Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Следует принимать во внимание следующие рекомендации:

– дата и время входа и выхода посетителей должны регистрироваться, и всех посетителей необходимо сопровождать, за исключением случаев заблаговременного согласования;

доступ следует предоставлять только для выполнения определенных задач, а также необходимо инструктировать посетителей на предмет требований безопасности и действий в случае аварийных ситуаций;

идентификацию посетителей необходимо осуществлять надлежащим образом;

– доступ к зонам, где обрабатывается или хранится конфиденциальная информация, должен ограничиваться только уполномоченными лицами путем применения соответствующих средств контроля, например, механизма двухфакторной аутентификации, такого как карта доступа и секретный персональный идентификационный номер (PIN);

– необходимо вести и мониторить записи регистрации любого доступа в защищенном физическом и электронном контрольном журнале;

– необходимо требовать, чтобы все сотрудники, подрядчики и представители сторонних организаций носили ту или иную форму видимого идентификатора и незамедлительно уведомляли сотрудников службы безопасности о замеченных несопровождаемых посетителях и лицах, не носящих видимого идентификатора;

– доступ в зоны безопасности или к средствам обработки конфиденциальной информации персоналу служб поддержки сторонних организаций следует предоставлять только при необходимости; такой доступ должен быть санкционирован и мониториться;

– права доступа в зоны безопасности следует регулярно пересматривать, обновлять и аннулировать при необходимости.

Защита помещений и оборудования

Меры и средства

Физическая безопасность оффисов, помещений и оборудования должна быть спроектирована и внедрена.

Рекомендации по реализации

В отношении защиты оффисов, помещений и оборудования необходимо учитывать следующие рекомендации:

– ключевое оборудование должно быть расположено в местах, где ограничен доступ посторонних лиц;

– здания, по возможности, должны давать минимум информации об их предназначении, не должны иметь явных признаков снаружи и внутри, позволяющих установить наличие деятельности по обработке информации;

– оборудование должно иметь такую конфигурацию, чтобы исключить просматривание и прослушивание конфиденциальной информации в выходных данных; электромагнитное поле также надо рассмотреть соответствующим образом;

– справочники и внутренние телефонные книги, указывающие на местоположение средств обработки конфиденциальной информации, не должны быть доступными для посторонних лиц.

Защита от окружающей среды

Меры и средства

Физическая защита от стихийных бедствий, умышленных атак или общественных беспорядков должна быть спроектирована и внедрена.

Рекомендации по реализации

Следует проконсультироваться у специалиста по вопросу предотвращения ущерба от пожара, наводнения, землетрясения, взрыва, общественного беспорядка и других естественных и искусственных бедствий.

7.2. Безопасность оборудования

Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание деятельности организации.

Безопасность оборудования определяют следующие составляющие:

– размещение и защита оборудования;

– вспомогательное оборудование;

– кабельная безопасность;

– обслуживание оборудования.

– перемещение активов;

– безопасность активов вне территории организации;

– безопасное уничтожение активов;

– безопасность оборудования без присмотра;

– политика чистого рабочего стола и экрана.

Размещение и защита оборудования

Меры и средства

Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от внешних угроз и возможности несанкционированного доступа.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации для защиты оборудования:

– оборудование следует размещать таким образом, чтобы свести к минимуму доступ в рабочие зоны;

– средства обработки информации, содержащей чувствительные данные, следует размещать таким образом, чтобы уменьшить риск просмотра информации посторонними лицами во время их работы;

– средства хранения следует защищать от несанкционированного доступа;

– для снижения общего уровня требуемой защиты необходимо выделить элементы, требующие специальной защиты;

– меры защиты должны быть внедрены таким образом, чтобы свести к минимуму риск физических и экологических угроз, например, хищение, пожар, взрывы, задымление, затопление, запыление, вибрация, химическое воздействие, помехи в линиях электроснабжения и коммуникаций, электромагнитное излучение и вандализм;

– необходимо установить правила приема пищи, питья и курения вблизи средств обработки информации;

– следует проводить мониторинг состояния окружающей среды по выявлению неблагоприятных условий, таких как температура и влажность, для функционирования средств обработки информации;