Ещё один раздел политики безопасности
следует посвятить вопросу физической безопасности объекта информатизации.
Целью положений данного объекта является предотвращение неавторизованного
физического доступа, повреждения и воздействия в отношении помещений,
оборудования и информации организации.
Для эффективного решения данной цели основными рекомендациями являются
следующие утвреждения.
Это принцип размещения важной для организации информации в зонах
безопасности, оборудованных средствами контроля доступа и соответствующими
защитными средствами, а также принцип обеспечения для всего объекта в целом
и его отдельных зон уровня защищённости, соразмерного выявленных рискам.
То есть, с одной стороны, создание защищённых зон, например, тех,
в которых обсуждается конфиденциальная информация или в которых существуют и
функционируют критичные элементы аппаратного обеспечения
объекта информатизации, то есть, например, серверная или какие-то прочие помещения,
в которых находится важное оборудование, и, с другой стороны, обеспечение для
каждого такого помещения, для каждой такой зоны именно того уровня защищённости,
который отвечает выявленным рискам, то есть, например, наверное,
экономически не обосновано применять максимальный уровень защиты к той зоне,
в которой часто бывают посетители, не являющиеся пользователями информационной
системы, где не обрабатывается никакая конфиденциальная информация,
где нету контроля доступа и подобным образом снижена
концентрация информации, которая требует защиты.
Напротив, повышение уровня защищённости оправдано для тех зон,
где обрабатывается конфиденциальная информация или где хранятся носители,
содержащие такую информацию.
В разделе, посвящённом физической безопасности,
рекомендуется сформулировать вопросы защиты зон, содержащих информацию,
и средства обработки информации, а также использование средств физической защиты и
организации периметров безопасности, то есть принять конкретные решения по тому,
какие конкретно зоны будут защищаться и какими мерами
организационно-технической защиты информации.
Здесь же следует сформулировать вопросы контроля и управления доступом
на контролируемую территорию, вопросы учёта доступа, выдачи пропусков,
сопровождение посетителей в определённых случаях и подобные вопросы.
Здесь стоит отметить, что по мере обсуждения различных
разделов политики безопасности мы с вами будем встречать вопросы,
относящиеся к ранее рассмотренным нами категориям мер защиты информации.
Это как раз свидетельствует о том, что политика безопасности как-то обобщает
и систематизирует использование всех этих средств, превращая их, действительно,
в единую политику и единую систему.
Именно благодаря этому достигается эффективность защиты информации.
В этом же разделе следует сформулировать вопросы защиты зданий,
производственных помещений и оборудования от различных
несанкционированных воздействий, которые могут нанести им ущерб.
Здесь же следует рассмотреть вопросы физической защиты от ущерба в случае
реализации природных, техногенных или антропогенных аварий,
стихийных бедствий и аналогичных ситуаций.
Следует предусмотреть либо возможность предотвращения таких явлений,
насколько это допустимо, либо как можно более оперативного восстановления
работоспособности системы в случае, если такие ситуации всё же реализуются.
В этом же разделе следует сформулировать рекомендации по работе в зонах
безопасности как для сотрудников, так и для лиц, которые посещают эти зоны
безопасности по роду деятельности, но при этом являются представителями третьих лиц,
различные представители технических службы, организаций, обеспечивающих
поддерживающую инфраструктуру, и к этому же разделу относятся вопросы
контроля зон доступа посторонних лиц, то есть контроля таких зон,
в которых могут оказываться лица, не являющиеся сотрудниками организации.
Например, зон, в которых разгружается или, наоборот,
загружается продукция организации,
где бывают грузчики других организаций, куда, может быть,
заезжает транспорт, водители которого не являются сотрудниками организации,
куда приходят посетители или клиенты, с которыми взаимодействует организация,
и подобных зон, в которых находятся посторонние лица.
В разделе, посвящённом физической безопасности, также следует сформулировать
вопросы размещения и защиты оборудования организации от вредоносных воздействий,
антропогенных, техногенных, стихийных, а также вопросы защиты
оборудования организации от сбоев поддерживающей инфраструктуры, например,
системы обеспечения резервного питания и подобных системы, и вопросы
защиты кабельных сетей от перехвата информации или их повреждения, разрушения.
Это могут быть какие-то организационные меры, связанные, например, с наблюдением
за неповреждённостью таких кабельных сетей, возможно, какие-то средства
физической защиты, то есть создание неких преград на пути злоумышленника.
Если речь идёт о перехвате информации, то различные меры технической
защиты информации, например, экранирование таких кабельных сетей.
К этому же разделу относятся вопросы технического обслуживания
оборудования организации, которые направлены на снижение
вероятности различных сбоев данного оборудования.
Принципы управлениями рисками при использовании оборудования вне помещений
организации, то есть некий регламент использования оборудования, например,
в случае выезда сотрудников организации на территорию клиента.
В этом случае они, можно сказать, находятся в незащищённой,
неконтролируемой зоне.
Безопасность их находится только в их руках,
они должны принимать повышенные усилия для обеспечения безопасности.
И вот эти самые принципы управления рисками желательно сформулировать
в данном разделе политики безопасности.
К этому же разделу относится вопрос утилизации и повторного использования
оборудования, содержащего важную для организации информацию.
Наверное, уже не секрет, что в ряде случае при небрежной утилизации носителей
информацией, содержавшей когда-либо ранее конфиденциальную информацию, даже в
случае её формального, то есть штатными средствами операционной системы, удаления
существует возможность для нарушителя успешного восстановления такой информации,
что, разумеется, в свою очередь приводит к утечке такой информации.
Поэтому вопросы надёжного удаления информации и, возможно,
утилизации такого оборудования должны быть регламентированы.
И к этому же разделу относятся принципы перемещения имущества организации
также с целью недопустить похищение или повреждение такого имущества, особенно,
относящегося к хранению, обработке или передаче информации.
[МУЗЫКА] [МУЗЫКА]
