Резюме
Правила физической безопасности касаются не только вопросов оружия, охраны и пропускных пунктов. При разработке этих правил необходимо также учитывать размещение оборудования, управление им, а также процедуры восстановления после аварийных ситуаций. В этой главе мы обсудили, как формулировать правила физической защиты инфраструктуры организации.
- Размещение компьютеров и монтаж оборудования.
- Правилами монтажа оборудования необходимо определить места расположения компьютеров и коммуникационного оборудования, а также размещение оборудования внутри здания. В предписаниях этих правил следует учесть возможность подключения оборудования к резервным источникам питания и возможность работы с предприятиями коммунального хозяйства.
- При рассмотрении вопросов, связанных с замками и дверями, необходимо учесть не только возможность физического проникновения или взлома, но и защиту от пожаров и других бедствий. Эти правила могут предписывать требования по использованию автоматически закрывающихся дверей, а также окон.
- Правила обеспечения условий внутри рабочих помещений касаются защиты от статического электричества и других физических факторов окружающей среды, например, кондиционирования воздуха. В эти правила можно включить требования по обеспечению стабилизированным питанием серверов и других информационных активов.
- Правила инвентаризационного учета связаны с учетом информационных активов путем маркирования оборудования информационных систем идентификационными штрих-кодами, которые можно контролировать с помощью компьютеризированного специального оборудования.
- Средства управления физическим доступом к оборудованию.
- Создание средств управления доступом включает в себя не только разработку правил физического доступа, но и регистрацию лиц, имеющих право доступа, а также возможность проведения проверок.
- Правила физической защиты компьютеров и коммуникационных систем определяют ограничение доступа к компьютерным средствам. Необходимо запретить физический доступ пользователей в помещения с компьютерами и серверами, а также ограничить доступ к резервным носителям и библиотекам с документацией. Эти меры должны также предотвратить визуальное изучение компьютерного оборудования посторонними лицами.
- Правила управления доступом посетителей могут включать в себя требования по идентификации, регистрации, сопровождению, а также требования по обеспечению независимой охраны мест, где содержится важная информация. Что же касается всего оборудования и помещений, если правила требуют использование идентификационных значков, то лица без таких значков не должны пропускаться.
- Планирование действий в экстремальных ситуациях.
- В правилах, предписывающих разработку планов реагирования на аварийные ситуации, должны быть определены цели и задачи. Кроме того, необходимо подчеркнуть, что приоритетом является безопасность служащих.
- Правила восстановления после аварий предписывают создание и пересмотр планов, а также проведение аварийных работ, и включают обеспечение условий для периодического контроля и обновления самих правил.
- Администрация должна быть оповещена в случае возникновения сигналов тревоги. Правила предписывают, чтобы администрация оповещала соответствующий персонал об аварийных отключениях и об ожидаемых отключениях. Кроме того, правила должны предписывать возможность контакта в нерабочее время с аварийными службами.
- Общая безопасность компьютерных систем.
- Необходимо разработать процедуры, обеспечивающие гарантию непрерывного функционирования важных информационных ресурсов.
- Гарантировать доступность системы путем ограничения возможностей пользователей, задерживать или прерывать работу вспомогательных систем, а также ввести правила контрольных замен.
- Для предотвращения рисков в защите организации из-за установки нестандартных аппаратных средств и программного обеспечения можно ввести правило проведения периодических проверок конфигурации системы и сети.
- Кадровая политика обычно связана с учетом основных технических должностей и инструктажем персонала. Другие правила, касающиеся найма, проверки благонадежности и предоставления допусков к работе, обычно относятся к правилам управления трудовыми ресурсами.