Физическая безопасность информационных ресурсов направлена, в первую очередь, на предотвращение неавторизованного доступа, повреждения и воздействия в отношении помещений и информации организации, а также на обеспечение безопасности средств обработки критичной служебной информации, посредством использования различных средств контроля проникновения, а также защитных барьеров. Для того чтобы грамотно построить физическую безопасность своих информационных ресурсов надлежащим образом необходимо понять основные угрозы безопасности, а также методы их решения.
Можно выделить следующие угрозы безопасности:
- Противоправная деятельность конкурентов, преступных групп, а также третьих лиц или сотрудников компании в отношении собственности компании и сотрудников, которые могут привести к материальным и финансовым потерям фирмы или нанесения ущерба здоровью персонала компании;
- Преднамеренные действия сотрудников компании, которые имеют доступ к финансовым, материальным и информационным ресурсам;
- Непреднамеренные нарушения установленных требований учета, хранения, оборота и продажи товарно-материальных ценностей, финансовых ресурсов, служебных документов и информации, приводящие к утере ресурсов и хищениям;
- Умышленные действия, которые приводят к сбоям в работе:
- Технических систем (электроснабжение, вентиляция, отопление, системы охлаждения и др.) которые могут привести к сбоям в работе и производственным потерям;
- Средств охраны (Видеонаблюдения, систем СКУД, Охранно-пожарной сигнализации, связи) которые позволят злоумышленнику проникнуть на территорию компании, и может повлечь за собой хищению материальных, финансовых и информационных ресурсов;
Вопросом физической безопасности информационных объектов занимаются достаточно давно. Со временем все наработки и рекомендации были собраны в свод правил по управлению защитой информации в стандартах ISO/IEC 27002 и ГОСТ Р ИСО/МЭК 17799-2005. В данных стандартах описаны рекомендации для комплексной защиты информации.
Почему я не берусь за общественные пространства? На примере парка Зарядье. Обзор парка Зарядье.
Рассмотрим на Рисунке 1, основные моменты связанные именно с физической безопасностью информационных ресурсов, которые имеют не только теоретическую, но и практическую ценность.
Рисунок 1 – Средства обеспечения физической безопасности информационных ресурсов
Нормативное обеспечение:
- Необходимо разработать, задокументировать и периодически обновлять политики физической защиты и защиты среды информационной системы;
- Необходимо разработать процедуры и меры связанные с реализацией политики физической защиты и защиты средств информационной системы.
Персонал и уровни доступа:
- Необходимо разработать списки персонала, которым будет разрешен доступ в соответствии с политикой безопасности, а также механизм идентификации (бейджи, информационные карты и т.п.);
- Соответствующие должностные лица должны рассматривать и утверждать списки доступа, а также пересматривать списки в соответствии с установленной периодичностью.
Управление физическим доступом:
- Уровень защищенности помещений должен быть соразмерен с возможными рисками;
- Необходимо иметь систему правления доступом во всех точках доступа к информационным ресурсам и активам;
- Необходимо использовать четко определенные периметры безопасности для защиты помещений и зон, в которых расположены средства обработки информации;
- Необходимо использовать четко определенные периметры безопасности для защиты помещений и зон расположения средств обработки информации;
- Доступ в помещения и здания должен быть предоставлен только авторизованному персоналу;
- До предоставления физического доступа к активам должна быть выполнена процедура проверки полномочий на доступ;
- Необходимо регулярно анализировать и пересматривать права доступа сотрудников в зоны безопасности;
- Должен осуществляться постоянный контроль доступа в зонах входа в периметр здания для обеспечения уверенности в том, что доступ позволен только авторизованному персоналу.
Мониторинг физического доступа:
- В процессе мониторинга должны использоваться устройства наблюдения и сигнализации реального времени, а также автоматизированные средства, обеспечивающие распознание нарушений и инициирующие ответные действия;
- Контроль физического доступа к помещениям должен обеспечиваться использованием самых жестких методов идентификации/аутентификации.
Защита оборудования:
- Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от воздействий окружающей среды и возможности неавторизованного доступа;
- Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с электричеством (резервные источники питания, генераторы и т.п.);
- Необходимо обеспечить противопожарную защиту, а также защиту от других экологических и техногенных катастроф;
- Необходимо защищать телекоммуникационные кабельные сети от перехвата информации или повреждения;
- Необходимо проводить надлежащее техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и целостности.
Контроль посетителей:
- Должна быть выделена зона регистрации посетителей;
- Всех посетителей необходимо сопровождать на объектах;
- Должны вестись журналы учета доступа посетителей;
- Журналы учета доступа посетителей должны периодически анализироваться соответствующими должностными лицами;
- Должны использоваться автоматизированные средства ведения журналов учета доступа посетителей.
Физическая безопасность информационных ресурсов – это комплекс информационно-технических мероприятий, соблюдение которых позволит эффективно защитить бизнес от возможных атак конкурирующих организаций, внутренних атак, а также возможных стихийных бедствий.
Когда пора подумать о физической безопасности бизнеса
На текущий момент, в целях обеспечения информационной безопасности бизнеса клиентов, одним из первых этапов мы предлагаем провести аудит информационной безопасности.
Источник: efsol.ru
О физической безопасности объектов охраны
Важным условием успешного функционирования любого предприятия на рынке является защита от возникающих угроз, среди которых особую опасность представляют незаконные действия физических лиц. Последствия их действий непредсказуемы от хищения имущества до создания чрезвычайных ситуаций на объекте. В этих условиях безопасность любого субъекта рынка осуществляется на основе принципов «разумной достаточности», «эффективность – стоимость», а также разработанной в теории и применяемой на практике концепции физической безопасности предприятия.
В рамках единой политики безопасности организации физическая безопасность является ее основным структурным элементом, направленным на сохранение собственности, жизни и здоровья персонала, финансовых ресурсов. Концепцией физической безопасности организации предусматривается:
· определение возможных угроз функционированию объектов Компании, вероятных исполнителей угроз (нарушителей); определение наиболее уязвимых мест на объекте, т.е. вероятных предметов защиты;
· оценка уязвимости предметов защиты Компании, т.е. соответствия существующей системы безопасности выявленным угрозам;
· разработка предложений и проведение необходимых мероприятий по обеспечению безопасности объекта.
Физическая безопасность (защиты) организации – это совокупность правовых норм, организационных мер и инженерно-технических решений, направленных на защиту важных интересов и ресурсов предприятия (объекта) от угроз злоумышленных противоправных действий физических лиц (нарушителей). Она включает в себя силы службы безопасности и охраны объекта, комплекс инженерно-технических средств охраны, режим, установленный на объекте. Система физической защиты не должна препятствовать нормальному функционированию организации, ее технологическим процессам.
Основные угрозы физической безопасности
— Деятельность преступных групп, конкурирующих экономических структур, а также отдельных лиц, занимающихся противоправными действиями в отношении собственности, которые могут привести к значительным материальным и финансовым потерям организации или ее отдельным подразделениям.
— Непреднамеренные (ошибочные, случайные, необдуманные, без корыстных целей) нарушения установленных требований учета, хранения, оборота, правил торговли товарно-материальных ценностей, финансовых ресурсов, служебных документов и информации, приводящие к непроизводительным затратам ресурсов, утратам и хищениям. — Преднамеренные (в корыстных целях, по принуждению, со злым умыслом, т.п.) действия сотрудников Компании, допущенных к материальным, финансовым и информационным ресурсам:
· различные виды хищений товарно-материальных ценностей отдельными сотрудниками или в сговоре на объектах организации;
· умышленное нарушение денежно-кассовых операций с клиентами, поставщиками продукции, повлекшее недостачи;
· подделка учетных и отчетных документов хранения и оборота товарно-материальных ценностей;
· хищение носителей конфиденциальной информации (распечаток, магнитных дисков, запоминающих устройств) для использования в личных корыстных целях.
— Отказы и сбои в работе инженерно-технических средств охраны (систем СКУД, ОПС, видеонаблюдения и связи), приводящие к непроизводительным затратам:
· отключение электричества в офисе и на объектах предприятия;
· незапланированная потеря каналов связи, невозможность управления системой охранно-пожарной сигнализации и видеонаблюдения на объектах с пульта централизованного наблюдения;
· нарушение функционирования пульта централизованного наблюдения у оперативного дежурного (некомпетентность оператора, сбой программного обеспечения, выход из строя отдельных комплектующих компьютера, др.);
· выход из строя системы видеонаблюдения на объектах Компании, вследствие чего допущены непроизодственные потери материальных и финансовых средств;
· нарушение работы системы СКУД, несанкционированный пропуск посторонних лиц на территорию объектов Компании, допуск к товарно-материальным ценностям, конфиденциальной информации.
— Аварии, техногенные катастрофы и природные катаклизмы.
Предметы физической безопасности организации
Предметы физической безопасности Компании – это ресурсы Компании, которые должны быть максимально защищены. К ним относятся:
· служебная документация, представляющая коммерческую тайну;
· средства связи и коммуникации;
· локальные компьютерные сети, компьютерное оборудование, программное обеспечение;
· объекты, обеспечивающие жизнедеятельность предприятия (энерго, тепло, водоснабжение).
Основные задачи обеспечения физической безопасности организации
1) Исключение чрезвычайных ситуаций, которые могут привести к утрате корпоративных ресурсов (пожар в офисе и на объектах организации, авария в энерго, тепло и водоснабжении, приведшая к срыву работы персонала, др.);
2) Снижение вероятности возникновения угрозы для жизни и здоровья персонала. (Охрана VIP персон, служба оперативного дежурного, дежурство контролеров в аптеках и в офисе организации, недопущение хищений или порчи товаро-материальных ценностей);
3) Комплексное использование сил службы безопасности и охраны и инженерно-технических средств на объекте в целях защиты собственности;
4) Воспрепятствование незаконному проникновению на объекты организации посторонних лиц, имеющих целью получение доступа к имуществу, финансам, служебным документам, информации на электронных носителях;
5) Ограничение и разграничение доступа различных категорий посетителей на территорию, в здания и помещения организации;
6) Выявление и пресечение незаконных действий лиц и преступных групп, взаимодействие с правоохранительными органами по правовым вопросам и вопросам оперативной работы.
Структура физической безопасности организации
Физическая безопасность Компании включает в себя следующие основные элементы:
— Cилы и средства службы безопасности;
— Cилы и средства службы охраны (в т.ч. сторонних организаций, привлекаемых для охраны на договорной основе):
· личная охрана VIP-персон
· служба оперативного дежурного
· контролеры в аптеках, контролеры КПП
· сотрудники вневедомственной охраны;
— Инженерно-технические средства охраны:
· техническая укрепленность объекта (состояние периметрального ограждения, состояние освещение территории и подступов к объекту, состояние защиты крыш, окон, дверей, замков, подвальных помещений, центральных ворот, запасных выходов);
· пульт централизованного наблюдения;
· система охранно-пожарной сигнализации (ОПС);
· система контроля и управления доступом;
· система оперативной связи и оповещения;
· обеспечивающие системы (электропитания, дежурного освещения, др.);
Режим, установленный на объекте
Режим на объекте устанавливается соответствующими инструкциями, которые разрабатываются службой безопасности и утверждаются руководством Компании. Основными из них являются:
· инструкция по организации и обеспечению пропускного режима на объекте, которая определяет пропуск лиц (сотрудников и посетителей), пропуск авто автотранспорта, вынос (вывоз) товарно-материальных ценностей, документирование пропуска;
· инструкция по обеспечению внутри объектового режима, определяющая внутренний трудовой распорядок на объекте («Правила внутреннего трудового распорядка);
· инструкция по пожарной безопасности на объекте;
· должностные инструкции сотрудников служб безопасности и охраны;
· алгоритм действий персонала объекта при возникновении чрезвычайных ситуаций;
· особые обязанности сил безопасности и охраны, персонала организации при возникновении внештатных и чрезвычайных обстоятельств;
· утвержденные образцы различных пропусков на объект, заявок, др.
Меры обеспечения эффективного функционирования физической безопасности Компании
— Строгий учет и четкий порядок хранения подлежащих защите товарно-материальных ценностей, финансовых ресурсов, бухгалтерской отчетности, машинных носителей информации;
— Высокая подготовка персонала в соответствии со штатным расписанием, четким знанием и строгим выполнением персоналом своих функциональных обязанностей;
— Персональная ответственность за свои действия каждого сотрудника, соприкасающегося в рамках своих должностных обязанностей с материальными, финансовыми и информационными ресурсами;
— Строгое выполнение всеми сотрудниками требований установленного режима на объекте;
— Эффективный контроль за соблюдением установленного режима на объекте;
— Принятие мер профилактического воздействия к потенциальным нарушителям;
— Эффективная работа сотрудников службы безопасности и охраны по своевременному выявлению и пресечению противоправных действий нарушителей (попытки хищения товарно-материальных ценностей и финансовых ресурсов, несанкционированное проникновение на территорию режимного объекта и к информации, представляющей коммерческую тайну, провокационные действия экстремистов, угроза жизни и здоровью персонала со стороны террористов, попытка поджога или закладки взрывчатых веществ, др.);
— Результативная работа сил службы безопасности, эффективное взаимодействие с правоохранительными органами, своевременное информированием руководства организации о преднамеренных или непреднамеренных противоправных действиях недобросовестных сотрудников, партнеров по бизнесу, других лиц;
— Высокий профессиональный навык и опыт работы работников службы безопасности и охраны. Реализация системы инженерно-технических средств безопасности, предусматривающей многорубежность построения охраны территории, зданий и помещений с комплексным применением современных средств обнаружения, видеонаблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
— Устойчивая работа системы пожарной сигнализации и автоматического пожаротушения на объектах организации, ее своевременная проверка и обслуживание.
Ответственность
За эффективность и результативность работы системы физической защиты объекта персональную ответственность несут; руководитель структурного подразделения (организации) и начальник охраны объекта (начальник службы безопасности, менеджер по безопасности).
Дорогие читатели, статьи в разделе «Охранная деятельность» публикуются на Интернет-портале с сокращениями. Полную версию уже опубликованных, а также много других интересных профильных статей вы можете прочитать в ежемесячном печатном журнале «Охранная деятельность». Подписку на него можно оформить, перейдя по следующей ссылке: http://www.psj.ru/saver_people/detail.php?ID=8038
Источник: psj.ru
8 советов по улучшению физической безопасности в вашей организации
Каждый год организации по всему миру тратят сотни миллиардов долларов на защиту критически важных цифровых инвестиций и обеспечение необходимой кибербезопасности, необходимой для их защиты от внешних киберугроз. Это, безусловно, необходимо и является одним из наиболее важных передовых методов, рекомендуемых для всех организаций. Однако элемент физической безопасности часто упускается из виду или недооценивается.
Физическая безопасность часто определяется как защита персонала, оборудования, программного обеспечения, сетей и данных от физических действий и событий, которые могут привести к серьезным потерям или ущербу для организации. Физическая охрана является жизненно важной деловой практикой, преследующей множество целей: предотвратить проникновение посторонних лиц в бизнес и причинение вреда; защитить интеллектуальную собственность от корпоративного шпионажа; смягчить насилие на рабочем месте. Сегодня организации должны рассматривать физическую безопасность в качестве основного элемента своей стратегии кибербезопасности. Успех программы физической безопасности организации часто можно объяснить тем, насколько хорошо реализован, улучшен и поддерживается каждый компонент.
Примите во внимание следующие советы, чтобы улучшить физическую безопасность организации
Установите периметры физической безопасности
Стены, которые действуют как барьеры, входные двери с карточным управлением и стойки регистрации с персоналом должны использоваться для защиты объектов организации. Это особенно важно для областей, которые содержат конфиденциальную информацию или информационные системы, используемые для обработки или управления этим типом информации. Для доступа к центрам обработки данных или другим зонам повышенного риска должен потребоваться дополнительный уровень запросов и разрешений на физический доступ, прежде чем доступ будет предоставлен. Информационные системы должны располагаться в помещениях с дверями и окнами, запирающимися при оставлении без присмотра. Следует также учитывать внешние защитные меры, особенно для офисов или других мест на уровне земли.
Обеспечьте наличие физического контроля входа
Безопасные зоны должны быть защищены соответствующими средствами контроля входа, чтобы гарантировать доступ только для уполномоченного персонала. Физический доступ к объектам, где находятся информационные системы, должен контролироваться с использованием систем сигнализации физического проникновения и оборудования наблюдения для обнаружения потенциальных инцидентов физической безопасности. Журналы физического доступа должны проверяться не реже одного раза в квартал, а также при выявлении потенциальных событий. Если выявлен инцидент физической безопасности, отчеты о реагировании на инциденты должны включать все предпринятые ответные действия. Видеокамеры или другие механизмы контроля доступа должны быть внедрены и защищены так, чтобы контролировать индивидуальный физический доступ к уязвимым зонам.
Внедрение защиты от внешних и экологических угроз
Для защиты организации должна быть реализована физическая защита от ущерба от пожаров, наводнений, землетрясений, взрывов, гражданских беспорядков и других форм экологических или техногенных катастроф. Руководители службы безопасности должны установить дымовые или тепловые пожарные извещатели и сигнализации, а соответствующие системы пожаротушения, такие как спринклеры, должны быть внедрены на всех объектах и в безопасных зонах, содержащих информационные системы. Устройства обнаружения воды или влаги должны быть расположены в подвесных потолках и внутри фальшполов для обнаружения утечек воды или возможного затопления. Информационные системы должны быть защищены от повреждений в результате утечек воды путем обеспечения установки, доступа и правильной работы главных запорных клапанов.
Обеспечить безопасное размещение и защиту оборудования
Информационные системы и устройства должны располагаться в безопасных зонах. Оборудование должно быть защищено так, чтобы снизить риски, связанные с угрозами и опасностями окружающей среды и уменьшить возможности несанкционированного доступа. Перед его установкой специалисты по безопасности предприятия должны провести оценку, чтобы убедиться, что вспомогательные инструменты способны поддерживать новую инфраструктуру или другие аппаратные устройства. Физический доступ должен быть ограничен беспроводными точками доступа, шлюзами, сетевым оборудованием, коммуникационным оборудованием и телекоммуникационными линиями.
Управление вспомогательными коммунальными услугами
Все вспомогательные коммуникации, такие как электричество, природный газ, водоснабжение, канализация, отопление, вентиляция и кондиционирование воздуха, должны соответствовать системам и персоналу, которых они обслуживают. Для этих коммунальных услуг требуется подходящее электропитание, отвечающее требованиям к мощности, установленным производителями оборудования. Для поддержки упорядоченного отключения оборудования, поддерживающего критически важные бизнес-операции, должен быть реализован источник бесперебойного питания. Аварийное освещение должно регулярно проверяться, чтобы гарантировать его правильную работу в случае отключения электроэнергии. Выключатели аварийного отключения питания должны быть расположены рядом с аварийными выходами в центрах обработки данных и аппаратных, чтобы обеспечить быстрое отключение питания в случае возникновения чрезвычайной ситуации.
Обеспечение безопасности силовых и телекоммуникационных кабелей
Силовые и телекоммуникационные кабели, используемые для поддержки информационных систем или передачи данных, должны быть защищены от перехвата, вмешательства или повреждения. Службы безопасности предприятия должны использовать четко идентифицируемую маркировку кабелей, чтобы свести к минимуму возможные ошибки при обращении, такие как случайное отключение или перемещение неправильных исправлений или сетевых кабелей. Физический доступ к линиям распределения и передачи информационных систем на объектах организации должен контролироваться. Потратьте время, необходимое для того, чтобы кабели были помечены и аккуратно организованы, чтобы предотвратить непреднамеренные ошибки. Краткосрочный проект по решению проблем с кабелями сегодня поможет предотвратить бесчисленные проблемы завтра.
Защитите информационные активы вне офиса
Компьютеры, периферийные устройства, документы, отчеты, программное обеспечение или другие информационные активы, принадлежащие организации, не должны выноситься за пределы офиса без предварительного разрешения. Специалисты по безопасности должны использовать полнодисковое шифрование на всех ноутбуках.
Информационные активы остаются собственностью организации, даже если они находятся за пределами предприятия. Персонал должен быть обучен тому, что эти активы не должны использоваться членами семьи или друзьями. Такое несанкционированное использование может создавать не только технические риски, но и потенциальные риски для конфиденциальности данных, содержащихся на устройствах, из-за ненадлежащего просмотра информации неуполномоченными лицами. Весь персонал должен нести ответственность и быть подотчетным за все действия, выполняемые с информационными активами, которые им назначены.
Защита физических носителей при передаче
Носители, содержащие информацию, должны быть защищены от несанкционированного доступа, неправильного использования и повреждения во время транспортировки за пределы физических границ организации. Медиафайлы должны быть зашифрованы перед перемещением за пределы офиса. Следует вести полную инвентаризацию всех физических носителей, которые передаются за пределы организации. Если организация использует поставщика услуг удаленного архивирования или долгосрочного хранения, компания должна потребовать от поставщика периодически предоставлять инвентаризацию организационных носителей. Кроме того, средства контроля безопасности на объекте поставщика услуг должны проверяться не реже одного раза в год.
Руководители службы безопасности должны обеспечить разработку и последовательное внедрение всеобъемлющей программы физической безопасности в организации. Организации, которые этого не делают, могут упустить из виду ключевую функцию безопасности или оставить без внимания уязвимость физической безопасности. Разрабатывая комплексную программу физической безопасности, поддерживаемую всеми заинтересованными сторонами в организации, можно избежать основных ловушек физического контроля для обеспечения эффективной общей безопасности.
Автор перевода: Артем Карпенко
Источник: ekb-security.ru