Выполнение работ в охраняемых зонах

⇐ ПредыдущаяСтр 5 из 16Следующая ⇒

Для повышения степени защиты зон информационной безопасности могут потребоваться дополнительные меры по управлению информационной безопасностью и соответствующие руководства. Они должны включать мероприятия в отношении персонала или представителей третьих сторон, работающих в зоне безопасности и состоять в следующем:

- о существовании зоны информационной безопасности и проводимых в ней работах должны быть осведомлены только лица, которым это необходимо в силу производственной необходимости;

- из соображений безопасности и предотвращения возможности злонамеренных действий в охраняемых зонах необходимо избегать случаев работы без надлежащего контроля со стороны уполномоченного персонала;

- пустующие зоны безопасности должны быть физически закрыты, и их состояние необходимо периодически проверять;

- персоналу третьих сторон ограниченный авторизованный и контролируемый доступ в зоны безопасности или к средствам обработки важной информации следует предоставлять только на время такой необходимости. Между зонами с различными уровнями безопасности внутри периметра безопасности могут потребоваться дополнительные барьеры и периметры ограничения физического доступа;

- использование фото, видео, аудио или другого записывающего оборудования должно быть разрешено только при получении специального разрешения.

Изолирование зон приемки и отгрузки материальных ценностей

Зоны приемки и отгрузки материальных ценностей должны находиться под контролем и, по возможности, быть изолированы от средств обработки информации во избежание неавторизованного доступа. Требования безопасности для таких зон должны быть определены на основе оценки рисков. В этих случаях рекомендуется предусматривать следующие мероприятия:

- доступ к зоне складирования с внешней стороны здания должен быть разрешен только определенному и авторизованному персоналу;

- зона складирования должна быть организована так, чтобы поступающие материальные ценности могли быть разгружены без предоставления персоналу поставщика доступа к другим частям здания;

- должна быть обеспечена безопасность внешней(их) двери(ей) помещения для складирования, когда внутренняя дверь открыта;

- поступающие материальные ценности должны быть осмотрены на предмет потенциальных опасностей (7.2.1 г) прежде, чем они будут перемещены из помещения для складирования к местам использования;

- поступающие материальные ценности должны быть зарегистрированы, если это необходимо (5.1).

Безопасность оборудования

Цель: предотвращение потерь, повреждений или компрометаций активов и нарушения непрерывности деятельности организации.

Оборудование необходимо защищать от угроз его безопасности и воздействий окружающей среды.

Необходимо обеспечивать безопасность оборудования (включая и то, что используется вне организации), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. При этом необходимо принимать во внимание особенности, связанные с расположением оборудования и возможным его перемещением. Могут потребоваться специальные мероприятия защиты от опасных воздействий среды или неавторизованного доступа через инфраструктуры обеспечения, в частности, системы электропитания и кабельной разводки.

Расположение и защита оборудования

Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от воздействий окружающей среды и возможности неавторизованного доступа. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:

а) оборудование необходимо размещать таким образом, чтобы свести до минимума излишний доступ в места его расположения;

б) средства обработки и хранения важной информации следует размещать так, чтобы уменьшить риск несанкционированного наблюдения за их функционированием;

в) отдельные элементы оборудования, требующие специальной защиты, необходимо изолировать, чтобы повысить общий уровень необходимой защиты;

г) меры по управлению информационной безопасностью должны свести к минимуму риск потенциальных угроз, включая:

1) воровство;

2) пожар;

3) взрыв;

4) задымление;

5) затопление (или перебои в подаче воды);

6) пыль;

7) вибрацию;

8) химические эффекты;

9) помехи в электроснабжении;

10) электромагнитное излучение.

д) в организации необходимо определить порядок приема пищи, напитков и курения вблизи средств обработки информации;

е) следует проводить мониторинг состояния окружающей среды в целях выявления условий, которые могли бы неблагоприятно повлиять на функционирование средств обработки информации;

ж) следует использовать специальные средства защиты, оборудования, расположенного в производственных цехах, например, защитные пленки для клавиатуры;

з) необходимо разработать меры по ликвидации последствий бедствий, случающихся в близлежащих помещениях, например, пожар в соседнем здании, затопление в подвальных помещениях или протекание воды через крышу, взрыв на улице.

Подача электропитания

Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с электричеством. Необходимо обеспечивать надлежащую подачу электропитания, соответствующую спецификациям производителя оборудования.

Варианты достижения непрерывности подачи электропитания включают:

- наличие нескольких источников электропитания, чтобы избежать последствий при нарушении его подачи от единственного источника;

- устройства бесперебойного электропитания (UPS);

- резервный генератор.

Чтобы обеспечить безопасное выключение и/или непрерывное функционирование устройств, поддерживающих критические бизнес-процессы, рекомендуется подключать оборудование через UPS. В планах обеспечения непрерывности следует предусматривать действия, которые должны быть предприняты при отказе UPS. Оборудование UPS следует регулярно проверять на наличие адекватной мощности, а также тестировать в соответствии с рекомендациями производителя.

Резервный генератор следует применять, если необходимо обеспечить функционирование оборудования в случае длительного отказа подачи электроэнергии от общего источника. Резервные генераторы следует регулярно проверять в соответствии с инструкциями производителя. Для обеспечения работы генератора в течение длительного срока необходимо обеспечить соответствующую поставку топлива.

Кроме того, аварийные выключатели электропитания необходимо располагать около запасных выходов помещений, где расположено оборудование, чтобы ускорить отключение электропитания в случае критических ситуаций. Следует обеспечить работу аварийного освещения на случай отказа электропитания, потребляемого от сети. Все здания должны быть оснащены громоотводами, а все внешние линии связи оборудованы специальными грозозащитными фильтрами.

Безопасность кабельной сети

Силовые и телекоммуникационные кабельные сети, по которым передаются данные или осуществляются другие информационные услуги, необходимо защищать от перехвата информации или повреждения. Необходимо рассматривать следующие мероприятия:

а) силовые и телекоммуникационные линии, связывающие средства обработки информации, должны быть, по возможности, подземными или обладать адекватной альтернативной защитой;

б) сетевой кабель должен быть защищен от неавторизованных подключений или повреждения, например, посредством использования специального кожуха и/или выбора маршрутов прокладки кабеля в обход общедоступных участков;

в) силовые кабели должны быть отделены от коммуникационных, чтобы исключить помехи;

г) дополнительные мероприятия по управлению информационной безопасностью для чувствительных или критических систем включают:

1) использование бронированных кожухов, а также закрытых помещений/ящиков в промежуточных пунктах контроля и конечных точках;

2) использование дублирующих маршрутов прокладки кабеля или альтернативных способов передачи;

3) использование оптико-волоконных линий связи;

4) проверки на подключение неавторизованных устройств к кабельной сети.

⇐ Предыдущая 1 2 3 456 7 8 9 10 Следующая ⇒