Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Зоны доставки и погрузки/разгрузки
Меры и средства
Такие места доступа, как зоны доставки и погрузки/разгрузки и другие, где посторонние лица могут попасть в помещения, должны контролироваться и, при возможности, изолироваться от средств обработки информации во избежание несанкционированного доступа.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
– доступ к зоне доставки и
– зона доставки и погрузки/разгрузки не должна предоставлять персоналу поставщика при погрузке и разгрузке доступа к другим частям здания;
– должна быть обеспечена безопасность внешних дверей зоны доставки и погрузки/разгрузки в то время, когда внутренние двери открыты;
– поступающий материал должен быть проверен на наличие взрывчатки, химикатов и других вредных материалов прежде, чем будет вынесен из зоны доставки и погрузки/разгрузки;
– поступающий материал должен регистрироваться при въезде на площадку в соответствии с процедурами управления активами;
– по возможности, ввозимые и вывозимые грузы должны быть физически разделены;
– поступающий материал должен быть проверен на предмет фальсификации на маршруте. О выявлении такого факта необходимо немедленно доложить службе безопасности.
Управление физическим доступом
Меры и средства
Зоны безопасности должны быть защищены средствами контроля, обеспечивающими доступ только уполномоченного персонала.
Рекомендация по реализации
Следует принимать во внимание следующие рекомендации:
– дата и время входа и выхода посетителей должны регистрироваться, и всех посетителей необходимо сопровождать, за исключением случаев заблаговременного согласования;
доступ следует предоставлять только для выполнения определенных задач, а также необходимо инструктировать посетителей на предмет требований безопасности и действий в случае аварийных ситуаций;
идентификацию посетителей необходимо осуществлять надлежащим образом;
– доступ к зонам, где обрабатывается или хранится конфиденциальная информация, должен ограничиваться только уполномоченными лицами путем применения соответствующих средств контроля, например, механизма двухфакторной аутентификации, такого как карта доступа и секретный персональный идентификационный номер (PIN);
– необходимо вести и мониторить записи регистрации любого доступа в защищенном физическом и электронном контрольном журнале;
– необходимо требовать, чтобы все сотрудники, подрядчики и представители сторонних организаций носили ту или иную форму видимого идентификатора и незамедлительно уведомляли сотрудников службы безопасности о замеченных несопровождаемых посетителях и лицах, не носящих видимого идентификатора;
– доступ в зоны безопасности или к средствам обработки конфиденциальной информации персоналу служб поддержки сторонних организаций следует предоставлять только
– права доступа в зоны безопасности следует регулярно пересматривать, обновлять и аннулировать при необходимости.
Защита помещений и оборудования
Меры и средства
Физическая безопасность оффисов, помещений и оборудования должна быть спроектирована и внедрена.
Рекомендации по реализации
В отношении защиты оффисов, помещений и оборудования необходимо учитывать следующие рекомендации:
– ключевое оборудование должно быть расположено в местах, где ограничен доступ посторонних лиц;
– здания, по возможности, должны давать минимум информации об их предназначении, не должны иметь явных признаков снаружи и внутри, позволяющих установить наличие деятельности по обработке информации;
– оборудование должно иметь такую конфигурацию, чтобы исключить просматривание и прослушивание конфиденциальной информации в выходных данных; электромагнитное поле также надо рассмотреть соответствующим образом;
– справочники и внутренние телефонные книги, указывающие на местоположение средств обработки конфиденциальной информации, не должны быть доступными для посторонних лиц.
Защита от окружающей среды
Меры и средства
Физическая защита от стихийных бедствий, умышленных атак или общественных беспорядков должна быть спроектирована и внедрена.
Рекомендации по реализации
Следует проконсультироваться у специалиста по вопросу предотвращения ущерба от пожара, наводнения, землетрясения, взрыва, общественного беспорядка и других естественных и искусственных бедствий.
7.2. Безопасность оборудования
Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание деятельности организации.
Безопасность оборудования определяют следующие составляющие:
– размещение и защита оборудования;
– вспомогательное оборудование;
– кабельная безопасность;
– обслуживание оборудования.
– перемещение активов;
– безопасность активов вне территории организации;
– безопасное уничтожение активов;
– безопасность оборудования без присмотра;
– политика чистого рабочего стола и экрана.
Размещение и защита оборудования
Меры и средства
Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от внешних угроз и возможности несанкционированного доступа.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации для защиты оборудования: