Bezpieczeństwo fizyczne i środowiskowe

System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Bezpieczeństwo fizyczne i środowiskowe
Strefy bezpieczeństwa
Organizacja ustanawiająca SZBI powinna rozpatrzyć utworzenie obszarów (stref) bepieczeństwa
i określić zasady ich tworzenia i wykorzystywania:
•
•
•
•
•
wyznaczenie granic stref bezpieczeństwa,
sposób zabezpieczenia dostępu (wejścia) do wnętrza strefy bezpieczeństwa,
zabezpieczenia urządzeń oraz nośników informacji wewnątrz stref bezpiecznych,
sposoby dostępu awaryjnego do stref bezpiecznych,
sposoby zabezpieczenia przed zagrożeniami środowiskowymi (pożar, powódź itp.) oraz plan
ewakuacji w razie wystąpienia takich zagrożeń.
Zabezpieczenie sprzętu
Drugim ważnym tematem w grupie „Bezpieczeństwo fizyczne i środowiskowe” jest ochrona
sprzętu wykorzystywanego do wprowadzania, składowania oraz przetwarzania informacji oraz
fizyczna ochrona nośników zawierających informacje niezależnie od ich rodzaju.
•
•
•
•
•
•
rozmieszczenie i ochrona sprzętu,
zasilanie i urządzania podtrzymujące,
bezpieczeństwo okablowania oraz sygnałów sieci bezprzewodowych,
procedury konserwacji oraz okresowych przeglądów i napraw sprzętu,
procedury wycofywania sprzętu z eksploatacji lub przekazania go do innych celów,
wykorzystywanie sprzętu poza siedzibą organizacji.
Dyskusja wybranych zagadnień
Generalną zasadę, którą należy się kierować przy ustanawianiu SZBI można sprowadzić do
jednego zdania – „Nie istnieje oprogramowanie, które może skutecznie zabezpieczyć sprzęt”.
Pomimo, że zasada ta jest dość oczywista, to często do zabezpieczeń fizycznych nie przywiązuje się
należytej wagi. Dotyczy to zwłaszcza komputerów PC – zarówno stacjonarnych, jak i przenośnych,
ponieważ serwerownie przeważnie spełniają co najmniej podstawowe warunki bezpieczeństwa w
zakresie zabezpieczeń fizycznych. Największe zagrożenie dotyczy komputerów przenośnych,
dlatego też ich wykorzystywanie często jest regulowane oddzielną, specjalnie opracowaną polityką
bezpieczeństwa, jednakże również stacjonarne komputery PC powinny być odpowiednio
zabezpieczone fizycznie. Skutecznie można to zrealizować chroniąc pomieszczenia, w których jest
umieszczony sprzęt wykorzystywany do obsługi aktywów informatycznych, jak i sam sprzęt jako
taki. Należy jednak pamiętać, że nadrzędnym celem SZBI jest zarządzanie bezpieczeństwem
INFORMACJI, a nie sprzętu komputerowego.
Rozdział 6: Bezpieczeństwo fizyczne i środowiskowe
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 1 z 3
System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Zabezpieczenie pomieszczeń
Pomieszczenia, w których realizowane jest składowanie lub przetwarzanie danych powinny być
zabezpieczone przed dostępem osób niepowołanych. Rodzaj stosowanych zabezpieczeń powinien
uniemożliwiać dostęp do tych pomieszczeń osobom nie posiadającym odpowiedniej autoryzacji.
Wszelkie czynności pomocnicze wykonywane w tych pomieszczeniach (np. sprzątanie) mogą być
wykonywane jedynie pod nadzorem pracownika Organizacji upoważnionego do dostępu do danego
pomieszczenia. W razie takiej potrzeby Organizacja może utworzyć wiele stref bezpieczeństwa o
różnym poziomie kontroli dostępu oraz zastosować elektroniczny system monitorowania ruchu
pracowników.
Należy również określić zasady przebywania osób reprezentujących podmioty trzecie w strefach
bezpieczeństwa oraz sposób rejestracji tych osób.
Praca w strefach chronionych poza wyznaczonymi godzinami służbowymi powinna być
dozwolona jedynie pod warunkiem uzyskania pisemnego zezwolenia bezpośredniego przełożonego
lub inne osoby uprawnionej do wydawania takiej zgody przez Kierownictwo Organizacji.
Drzwi do pomieszczeń objętych ochroną muszą być wyposażone w samozamykacze, których
unieruchamianie jest bezwzględnie zabronione.
Dostęp publiczny
Dostęp publiczny jest dozwolony jedynie do specjalnie oznaczonych pomieszczeń, w których nie
mogą znajdować się urządzenia do przetwarzania danych Organizacji, a oraz środki techniczne
(przyłącza sieciowe łącznie z możliwością korzystania z sieci bezprzewodowej) umożliwiające
realizację takiego połączenia.
Fizyczne zabezpieczenie obudów komputerów
Dostęp do wnętrza komputera podczas jego normalnej eksploatacji jest zbędny. Wszelkie
manipulacje wewnątrz komputera osobistego mogą być wykonywane jedynie przez autoryzowany
personal działu IT lub pracowników współpracujących z Organizacją firm serwisowych. Dział IT
przed przekazaniem komputera PC do ekspoatacji powinien wykonać następujące czynności:
• wprowadzić wymaganą konfigurację systemu BIOS. Konfiguracja powinna być zgodna z
rzeczywistymi potrzebami biznesowymi stanowiska, zaś obsługa wejść/wyjść, których
wykorzystywanie nie jest przewidziane powinny zostać odłączone,
• zabezpieczyć hasłem dostęp do programu konfiguracyjnego (BIOS Setup),
• zabezpieczyć dostęp do wnętrza komputera (o ile jego konstrukcja to przewiduje) oraz
zaplombować obudowę w taki sposób, aby niemożliwe było otwarcie obudowy bez
nieodwracalnego uszkodzenia nałożonych plomb.
Rozdział 6: Bezpieczeństwo fizyczne i środowiskowe
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 2 z 3
System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Rozmieszczenie sprzętu
Sprzęt komputerowy powinien być umieszczony na stabilnych podstawach, w odpowiedniej
odległości od źródeł ciepła oraz nie może być narażony na bezpośrednie promieniowanie słoneczne
powodujące wzrost temperatury. Należy zapewnić swobodny przepływ powietrza przez otwory
wentylacyjne obudów.
Monitory, klawiatury oraz urzadzenia wskazujące powinny być ustawione w sposób zgodny z
zasadami ergonomii. Monitory, drukarki, plotery itp. powinny być umieszczone w taki sposób, aby
wgląd w informacje na nich prezentowane przez osoby postronne był niemożliwy lub co najmniej
utrudniony.
Komputery przenośne
Ze względu na specyficzne zagrożenia reguły bezpiecznego wykorzystywania komputerów
przenośnych powinny zostać objęte specjalnie opracowaną Polityką Bezpieczeństwa, której wzór
zamieszczono w oddzielnym rozdziale.
Zasilanie sieciowe
Zasilanie komputerów osobistych powinno być realizowane z obwodów oddzielonych od
zasilania innych urządzeń. Wykorzystywanie sieci zasilającej przeznaczonej do zasilania
komputerów PC do innych celów jest zabronione.
Komputery, na których przechowywane są dane o szczególnym znaczeniu dla Organizacji
powinny być zasilane za pośrednictwem zasilaczy awaryjnych zapewniających możliwość
bezpiecznego wyłączenia komputera bez uszkodzenia danych lub oprogramowania.
Konserwacja i naprawy sprzętu
Sprzęt przeznaczony do obsługi aktywów informacyjnych powinien podlegać okresowej
konserwacji według ustalonego wcześniej harmonogramu określającego również zakres czynności
konserwacyjnych. Fakt przeprowadzenia konserwacji powinien być odnotowany. W metryce
sprzętu należy również odnotować wszelkie uwagi, które nasunęły się pracownikowi
wykonującemu okresową konserwację sprzętu.
Organizacja powinna również opracować procedury realizacji napraw sprzętu i ew.
przekazywania go do zewnętrznego serwisu oraz odbioru naprawionego przez ten serwis sprzętu.
Wycofywanie sprzętu z eksploatacji
Procedura wycofywania sprzętu z eksploatacji musi ściśle określać postępowanie z nośnikami
danych (dyski twarde, pamięci flash itp.). W zależności od zakwalifikowania przechowywanych na
tych nośnikach aktywów informacyjnych mogą być one formatowane z wykorzystaniem
standardowych mechanizmów systemu operacyjnego, oczyszczane (programy WIPE lyb ERASER)
lub niszczone fizycznie. W przypadku konieczności przechowywania nośników muszą być one
bezwzględnie i w trwały sposób oznaczone odpowiednio do wartości zawartych na nich aktywów.
Rozdział 6: Bezpieczeństwo fizyczne i środowiskowe
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 3 z 3