Средства управления доступом
Ограничение доступа к компьютерному оборудованию
Обсуждая общие проблемы управления доступом с системными администраторами, всякий раз убеждаешься, что они крайне неохотно уступают управление физическим доступом к "их" системам кому-то другому. Такой подход к распределению ответственности, конечно, приветствуется (см. главу 2 "Определение целей политики"), но иногда он откровенно мешает. Системные администраторы являются ключевым звеном в этом процессе, но иногда лучше, чтобы существовал не зависимый от них процесс управления физическим доступом.
Определение правил физической безопасности для компьютерных и коммуникационных систем требует такого же внимательного подхода, как и при разработке правил физической безопасности для любого другого оборудования. Однако по причине того, что управление этими системами отличается от управления оборудованием общего назначения, есть смысл для этих систем разработать отдельные правила.
При разработке правил физической безопасности для компьютерного оборудования необходимо продумать три основных вопроса.
- Тип общего доступа к компьютерному оборудованию. Было бы разумно запретить общий доступ.
- Определить право доступа к хранилищам, где хранятся магнитные ленты, дополнительные диски и важная документация.
- Установить для помещений, где размещены компьютеры и серверы, статус помещений особого режима, и ограничить доступ в них посетителей. В отличие от тех времен, когда компаниям нравилось удивлять людей своими мощными вычислительными системами, компьютерами и серверами, сейчас этим трудно кого-то потрясти. Не допуская посторонних людей в серверные помещения, можно ограничить визуальный доступ к потенциальным слабостям конфигурации.
Даже если в вашем машинном зале стоят накопители на магнитной ленте, обрабатывающие ежедневно мегабайты данных, не стоит прельщаться их демонстрацией или предоставлять физический доступ в машинный зал кому-либо – более важно обезопасить главные информационные активы.
Посетители
В каждой организации периодически бывают посетители. Независимо от того, пришел посетитель на встречу или он представляет обслуживающий персонал – в любом случае необходимо разработать правила, регламентирующие поведение посетителей. Общей концепцией для такого рода правил является требование точной идентификации посетителя и его регистрация. В процессе регистрации можно потребовать от посетителя, чтобы он ознакомился с правилами и положениями компании и всегда находился с сопровождающим.
Что же касается вопросов открытого посещения, то следует помнить, что не в каждой организации работают сотни служащих и имеются контракты с федеральным правительством, и поэтому до заключения контрактов требуется разработать многие из этих правил. Однако разработка продуманных правил посещения будет полезна в любой организации. Довольно неразумно позволять посетителям свободно перемещаться по помещениям организации. Возможно, стоит включить в правила формулировку с требованием к служащим не пускать в помещение никого, кто не имеет соответствующего разрешения.
Наличие правил посещения организации представляет собой попытку исключить потенциальную возможность промышленного шпионажа. Следует понимать, что посетитель может пойти на любые шаги, чтобы добиться преимуществ в конкурентной борьбе. Это в равной степени относится как к небольшой компании, так и к правительственной организации. Ниже следует пример формулировки правил посещения организации.
От посетителя необходимо потребовать точной идентификации своей персоны, чтобы войти в любое помещение компании. После того, как посетителю будет разрешено войти, служащий компании должен сопровождать посетителя в течение всего времени его пребывания на территории компании.