Размещение компьютеров и монтаж оборудования
Двадцать лет назад подготовка к размещению компьютеров означала, что находилось помещение с мощным основанием, устанавливались съемные панели фальшпола, подводилось силовое электропитание, устанавливался кондиционер, а также через стены и потолки пропускались кабели. Нагромождение проводов в офисе было обычным делом. Реконструированные шкафы для хранения инвентаря использовались в качестве кроссовых шкафов. Машинные залы были тесными, с неудобными подходами и плохо спроектированными. На двери был замок, так что только уполномоченный персонал мог туда входить. В принципе, компьютерные системы рассматривались как некие идолы, с которыми общались и приносили им жертвоприношения только жрецы информации.
Во время написания этой главы автор вспоминал также опасности,
которые подстерегали всех, кто имел дело с компьютерами, вызванные плохим
выбором места расположения машинных залов и распределительных щитов. Один
из редакторов издательства рассказывал, что он работал в серверном зале,
который находился в двух метрах от водопровода. Другая проблема заключалась в том. что кондиционирование воздуха для этой комнаты было отделено от кондиционирования остальной части здания, и вентиляционная отдушина была предназначена для выхлопа дизельных генераторов, запускающихся в случае непредвиденных ситуаций с электропитанием. Редактор вспомнил, что кто-то даже чуть не умер от ядовитых выхлопных газов, не желая покидать свой пост. Это говорит о том, что кроме сценариев атаки, физическая безопасность должна рассматривать много других ситуаций, которые могли бы повлиять на функционирование систем или сетей.
Революционное наступление персональных компьютеров и бурный рост сетевых систем изменили положение дел. Оборудование стали устанавливать в помещениях со встроенными в стены кабелями, с соединительными разъемами, введенными за пределы офиса. Сетевое оборудование устанавливают в специально спроектированных помещениях или "шкафах", а для серверов выделяется отдельное помещение внутри офиса. Но при таком серьезном подходе к компьютеризации, тем не менее никто особо не ломает голову при выборе места для размещения компьютерных центров. Их размещение в здании рассматривается скорее с точки зрения удобств, а не безопасности.
Многие, прочитав этот раздел, скажут, что это все должно быть и так очень просто и понятно. Нельзя не согласиться с такой оценкой. Но, к сожалению, автору приходилось сталкиваться со случаями, когда важные информационные системы устанавливались в помещениях со стеклянными стенами, с единственным источником электропитания, а также с ненадежными замками и дверями. В таких помещениях важные информационные системы могут легко стать объектом физических атак или аварийных ситуаций.
Монтаж оборудования
Физически оборудование будет защищено наилучшим образом в том случае, если организация сама создает новое оборудование или приобретает оборудование, которое может быть модифицировано при установке. Организация может спроектировать распределительные щиты, помещения для серверов и оптимальную схему коммуникаций и расширений, что упростит монтаж оборудования для информационного обслуживания. Даже если организация переживает пока не лучшие времена, в правилах безопасности должна быть предусмотрена установка такого оборудования.
Правила, регламентирующие монтаж оборудования, должны быть простыми и общедоступными. Во-первых, нужно изучить существующее оборудование. Где следует разместить компьютеры, серверы и коммуникационное оборудование? Это надо определить в неспецифических терминах. Например, рассмотрим формулировку правил компании, которая запускает большую вычислительную систему в крупном городе. Главный компьютер этой системы размещен на 10 этаже за несколькими надежно закрывающимися дверями, помещение имеет фальшпол, высокие потолки, лампы дневного света и два пожарных выхода. Эта компания могла бы иметь правила безопасности, предписания которых выражены следующими словами.
Помещение для компьютеров должно иметь достаточную площадь и быть расположено на любом этаже, кроме первого, с несколькими дверями и иметь несколько пожарных выходов.
Заметьте, что в этой формулировке не говорится о фальшполах, высоких потолках и освещении. Эти элементы, несмотря на их важность, можно назвать деталями реализации и описывать их в правилах безопасности вовсе не обязательно. Таким образом, если фальшпол больше не потребуется или появятся новые типы ламп, которые работают лучше старых, не нужно будет делать изменения в правилах.
Язык документов политики
безопасности
Очень важно, каким языком написаны правила безопасности, не менее важно,
чем при написании этой книги.
Язык, особенно языковой стиль, используемый при составлении формулировок
правил, может сказать много о документе, а также о том, как в организации
относятся к правилам информационной безопасности.
Можно допустить и ложное толкование документа. Если язык чересчур формален
или многословен, то может возникнуть мнение, что правила написаны для
них как бы свысока. Если же язык чересчур неформален, то служащие могут
и не воспринять эти правила серьезно.Поэтому, здесь нужно искать золотую
середину.
В этой книге представлены формулировки правил, написанные простым языком,
но формальным стилем. Формулировки составлены без использования модных
словечек или жаргона. Формальность связана с тенденцией использовать в
формулировках правил повелительные безличные наклонения (в английском
варианте слова "shall" и "shall not"). Те, кто работают
с федеральным правительством, отметят, что этот стиль похож на стиль,
который используется в заявках на : торгах (RFP — Request For Proposals)
или в рабочих предписаниях (SOW — statement of work).
Стоит отметить, что в формулировке задается размер помещения без указания конкретных размеров. Выражением "помещения должны иметь достаточные размеры" правило предписывает, чтобы эти помещения для компьютеров были подходящими. Тонкость этого момента заключается в том, что требования этих правил будут гарантировать, что при проектировании новых площадей офиса будет достаточно серьезно учтено обеспечение необходимыми помещениями информационных систем.
Одним из вопросов, которые необходимо учесть при разработке правил монтажа оборудования, является доступность к резервным источникам электропитания и доступ к ресурсам, предоставляемым предприятиями коммунального хозяйства. Под резервными источниками электропитания подразумевается все,. начиная от энергетической компании, обеспечивающей электроэнергией от отдельных энергетических систем, до источников бесперебойного питания (UPS— uninterruptible power supply), которые снабжают компьютеры электроэнергией аккумуляторов, предоставляя администратору время для отключения систем и выполнения всех подготовительных для отключения питания операций. Сложности начинаются при разработке правил, в которые включены требования по электроэнергии. Правила должны отражать физические и экономические реалии, и в то же время определять, что необходимо делать, чтобы обезопасить бизнес-процесс. Например, банк может затребовать полное резервирование электрообеспечения систем, которые обеспечивают автоматическое функционирование банкоматов, но - ограниченное резервирование для систем, которые поддерживают работу этих банкоматов только в рабочее время. Правило могло бы быть следующим:
Компьютерное оборудование нужно размещать в помещениях, в которых имеется несколько дверей и пожарных выходов с полами жесткой конструкции, и в которых предусмотрен доступ к резервным источникам электропитания.
Замки и перегородки
Когда автор говорил представителям организаций о таких простых вещах, как двери и замки, в ответ, обычно, раздавался дружный смех. Чаще всего двери, замки и другие запорные приспособления не принимаются в расчет при монтаже оборудования. Однако, если вы собираетесь написать правила, гарантирующие, сохранность информационных активов в защищенных помещениях, не забудьте упомянуть в них о дверях и других запорных приспособлениях. Ненадежные двери могут оказаться слабым звеном в программе физической безопасности. Так что необходимо позаботиться, чтобы двери и другие запорные приспособления были неприступны для атаки (взлома).
При рассмотрении этих вопросов станет понятно, что надежность дверей по важности стоит на втором месте после управления доступом. Огнестойкие двери и перегородки могут предотвратить или снизить вероятность нанесения ущерба. Пожар вне комнаты не попадет внутрь, а пожар внутри помещения будет оставаться внутри и, возможно, будет ликвидирован не распространившись. Эти двери должны быть герметичными, стоит даже подумать об автоматически закрывающихся дверях, потому что они по-прежнему считаются надежным заслоном в случае пожара. В правилах нужно не только упомянуть о пользе использования дверей такого типа, но необходимо также включить формулировку, в которой говорится, что эти двери не должны быть постоянно открыты.
Обеспечение условий в помещении
Когда автору довелось помогать одной организации в определении ее политики безопасности, он поинтересовался у руководителей, что они думают об условиях, созданных в помещении и средствах управления ими. Главный менеджер с удивлением поинтересовался, разве им еще необходимо что-то иметь, кроме кондиционеров. Осмотрев их помещение, автор увидел большие антистатические ковры возле серверов и начал спрашивать о составе атмосферы внутри помещения.
Каждая составляющая, определяющая условия в помещении, должна определяться правилами. Знание того, что необходимо делать для управления уровнем статического электричества в помещении, поддержки надлежащей влажности (главного виновника проблемы статического электричества), температуры и состава воздуха, поможет снять эти проблемы вместо того, чтобы их игнорировать. Формулировка правил может быть довольно проста.
Помещения, в которых размещены серверы, должны быть снабжены средствами поддержания в помещении такой температуры и влажности воздуха, чтобы исключить влияние статического электричества.
Обеспечение стабилизированным питанием, преобразование напряжения и фильтрация, даже потребляемые каждым компонентом информационной системы токи, не обязательно имеют отношение к условиям в помещении. Тем не менее, поскольку мы рассматриваем поддержание определенных условий в помещении, а требования к электропитанию являются необходимым условием внедрения информационных систем, к тому же не нашли отражения в других правилах, вопросы обеспечения стабилизированным питанием можно включить в этот раздел.
Инвентаризационный учет
Кто может сказать, что должно находиться в помещении для серверов? Должна ли находиться в этом кросс-шкафу телефонная линия? Все, что имеет в своем хозяйстве организация, и где предполагается это разместить, определяется инвентаризационным учетом. Руководствуясь при монтаже оборудования инвентаризационным перечнем, можно быть уверенным, что в помещении не будет установлен какой-нибудь не тот компьютер или коммуникационное устройство.
В правилах инвентаризационного учета должно быть записано, что необходимо составить номенклатуру оборудования с указанием места его размещения. Маркировать оборудование можно с помощью металлических ярлыков или ярлыков из другого прочного материала. Имеет смысл отметить в правилах, что использовать следует ярлыки, которые можно было бы считывать с помощью электронного оборудования, что-нибудь вроде штрих-кодов или встроенных электронных инвентаризационных меток вроде тех, которые используются для предотвращения краж в универсальных магазинах. Эти технологии можно использовать вместе с компьютеризированным оборудованием, обеспечивающим точный учет аппаратных средств и программного обеспечения, что очень важно при проведении инвентаризации информационных активов.