Средства управления доступом
Чтобы лишние люди не могли попасть в помещение, можно построить стены и перегородки, но теперь нужно определить, кому разрешено входить в это помещение? Для того чтобы учесть в правилах безопасности все аспекты, касающиеся доступа, в них необходимо включить положения, касающиеся управления доступом, а также регистрации тех, кто имел доступ к информационным средствам. Те, кто пока не понимают, как эти положения правил дополняют друг друга, пусть попробуют перед разработкой правил монтажа оборудования написать правила доступа к оборудованию.
Создание средств управления доступом
Сотрудничая с компаниями различных размеров, включая
правительственных подрядчиков, автору приходилось сталкиваться с всевозможными
мерами, ограничивающими доступ в здания, компьютерные помещения и к шкафам
с оборудованием. Чаще всего используют систему, основанную на идентификации
специальных значков с фотографией пользователя и нанесенным на значки
кодом, соответствующим предоставленному владельцу значка допуску или его статусу в организации, который соответствует его допуску. Чаще всего эти значки имеют магнитные полосы или другие метки, считываемые электронными устройствами.
Для небольших организаций такой тип управления доступом может быть и не обязателен. Однако это не означает, что вообще ничего не нужно предпринимать. В конце концов, вряд ли вам понравится, если кто-то зайдет к вам на узел и что-нибудь испортит. Следует помнить, что средства управления доступом устанавливаются для того, чтобы не допустить того, кому не положено, в запрещенные для них места. Так что независимо от размеров организации не стоит игнорировать разработку таких правил.
Независимо от наличия соответствующего правила, в организации необходимо регистрировать тех, кто имел доступ к оборудованию организации. Для этого служат и специальные пропуски в отдельные офисы, где можно получить доступ к компьютерам, используемым рядовыми служащими, или получить доступ к вспомогательному оборудованию типа кабельного хозяйства и коммуникационного оборудования. Если есть возможность физического доступа посторонних людей к коммуникационному оборудованию, то следует опасаться, что кто-то установит "жучки" или какое-нибудь другое прослушивающее устройство. В таком случае вся сеть будет скомпрометирована.
Правила доступа и промышленный шпионаж
О случаях промышленного шпионажа мы слышим ежедневно. Независимо от того,
занимаются ли этим крупные корпорации, мелкие "выскочки", или
даже правительственное шпионское ведомство, промышленный шпионаж представляет
собой попытку одной компании (или страны) похитить информационные активы
другой. Существует масса способов хищения информации. Один из методов
заключается в полунении доступа к сети и серверам, где хранится интересующая
информация. Идея разработки правил управления доступом состоит в том,
чтобы не допустить к информационным активам тех, кто занимается шпионажем.
Для этого персонал, обеспечивающий безопасность компании, должен знать,
кому разрешен доступ.
Одним из требований может быть проверка протоколов управления доступом, включая проверку журналов, в которых записываются те, кто посещал охраняемые зоны. Следует отметить, что это стандартные требования для тех, кто работает над секретными проектами федерального правительства. В любом случае в правила управления доступом должна быть включена четкая формулировка, требующая вести такие журналы и протоколы.
Управление доступом к оборудованию должно обеспечиваться автоматической идентификацией сотрудников, которая предусматривает процедуры добавления или исключения персонала из баз данных или списков. Эти процедуры должны быть контролируемые. Более того, должны храниться записи о том, кому дозволен доступ в каждую зону, где установлено определенное оборудование, а также журналы, по которым можно идентифицировать каждого, кто входил и выходил из охраняемой зоны.
Следует обратить внимание, что в этой простой формулировке правил не определены никакие технологии или процедуры. Таким образом, остается свобода выбора необходимых процедур. Если вопросами управления доступом в организации занимается отдел кадров, чтобы наделить его соответствующими полномочиями, можно дополнить формулировку:
...что касается разрешения доступа к оборудованию. Процедуры для управления доступом должны быть определены отделом кадров...
Что делать, когда ответственный работник, который занимался управлением доступом, подал заявление на увольнение? Естественно, вы захотите ограничить его или ее право доступа, но до какой степени? В некоторых компаниях уволившимся служащим позволено прийти в свой офис, чтобы забрать личные вещи. В других - для этого требуются сопровождающие и, в случае, если дело касается зон, требующих правительственного допуска, может даже потребоваться вооруженная охрана. Независимо от конкретной ситуации в вашей организации, в правилах должны быть учтены подобные моменты, касающиеся доступа. Следует учесть, что отдел кадров мог бы также заниматься этими вопросами, поэтому необходимо поработать с ними для включения в документ правил безопасности приемлемой для них формулировки.
Ограничение доступа к компьютерному оборудованию
Обсуждая общие проблемы управления доступом с системными администраторами, всякий раз убеждаешься, что они крайне неохотно уступают управление физическим доступом к "их" системам кому-то другому. Такой подход к распределению ответственности, конечно, приветствуется (см. главу 2 "Определение целей политики"), но иногда он откровенно мешает. Системные администраторы являются ключевым звеном в этом процессе, но иногда лучше, чтобы существовал не зависимый от них процесс управления физическим доступом.
Определение правил физической безопасности для компьютерных и коммуникационных систем требует такого же внимательного подхода, как и при разработке правил физической безопасности для любого другого оборудования. Однако по причине того, что управление этими системами отличается от управления оборудованием общего назначения, есть смысл для этих систем разработать отдельные правила.
При разработке правил физической безопасности для компьютерного оборудования необходимо продумать три основных вопроса.
- 1. Тип общего доступа к компьютерному оборудованию. Было бы разумно запретить общий доступ.
- 2. Определить право доступа к хранилищам, где хранятся магнитные ленты, дополнительные диски и важная документация.
- 3. Установить для помещений, где размещены компьютеры и серверы, статус помещений особого режима, и ограничить доступ в них посетителей. В отличие от тех времен, когда компаниям нравилось удивлять людей своими мощными вычислительными системами, компьютерами и серверами, сейчас этим трудно кого-то потрясти. Не допуская посторонних людей в серверные помещения, можно ограничить визуальный доступ к потенциальным слабостям конфигурации.
Даже если в вашем машинном зале стоят накопители на магнитной ленте, обрабатывающие ежедневно мегабайты данных, не стоит прельщаться их демонстрацией или предоставлять физический доступ в машинный зал кому-либо — более важно обезопасить главные информационные активы.
Посетители
В каждой организации периодически бывают посетители. Независимо от того, пришел посетитель на встречу или он представляет обслуживающий персонал — в любом случае необходимо разработать правила, регламентирующие поведение посетителей. Общей концепцией для такого рода правил является требование точной идентификации посетителя и его регистрация. В процессе регистрации можно потребовать от посетителя, чтобы он ознакомился с правилами и положениями компании и всегда находился с сопровождающим.
Что же касается вопросов открытого посещения, то следует помнить, что не в каждой организации работают сотни служащих и имеются контракты с федеральным правительством, и поэтому до заключения контрактов требуется разработать многие из этих правил. Однако разработка продуманных правил посещения будет полезна в любой организации. Довольно неразумно позволять посетителям свободно перемещаться по помещениям организации. Возможно, стоит включить в правила формулировку с требованием к служащим не пускать в помещение никого, кто не имеет соответствующего разрешения.
Наличие правил посещения организации представляет собой попытку исключить потенциальную возможность промышленного шпионажа. Следует понимать, что посетитель может пойти на любые шаги, чтобы добиться преимуществ в конкурентной борьбе. Это в равной степени относится как к небольшой компании, так и к правительственной организации. Ниже следует пример формулировки правил посещения организации.
От посетителя необходимо потребовать точной идентификации своей персоны, чтобы войти в любое помещение компании. После того, как посетителю будет разрешено войти, служащий компании должен сопровождать посетителя в течение всего времени его пребывания на территории компании.