

Безопасность оборудования, находящегося вне территории организации

 

Механизм контроля

Меры безопасности должны применяться к оборудованию, находящемуся вне территории организации, принимая во внимание различные риски, связанные с работой за пределами организации.

Руководство по внедрению

Вне зависимости от имущественной принадлежности, использование любого оборудования за пределами территории организации должно быть санкционировано руководством.

Необходимо руководствоваться следующими рекомендациями по защите оборудования, находящегося вне территории организации:

  • оборудование и носители информации, выносимые за пределы зданий не должны оставляться без присмотра в общественных местах; во время передвижения, переносные компьютеры должны перевозиться в ручном багаже и маскироваться, насколько это возможно;
  • инструкции производителя по защите оборудования должны всегда соблюдаться, например, защита от воздействия сильных электромагнитных полей;
  • подходящие механизмы контроля, используемые при работе дома, должны быть определены при помощи оценки рисков и применяться соответствующим образом, например, запираемые шкафы для хранения файлов с документами, политика чистых столов, контроль доступа к компьютерам и безопасное взаимодействие с офисом (см. также ISO/IEC 18028 Сетевая безопасность);
  • для защиты оборудования за пределами территории организации должно использоваться адекватное страхование от соответствующих убытков.

Риски безопасности, например повреждение, кража или прослушивание, могут значительно варьироваться в зависимости от местоположения и должны учитываться при выборе наиболее подходящих механизмов контроля.

Дополнительная информация

Оборудование, используемое для хранения и обработки информации, включает все виды персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, бумажных документов и другие формы, хранящиеся дома или перемещаемые за пределы стандартного рабочего местоположения.

Дополнительная информация о других аспектах защиты мобильного оборудования может быть найдена в 11.7.1.

Безопасная утилизация или повторное использование оборудования

 

Механизм контроля

Все оборудование, содержащее средства хранения информации, должно проверяться с целью получения гарантий того, что любые конфиденциальные данные и лицензионное программное обеспечение перед утилизацией были удалены или перезаписаны.

Руководство по внедрению

Устройства, содержащие конфиденциальную информацию, должны физически уничтожаться, либо информация должна быть уничтожена, удалена или перезаписана с использованием методов, позволяющих сделать исходную информацию невосстанавливаемой, вместо стандартных функций удаления или форматирования.

Дополнительная информация

Для поврежденных устройств, содержащих конфиденциальную информацию, может потребоваться оценка рисков для определенья того, должны ли эти устройства уничтожаться физически вместо того, чтобы быть отправленными на ремонт или выброшены.

Информация может быть скомпрометирована из-за неосторожной передачи или повторного использования оборудования.

Перемещение имущества

 

Механизм контроля

Оборудование, информация или программное обеспечение не должны выноситься за территорию организации без предварительной авторизации.

Руководство по внедрению

Следует рассмотреть следующие механизмы контроля:

  • оборудование, информация или программное обеспечение не должны выноситься за территорию организация без предварительной авторизации;
  • должны быть четко идентифицированы сотрудники, подрядчики и пользователи третьей стороны, имеющие право перемещать ресурсы за территорию организации;
  • должны быть установлены временные ограничения на вынос оборудования и должен контролироваться своевременный возврат оборудования;
  • там, где это необходимо и применимо, вынос оборудования за территорию организации и его возврат должны регистрироваться.

Дополнительная информация

Выборочные проверки, проводимые с целью выявления несанкционированного перемещения имущества, могут также выполняться с целью обнаружения несанкционированных записывающих устройств, оружия и т.п., а также предотвращения их проникновения на территорию организации. Такие выборочные проверки должны выполняться в соответствии с действующим законодательством и нормативной базой.  Люди должны быть поставлены в известность о проведении выборочных проверок, а также о том, что эти проверки должны проводиться после необходимой авторизации в соответствии с требованиями действующего законодательства и нормативной базы.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex