Политика обеспечения физической защиты (IT Security Cookbook)
Этот документ не предназначен для детального изучения вопроса обеспечения физической защиты и содержит необходимый минимум для достижения приемлемого уровня информационной безопасности в компании.
1. Здания
Должны быть определены защищаемые зоны, например:
Зона 1: общедоступные зоны.
Зона 2: зоны открытые только для персонала.
Зона 3: особо охраняемые зоны. Строго контролируемый доступ, для доступа необходима идентификация. Доступ посетителям без сопровождения запрещен.
Доступ в здания компании должен быть всегда ограничен, за исключением доступа через приемную в рабочее время.
В общедоступных местах не должно находиться каких-либо компьютеров, имеющих доступ к внутренней информационной сети, если не имеется защиты брандмауэром.
Доступ в серверные помещения должен быть заблокирован, по возможности с использованием СКД (система контроля доступа с ведением списка посещений) (для 3 класса
1)).
Следует предусмотреть защиту компьютеров с конфиденциальными данными от перехвата ван Эйка.
Следует предусмотреть защиту систем от электромагнитного импульса.
Доступ в серверные помещения должен быть заблокирован с использованием СКД. Крайне ограниченное число сотрудников могут входить туда (класс 4)
Здания должны быть под наблюдением службы безопасности круглосуточно (класс 4).
Доступ в серверные помещения должен фиксироваться на видео (класс 4).
Необходим план действий в чрезвычайных ситуациях, описывающий действия в случае отключения электроэнергии, кражи, пожара, затопления, взрыва, землетрясения (если необходимо) и т. д. (класс 3)
2. Транспортировка данных
Какова политика компании в отношение использования общественного, личного и служебного транспорта в плане транспортировки информации (бумаги, дискет, дисков, лент, компьютеров и т. д.)
3. Резервное копирование
Носители резервных копий должны храниться в закрытых сейфах или комнатах (класс 3).
Регулярные резервные копии (не реже одного раза в месяц) должны храниться вне офиса компании (класс 3).
Резервные копии должны транспортироваться с соблюдением мер предосторожности (как и при транспортировке ценностей) (класс 3).
4.Диски
Дискеты и съёмные диски, наряду с электронной почтой, часто являются источниками вирусов и незаконного ПО. Они также могут использоваться для незаконного копирования конфиденциальных данных. При стирании данных с дискеты нужно обеспечить их полное удаление (необходимо определить стандартное ПО). Устройства чтения дискет редко нужны если у пользователей есть сетевые принтеры, файловые сервера и электронная почта.
Съёмные жёсткие диски и дискеты должны использоваться только в случае крайней необходимости (класс 1).
Избегайте копирования данных на дискеты (класс 3).
От дискет следует отказаться кроме случая когда локальная сеть крайне незащищена. Съёмные диски могут быть более безопасными чем сервер, так как данные при этом хранятся локально. В этом случае диски должны храниться в закрытых сейфах (класс 3).
Конфиденциальные данные должны быть зашифрованы. Если сервер в сети считается ненадёжным, файлы можно обрабатывать локально, шифруя (например, DES) и затем сохраняя на сервере. Это предпочтительнее использования съёмных дисков, так как данные сервера регулярно резервируются. Риск потери данных минимизирован (кроме ситуации, когда ключ DES утрачен или забыт).
Запретите ремонт конфиденциальных дисков, они должны быть уничтожены или гарантированно затерты нулями или единицами. ПО, обеспечивающее такой результат, требует доступа к диску (класс 3).
Все диски должны быть проклассифицированы и уровень классификации должен быть указан на дисках (класс 3).
Следует предусмотреть защиту дисков от электромагнитного импульса.
5.Ноутбуки/переносные компьютеры
6.Принтеры
7.Компьютеры
Следует использовать пароли для входа в BIOS на ПК и рабочих станциях (класс 2).
При простое более 15 минут экраны должны автоматически отключаться и блокироваться паролем (класс 2).
Корпуса компьютеров должны по возможности закрываться (класс 3).
8."Чистый стол"
Правило «чистого стола», соблюдаемое ежедневно перед уходом сотрудника с рабочего места используется во многих компаниях. Оно обеспечивает защиту конфиденциальных данных от разглашения и обеспечивает периодический уход за своим рабочим местом. Конфиденциальная информация должна быть всегда надежно защищена.
См. также
Источник