Правила физической безопасности касаются не
Правила физической безопасности касаются не только вопросов
оружия, охраны и пропускных пунктов. При разработке этих правил необходимо
также учитывать размещение оборудования, управление им, а также процедуры
восстановления после аварийных ситуаций. В этой главе мы обсудили, как
формулировать правила физической защиты инфраструктуры организации.
- 1. Размещение компьютеров и монтаж оборудования.
- Правилами монтажа оборудования необходимо определить
места расположения компьютеров и коммуникационного оборудования, а также
размещение оборудования внутри здания. В предписаниях этих правил следует
учесть возможность подключения оборудования к резервным источникам питания
и возможность работы с предприятиями коммунального хозяйства.
- При рассмотрении вопросов, связанных с замками и дверями,
необходимо учесть не только возможность физического проникновения или
взлома, но и защиту от пожаров и других бедствий. Эти правила могут
предписывать требования по использованию автоматически закрывающихся
дверей, а также окон.
- Правила обеспечения условий внутри рабочих помещений
касаются защиты от статического электричества и других физических факторов
окружающей среды, например, кондиционирования воздуха. В эти правила
можно включить требования по обеспечению стабилизированным питанием
серверов и других информационных активов.
- Правила инвентаризационного учета связаны с учетом информационных
активов путем маркирования оборудования информационных систем идентификационными
штрих-кодами, которые можно контролировать с помощью компьютеризированного
специального оборудования.
- 2. Средства управления физическим доступом к оборудованию.
- Создание средств управления доступом включает в себя
не только разработку правил физического доступа, но и регистрацию лиц,
имеющих право доступа, а также возможность проведения проверок.
- Правила физической защиты компьютеров и коммуникационных
систем определяют ограничение доступа к компьютерным средствам. Необходимо
запретить физический доступ пользователей в помещения с компьютерами
и серверами, а также ограничить доступ к резервным носителям и библиотекам
с документацией. Эти меры должны также предотвратить визуальное изучение
компьютерного оборудования посторонними лицами.
- Правила управления доступом посетителей могут включать
в себя требования по идентификации, регистрации, сопровождению, а также
требования по обеспечению независимой охраны мест, где содержится важная
информация. Что же касается всего оборудования и помещений, если правила
требуют использование идентификационных значков, то лица без таких значков
не должны пропускаться.
- 3. Планирование действий в экстремальных ситуациях.
- В правилах, предписывающих разработку планов реагирования
на аварийные ситуации, дЪлжны быть определены цели и задачи. Кроме того,
необходимо подчеркнуть, что приоритетом является безопасность служащих.
- Правила восстановления после аварий предписывают создание
и пересмотр планов, а также проведение аварийных работ, и включают обеспечение
условий для периодического контроля и обновления самих правил.
- Администрация должна быть оповещена в случае возникновения
сигналов тревоги. Правила предписывают, чтобы администрация оповещала
соответствующий персонал об аварийных отключениях и об ожидаемых отключениях.
Кроме того, правила должны предписывать возможность контакта в нерабочее
время с аварийными службами.
- 4. Общая безопасность компьютерных систем.
- Необходимо разработать процедуры, обеспечивающие гарантию
непрерывного функционирования важных информационных ресурсов.
- Гарантировать доступность системы путем ограничения
возможностей пользователей, задерживать или прерывать работу вспомогательных
систем, а также ввести правила контрольных замен.
- 5. Для предотвращения рисков в защите организации из-за
установки нестандартных аппаратных средств и программного обеспечения
можно ввести правило проведения периодических проверок конфигурации
системы и сети.
- 6. Кадровая политика обычно связана с учетом основных
технических должностей и инструктажем персонала. Другие правила, касающиеся
найма, проверки благонадежности и предоставления допусков к работе,
обычно относятся к правилам управления трудовыми ресурсами.
Содержание раздела