Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович
Шрифт:
Интервал:
Закладка:
– использование фото-, видео-, аудио– и другого записывающего оборудования, такого как камеры мобильных устройств, должно быть запрещено, если только на это не получено специальное разрешение.
Соглашения о работе в зонах безопасности включает контроль работы сотрудников и представителей сторонних организаций в зоне безопасности, охватывающий все действия в этой зоне.
Зоны доставки и погрузки/разгрузки
Меры и средства
Такие места доступа, как зоны доставки и погрузки/разгрузки и другие, где посторонние лица могут попасть в помещения, должны контролироваться и, при возможности, изолироваться от средств обработки информации во избежание несанкционированного доступа.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
– доступ к зоне доставки и погрузки/разгрузки из-вне здания должен быть ограничен только уполномоченным персоналом;
– зона доставки и погрузки/разгрузки не должна предоставлять персоналу поставщика при погрузке и разгрузке доступа к другим частям здания;
– должна быть обеспечена безопасность внешних дверей зоны доставки и погрузки/разгрузки в то время, когда внутренние двери открыты;
– поступающий материал должен быть проверен на наличие взрывчатки, химикатов и других вредных материалов прежде, чем будет вынесен из зоны доставки и погрузки/разгрузки;
– поступающий материал должен регистрироваться при въезде на площадку в соответствии с процедурами управления активами;
– по возможности, ввозимые и вывозимые грузы должны быть физически разделены;
– поступающий материал должен быть проверен на предмет фальсификации на маршруте. О выявлении такого факта необходимо немедленно доложить службе безопасности.
Управление физическим доступом
Меры и средства
Зоны безопасности должны быть защищены средствами контроля, обеспечивающими доступ только уполномоченного персонала.
Рекомендация по реализации
Следует принимать во внимание следующие рекомендации:
– дата и время входа и выхода посетителей должны регистрироваться, и всех посетителей необходимо сопровождать, за исключением случаев заблаговременного согласования;
доступ следует предоставлять только для выполнения определенных задач, а также необходимо инструктировать посетителей на предмет требований безопасности и действий в случае аварийных ситуаций;
идентификацию посетителей необходимо осуществлять надлежащим образом;
– доступ к зонам, где обрабатывается или хранится конфиденциальная информация, должен ограничиваться только уполномоченными лицами путем применения соответствующих средств контроля, например, механизма двухфакторной аутентификации, такого как карта доступа и секретный персональный идентификационный номер (PIN);
– необходимо вести и мониторить записи регистрации любого доступа в защищенном физическом и электронном контрольном журнале;
– необходимо требовать, чтобы все сотрудники, подрядчики и представители сторонних организаций носили ту или иную форму видимого идентификатора и незамедлительно уведомляли сотрудников службы безопасности о замеченных несопровождаемых посетителях и лицах, не носящих видимого идентификатора;
– доступ в зоны безопасности или к средствам обработки конфиденциальной информации персоналу служб поддержки сторонних организаций следует предоставлять только при необходимости; такой доступ должен быть санкционирован и мониториться;
– права доступа в зоны безопасности следует регулярно пересматривать, обновлять и аннулировать при необходимости.
Защита помещений и оборудования
Меры и средства
Физическая безопасность оффисов, помещений и оборудования должна быть спроектирована и внедрена.
Рекомендации по реализации
В отношении защиты оффисов, помещений и оборудования необходимо учитывать следующие рекомендации:
– ключевое оборудование должно быть расположено в местах, где ограничен доступ посторонних лиц;
– здания, по возможности, должны давать минимум информации об их предназначении, не должны иметь явных признаков снаружи и внутри, позволяющих установить наличие деятельности по обработке информации;
– оборудование должно иметь такую конфигурацию, чтобы исключить просматривание и прослушивание конфиденциальной информации в выходных данных; электромагнитное поле также надо рассмотреть соответствующим образом;
– справочники и внутренние телефонные книги, указывающие на местоположение средств обработки конфиденциальной информации, не должны быть доступными для посторонних лиц.
Защита от окружающей среды
Меры и средства
Физическая защита от стихийных бедствий, умышленных атак или общественных беспорядков должна быть спроектирована и внедрена.
Рекомендации по реализации
Следует проконсультироваться у специалиста по вопросу предотвращения ущерба от пожара, наводнения, землетрясения, взрыва, общественного беспорядка и других естественных и искусственных бедствий.
7.2. Безопасность оборудования
Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание деятельности организации.
Безопасность оборудования определяют следующие составляющие:
– размещение и защита оборудования;
– вспомогательное оборудование;
– кабельная безопасность;
– обслуживание оборудования.
– перемещение активов;
– безопасность активов вне территории организации;
– безопасное уничтожение активов;
– безопасность оборудования без присмотра;
– политика чистого рабочего стола и экрана.
Размещение и защита оборудования
Меры и средства
Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от внешних угроз и возможности несанкционированного доступа.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации для защиты оборудования:
– оборудование следует размещать таким образом, чтобы свести к минимуму доступ в рабочие зоны;
– средства обработки информации, содержащей чувствительные данные, следует размещать таким образом, чтобы уменьшить риск просмотра информации посторонними лицами во время их работы;
– средства хранения следует защищать от несанкционированного доступа;
– для снижения общего уровня требуемой защиты необходимо выделить элементы, требующие специальной защиты;
– меры защиты должны быть внедрены таким образом, чтобы свести к минимуму риск физических и экологических угроз, например, хищение, пожар, взрывы, задымление, затопление, запыление, вибрация, химическое воздействие, помехи в линиях электроснабжения и коммуникаций, электромагнитное излучение и вандализм;
– необходимо установить правила приема пищи, питья и курения вблизи средств обработки информации;
– следует проводить мониторинг состояния окружающей среды по выявлению неблагоприятных условий, таких как температура и влажность, для функционирования средств обработки информации;
– на всех зданиях должна быть установлена защита от молнии, а на входе всех линий электроснабжения и коммуникации – фильтры защиты от молнии;
– оборудование, расположенное в промышленной среде, следует защищать специальными средствами, такими как защитные пленки для клавиатуры;
– оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено от утечки информации из-за электромагнитного излучения.
Вспомогательное оборудование
Меры и средства
Оборудование должно быть защищено от сбоев электропитания и других нарушений, вызванных отказами в работе вспомогательного оборудования.
Рекомендации по реализации
Вспомогательное оборудование (например, связи, электро-, водо-, газоснабжения, канализации, вентиляции, кондиционирования) должно:
– соответствовать рекомендациям изготовителя оборудования и правовым требованиям;