Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович

– использование фото-, видео-, аудио– и другого записывающего оборудования, такого как камеры мобильных устройств, должно быть запрещено, если только на это не получено специальное разрешение.

Соглашения о работе в зонах безопасности включает контроль работы сотрудников и представителей сторонних организаций в зоне безопасности, охватывающий все действия в этой зоне.

Зоны доставки и погрузки/разгрузки

Меры и средства

Такие места доступа, как зоны доставки и погрузки/разгрузки и другие, где посторонние лица могут попасть в помещения, должны контролироваться и, при возможности, изолироваться от средств обработки информации во избежание несанкционированного доступа.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации:

– доступ к зоне доставки и погрузки/разгрузки из-вне здания должен быть ограничен только уполномоченным персоналом;

– зона доставки и погрузки/разгрузки не должна предоставлять персоналу поставщика при погрузке и разгрузке доступа к другим частям здания;

– должна быть обеспечена безопасность внешних дверей зоны доставки и погрузки/разгрузки в то время, когда внутренние двери открыты;

– поступающий материал должен быть проверен на наличие взрывчатки, химикатов и других вредных материалов прежде, чем будет вынесен из зоны доставки и погрузки/разгрузки;

– поступающий материал должен регистрироваться при въезде на площадку в соответствии с процедурами управления активами;

– по возможности, ввозимые и вывозимые грузы должны быть физически разделены;

– поступающий материал должен быть проверен на предмет фальсификации на маршруте. О выявлении такого факта необходимо немедленно доложить службе безопасности.

Управление физическим доступом

Меры и средства

Зоны безопасности должны быть защищены средствами контроля, обеспечивающими доступ только уполномоченного персонала.

Рекомендация по реализации

Следует принимать во внимание следующие рекомендации:

– дата и время входа и выхода посетителей должны регистрироваться, и всех посетителей необходимо сопровождать, за исключением случаев заблаговременного согласования;

доступ следует предоставлять только для выполнения определенных задач, а также необходимо инструктировать посетителей на предмет требований безопасности и действий в случае аварийных ситуаций;

идентификацию посетителей необходимо осуществлять надлежащим образом;

– доступ к зонам, где обрабатывается или хранится конфиденциальная информация, должен ограничиваться только уполномоченными лицами путем применения соответствующих средств контроля, например, механизма двухфакторной аутентификации, такого как карта доступа и секретный персональный идентификационный номер (PIN);

– необходимо вести и мониторить записи регистрации любого доступа в защищенном физическом и электронном контрольном журнале;

– необходимо требовать, чтобы все сотрудники, подрядчики и представители сторонних организаций носили ту или иную форму видимого идентификатора и незамедлительно уведомляли сотрудников службы безопасности о замеченных несопровождаемых посетителях и лицах, не носящих видимого идентификатора;

– доступ в зоны безопасности или к средствам обработки конфиденциальной информации персоналу служб поддержки сторонних организаций следует предоставлять только при необходимости; такой доступ должен быть санкционирован и мониториться;

– права доступа в зоны безопасности следует регулярно пересматривать, обновлять и аннулировать при необходимости.

Защита помещений и оборудования

Меры и средства

Физическая безопасность оффисов, помещений и оборудования должна быть спроектирована и внедрена.

Рекомендации по реализации

В отношении защиты оффисов, помещений и оборудования необходимо учитывать следующие рекомендации:

– ключевое оборудование должно быть расположено в местах, где ограничен доступ посторонних лиц;

– здания, по возможности, должны давать минимум информации об их предназначении, не должны иметь явных признаков снаружи и внутри, позволяющих установить наличие деятельности по обработке информации;

– оборудование должно иметь такую конфигурацию, чтобы исключить просматривание и прослушивание конфиденциальной информации в выходных данных; электромагнитное поле также надо рассмотреть соответствующим образом;

– справочники и внутренние телефонные книги, указывающие на местоположение средств обработки конфиденциальной информации, не должны быть доступными для посторонних лиц.

Защита от окружающей среды

Меры и средства

Физическая защита от стихийных бедствий, умышленных атак или общественных беспорядков должна быть спроектирована и внедрена.

Рекомендации по реализации

Следует проконсультироваться у специалиста по вопросу предотвращения ущерба от пожара, наводнения, землетрясения, взрыва, общественного беспорядка и других естественных и искусственных бедствий.

7.2. Безопасность оборудования

Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание деятельности организации.

Безопасность оборудования определяют следующие составляющие:

– размещение и защита оборудования;

– вспомогательное оборудование;

– кабельная безопасность;

– обслуживание оборудования.

– перемещение активов;

– безопасность активов вне территории организации;

– безопасное уничтожение активов;

– безопасность оборудования без присмотра;

– политика чистого рабочего стола и экрана.

Размещение и защита оборудования

Меры и средства

Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от внешних угроз и возможности несанкционированного доступа.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации для защиты оборудования:

– оборудование следует размещать таким образом, чтобы свести к минимуму доступ в рабочие зоны;

– средства обработки информации, содержащей чувствительные данные, следует размещать таким образом, чтобы уменьшить риск просмотра информации посторонними лицами во время их работы;

– средства хранения следует защищать от несанкционированного доступа;

– для снижения общего уровня требуемой защиты необходимо выделить элементы, требующие специальной защиты;

– меры защиты должны быть внедрены таким образом, чтобы свести к минимуму риск физических и экологических угроз, например, хищение, пожар, взрывы, задымление, затопление, запыление, вибрация, химическое воздействие, помехи в линиях электроснабжения и коммуникаций, электромагнитное излучение и вандализм;

– необходимо установить правила приема пищи, питья и курения вблизи средств обработки информации;

– следует проводить мониторинг состояния окружающей среды по выявлению неблагоприятных условий, таких как температура и влажность, для функционирования средств обработки информации;

– на всех зданиях должна быть установлена защита от молнии, а на входе всех линий электроснабжения и коммуникации – фильтры защиты от молнии;

– оборудование, расположенное в промышленной среде, следует защищать специальными средствами, такими как защитные пленки для клавиатуры;

– оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено от утечки информации из-за электромагнитного излучения.

Вспомогательное оборудование

Меры и средства

Оборудование должно быть защищено от сбоев электропитания и других нарушений, вызванных отказами в работе вспомогательного оборудования.

Рекомендации по реализации

Вспомогательное оборудование (например, связи, электро-, водо-, газоснабжения, канализации, вентиляции, кондиционирования) должно:

– соответствовать рекомендациям изготовителя оборудования и правовым требованиям;