Bezpieczeństwo fizyczne i środowiskowe
Transkrypt
Bezpieczeństwo fizyczne i środowiskowe
System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Bezpieczeństwo fizyczne i środowiskowe Strefy bezpieczeństwa Organizacja ustanawiająca SZBI powinna rozpatrzyć utworzenie obszarów (stref) bepieczeństwa i określić zasady ich tworzenia i wykorzystywania: • • • • • wyznaczenie granic stref bezpieczeństwa, sposób zabezpieczenia dostępu (wejścia) do wnętrza strefy bezpieczeństwa, zabezpieczenia urządzeń oraz nośników informacji wewnątrz stref bezpiecznych, sposoby dostępu awaryjnego do stref bezpiecznych, sposoby zabezpieczenia przed zagrożeniami środowiskowymi (pożar, powódź itp.) oraz plan ewakuacji w razie wystąpienia takich zagrożeń. Zabezpieczenie sprzętu Drugim ważnym tematem w grupie „Bezpieczeństwo fizyczne i środowiskowe” jest ochrona sprzętu wykorzystywanego do wprowadzania, składowania oraz przetwarzania informacji oraz fizyczna ochrona nośników zawierających informacje niezależnie od ich rodzaju. • • • • • • rozmieszczenie i ochrona sprzętu, zasilanie i urządzania podtrzymujące, bezpieczeństwo okablowania oraz sygnałów sieci bezprzewodowych, procedury konserwacji oraz okresowych przeglądów i napraw sprzętu, procedury wycofywania sprzętu z eksploatacji lub przekazania go do innych celów, wykorzystywanie sprzętu poza siedzibą organizacji. Dyskusja wybranych zagadnień Generalną zasadę, którą należy się kierować przy ustanawianiu SZBI można sprowadzić do jednego zdania – „Nie istnieje oprogramowanie, które może skutecznie zabezpieczyć sprzęt”. Pomimo, że zasada ta jest dość oczywista, to często do zabezpieczeń fizycznych nie przywiązuje się należytej wagi. Dotyczy to zwłaszcza komputerów PC – zarówno stacjonarnych, jak i przenośnych, ponieważ serwerownie przeważnie spełniają co najmniej podstawowe warunki bezpieczeństwa w zakresie zabezpieczeń fizycznych. Największe zagrożenie dotyczy komputerów przenośnych, dlatego też ich wykorzystywanie często jest regulowane oddzielną, specjalnie opracowaną polityką bezpieczeństwa, jednakże również stacjonarne komputery PC powinny być odpowiednio zabezpieczone fizycznie. Skutecznie można to zrealizować chroniąc pomieszczenia, w których jest umieszczony sprzęt wykorzystywany do obsługi aktywów informatycznych, jak i sam sprzęt jako taki. Należy jednak pamiętać, że nadrzędnym celem SZBI jest zarządzanie bezpieczeństwem INFORMACJI, a nie sprzętu komputerowego. Rozdział 6: Bezpieczeństwo fizyczne i środowiskowe (C) Tomasz Barbaszewski Materiał szkoleniowy str. 1 z 3 System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Zabezpieczenie pomieszczeń Pomieszczenia, w których realizowane jest składowanie lub przetwarzanie danych powinny być zabezpieczone przed dostępem osób niepowołanych. Rodzaj stosowanych zabezpieczeń powinien uniemożliwiać dostęp do tych pomieszczeń osobom nie posiadającym odpowiedniej autoryzacji. Wszelkie czynności pomocnicze wykonywane w tych pomieszczeniach (np. sprzątanie) mogą być wykonywane jedynie pod nadzorem pracownika Organizacji upoważnionego do dostępu do danego pomieszczenia. W razie takiej potrzeby Organizacja może utworzyć wiele stref bezpieczeństwa o różnym poziomie kontroli dostępu oraz zastosować elektroniczny system monitorowania ruchu pracowników. Należy również określić zasady przebywania osób reprezentujących podmioty trzecie w strefach bezpieczeństwa oraz sposób rejestracji tych osób. Praca w strefach chronionych poza wyznaczonymi godzinami służbowymi powinna być dozwolona jedynie pod warunkiem uzyskania pisemnego zezwolenia bezpośredniego przełożonego lub inne osoby uprawnionej do wydawania takiej zgody przez Kierownictwo Organizacji. Drzwi do pomieszczeń objętych ochroną muszą być wyposażone w samozamykacze, których unieruchamianie jest bezwzględnie zabronione. Dostęp publiczny Dostęp publiczny jest dozwolony jedynie do specjalnie oznaczonych pomieszczeń, w których nie mogą znajdować się urządzenia do przetwarzania danych Organizacji, a oraz środki techniczne (przyłącza sieciowe łącznie z możliwością korzystania z sieci bezprzewodowej) umożliwiające realizację takiego połączenia. Fizyczne zabezpieczenie obudów komputerów Dostęp do wnętrza komputera podczas jego normalnej eksploatacji jest zbędny. Wszelkie manipulacje wewnątrz komputera osobistego mogą być wykonywane jedynie przez autoryzowany personal działu IT lub pracowników współpracujących z Organizacją firm serwisowych. Dział IT przed przekazaniem komputera PC do ekspoatacji powinien wykonać następujące czynności: • wprowadzić wymaganą konfigurację systemu BIOS. Konfiguracja powinna być zgodna z rzeczywistymi potrzebami biznesowymi stanowiska, zaś obsługa wejść/wyjść, których wykorzystywanie nie jest przewidziane powinny zostać odłączone, • zabezpieczyć hasłem dostęp do programu konfiguracyjnego (BIOS Setup), • zabezpieczyć dostęp do wnętrza komputera (o ile jego konstrukcja to przewiduje) oraz zaplombować obudowę w taki sposób, aby niemożliwe było otwarcie obudowy bez nieodwracalnego uszkodzenia nałożonych plomb. Rozdział 6: Bezpieczeństwo fizyczne i środowiskowe (C) Tomasz Barbaszewski Materiał szkoleniowy str. 2 z 3 System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Rozmieszczenie sprzętu Sprzęt komputerowy powinien być umieszczony na stabilnych podstawach, w odpowiedniej odległości od źródeł ciepła oraz nie może być narażony na bezpośrednie promieniowanie słoneczne powodujące wzrost temperatury. Należy zapewnić swobodny przepływ powietrza przez otwory wentylacyjne obudów. Monitory, klawiatury oraz urzadzenia wskazujące powinny być ustawione w sposób zgodny z zasadami ergonomii. Monitory, drukarki, plotery itp. powinny być umieszczone w taki sposób, aby wgląd w informacje na nich prezentowane przez osoby postronne był niemożliwy lub co najmniej utrudniony. Komputery przenośne Ze względu na specyficzne zagrożenia reguły bezpiecznego wykorzystywania komputerów przenośnych powinny zostać objęte specjalnie opracowaną Polityką Bezpieczeństwa, której wzór zamieszczono w oddzielnym rozdziale. Zasilanie sieciowe Zasilanie komputerów osobistych powinno być realizowane z obwodów oddzielonych od zasilania innych urządzeń. Wykorzystywanie sieci zasilającej przeznaczonej do zasilania komputerów PC do innych celów jest zabronione. Komputery, na których przechowywane są dane o szczególnym znaczeniu dla Organizacji powinny być zasilane za pośrednictwem zasilaczy awaryjnych zapewniających możliwość bezpiecznego wyłączenia komputera bez uszkodzenia danych lub oprogramowania. Konserwacja i naprawy sprzętu Sprzęt przeznaczony do obsługi aktywów informacyjnych powinien podlegać okresowej konserwacji według ustalonego wcześniej harmonogramu określającego również zakres czynności konserwacyjnych. Fakt przeprowadzenia konserwacji powinien być odnotowany. W metryce sprzętu należy również odnotować wszelkie uwagi, które nasunęły się pracownikowi wykonującemu okresową konserwację sprzętu. Organizacja powinna również opracować procedury realizacji napraw sprzętu i ew. przekazywania go do zewnętrznego serwisu oraz odbioru naprawionego przez ten serwis sprzętu. Wycofywanie sprzętu z eksploatacji Procedura wycofywania sprzętu z eksploatacji musi ściśle określać postępowanie z nośnikami danych (dyski twarde, pamięci flash itp.). W zależności od zakwalifikowania przechowywanych na tych nośnikach aktywów informacyjnych mogą być one formatowane z wykorzystaniem standardowych mechanizmów systemu operacyjnego, oczyszczane (programy WIPE lyb ERASER) lub niszczone fizycznie. W przypadku konieczności przechowywania nośników muszą być one bezwzględnie i w trwały sposób oznaczone odpowiednio do wartości zawartych na nich aktywów. Rozdział 6: Bezpieczeństwo fizyczne i środowiskowe (C) Tomasz Barbaszewski Materiał szkoleniowy str. 3 z 3