Katru gadu organizācijas visā pasaulē tērē simtiem miljardu eiro, lai aizsargātu kritiski svarīgus digitālos un IT resursus no kiberdraudiem. Tas ir absolūti nepieciešams un ir viena no būtiskākajām labākajām praksēm, kas ieteicama visām organizācijām. Tomēr fiziskās drošības elements ir viens no tiem, kas bieži vien tiek ignorēts vai nepietiekami aizsargāts.
Fiziskā drošība bieži tiek definēta kā personāla, iekārtu, programmatūras, tīklu un datu aizsardzība pret fiziskām darbībām un notikumiem, kas var radīt nopietnus zaudējumus vai kaitējumu organizācijai. Fiziskā drošība ir ļoti svarīga uzņēmējdarbības prakse, kurai ir vairāki mērķi: novērst to, ka uzņēmumā iekļūst nepiederošas personas un nodara kaitējumu, aizsargāt intelektuālo īpašumu no korporatīvās spiegošanas, mazināt vardarbību darbavietā un citas problēmas. Mūsdienās organizācijām fiziskā drošība ir jāvērtē reizē ar kiberdrošības stratēģiju. Organizācijas fiziskās drošības programmas panākumus bieži vien var saistīt ar to, cik labi ir ieviesta, uzlabota un uzturēta katra tās sastāvdaļa.
Izveidojiet fiziskās drošības perimetrus
Lai aizsargātu organizācijas telpas, jāizmanto sienas, kas darbojas kā barjeras, ar kartēm kontrolētas ieejas durvis un reģistratūras ar personālu (vai caurlaides punkti). Tas ir īpaši svarīgi zonās, kurās atrodas sensitīva informācija vai informācijas sistēmas, ko izmanto šāda veida informācijas apstrādei vai pārvaldībai. Piekļuvei datu centriem vai citām augsta riska zonām pirms piekļuves piešķiršanas būtu jāpieprasa papildu fiziskās piekļuves pieprasījumu un apstiprinājumu līmenis. Informācijas sistēmām jāatrodas telpās ar durvīm un logiem, kas tiek aizslēgtas, ja tās atstāj bez uzraudzības. Jāapsver arī ārējie aizsardzības pasākumi, jo īpaši attiecībā uz birojiem vai citām vietām, kas atrodas zemes līmenī. Jāatcerās, ka perimetrs ne tikai ir drošības veicinātājs, bet arī uzņēmuma un organizācijas vizītkarte. Vājš drošības perimetrs liecina par saimnieciskās kultūras trūkumu organizācijā.
Nodrošiniet fiziskas piekļuves kontroles pasākumus
Drošas zonas jāaizsargā ar atbilstošu piekļuves kontroli, lai nodrošinātu, ka piekļuve ir atļauta tikai autorizētam personālam. Fiziskā piekļuve telpām, kurās atrodas informācijas sistēmas, jāuzrauga, izmantojot apsardzes signalizāciju un videonovērošanu, lai atklātu iespējamus fiziskās drošības incidentus un Drošas zonas jāaizsargā ar atbilstošu piekļuves kontroli, lai nodrošinātu, ka piekļuve ir atļauta tikai autorizētam personālam. Ieteicams piekļuves kontroli digitalizēt un fiziskas atslēgas paturēt tikai kā rezerves variantu sensitīvajām telpām. Piekļuves kontroli gan nedrīkst pārspīlēt, jo tas gan sarežģī sistēmas pārvaldību, gan to krietni sadārdzina. Vismaz reizi ceturksnī jāpārskata piekļuves kontroles žurnāli (log files). Piekļuves kontroles žurnāli jāpārskata arī tad, ja pastāv aizdomas par potenciālu incidentu vai tad, ja tāds ir noticis.
Īstenojiet ārējo un vides apdraudējumu aizsardzību
Lai aizsargātu organizāciju, jāievieš fiziska aizsardzība pret ugunsgrēku, plūdu, ļaunprātīgu demolēšanu, vētru un citu vides vai cilvēku izraisītu katastrofu postījumiem. Kad šīs kontroles ir noteiktas, tās var izmantot, lai aizsargātu informācijas sistēmas un personālu. Drošības vadītājiem būtu jāuzstāda dūmu vai karstuma aktivizēti ugunsgrēka detektori un signalizācija, kā arī jāievieš atbilstošas ugunsdzēsības sistēmas, piemēram, sprinkleri. Telpās, kurās atrodas informācijas sistēmas nedrīkst izmantot sprinkleru sistēmas, tāpēc tiek rekomendētas gāzes vai putu dzēšanas sistēmas. Ūdens vai mitruma detektori būtu jāizvieto pazeminātajos (dubultajos) griestos un paaugstinātajās grīdās, lai konstatētu ūdens noplūdes vai iespējamus plūdus. Informācijas sistēmas būtu jāaizsargā no ūdens noplūdes radītiem bojājumiem, nodrošinot, ka ir uzstādīti, pieejami un pareizi darbojas galvenie noslēgvārsti. Tai skaitā mikroklimata detektorus ieteicams uzstādīt arī serveru telpās.
Nodrošiniet drošu iekārtu izvietojumu un aizsardzību
Informācijas sistēmām un ierīcēm jāatrodas drošās vietās. Iekārtas ir jāaizsargā, lai mazinātu vides apdraudējumu un briesmu risku, un jāaizsargā, lai samazinātu nesankcionētas piekļuves iespējas. Jāatceras, ka telpas ar informācijas sistēmām ir nepieciešams fiziski slēgt un, ja to logi ir pirmajā vai otrajā stāvā, tām nepieciešama arī apsardzes signalizācija. Fiziska piekļuve būtu jāierobežo bezvadu piekļuves punktiem, vārtejām, tīkla aparatūrai, sakaru aparatūrai un telekomunikāciju līnijām, tai skaitā apsardzes signalizācijas un citu drošības sistēmu skapjiem. Vairumā no tiem ražotājs jau ir paredzējis anti-tamper funkciju.
Atbalstiet komunālo pakalpojumu pārvaldību
Visām palīgkomunikācijām, piemēram, elektrībai, dabasgāzei, ūdensapgādei, kanalizācijai un apkures, ventilācijas un gaisa kondicionēšanas sistēmām (HVAC), jābūt atbilstošām sistēmām un personālam, kam tas paredzēts. Šiem komunālajiem pakalpojumiem ir nepieciešama piemērota elektroapgāde, kas atbilst iekārtu ražotāju noteiktajām prasībām attiecībā uz jaudu. Jāievieš nepārtrauktas barošanas avots (UPS), lai nodrošinātu iekārtu nepārtrauktu darbību vai kontrolētu izslēgšanu. Jāierīko un regulāri jāpārbauda avārijas apgaismojums, lai nodrošinātu tā pareizu darbību elektroenerģijas padeves pārtraukuma gadījumā. Datu centros un aprīkojuma telpās avārijas izslēgšanas slēdži būtu jāizvieto pie avārijas izejām, lai atvieglotu ātru strāvas padeves pārtraukšanu avārijas gadījumā.
Nodrošiniet strāvas un telekomunikāciju kabeļu drošību
Elektroapgādes un telekomunikāciju kabeļi, kas ir ierīkoti informācijas sistēmu atbalstam vai datu pārraidei, ir jāaizsargā pret pārtveršanu, traucējumiem vai bojājumiem. Uzņēmumu drošības komandām jāizmanto skaidri identificējami kabeļu marķējumi, lai samazinātu iespējamās remontdarbu kļūdas, piemēram, nepareizā savienojuma vai tīkla kabeļu atvienošanu vai pārvietošanu. Organizācijas telpās jākontrolē fiziska piekļuve informācijas sistēmu sadales un pārraides līnijām. Veltiet nepieciešamo laiku, lai nodrošinātu kabeļu marķēšanu un sakārtotu tos tā, lai novērstu netīšas kļūdas. Īstermiņa projekts kabeļu ierīkošanai šodien palīdzēs novērst neskaitāmas problēmas rīt.
Informācijas aktīvu aizsardzība, atrodoties ārpus uzņēmuma telpām
Datorus, perifērijas iekārtas, dokumentus, pārskatus, programmatūru vai citus organizācijai piederošus informācijas aktīvus nedrīkst pārvietot ārpus telpām bez iepriekšējas atļaujas. Drošības speciālistiem visos klēpjdatoros jāievieš pilna diska šifrēšana. Informācijas aktīvi paliek organizācijas īpašums pat tad, ja tie atrodas ārpus uzņēmuma telpām. Personāls ir jāapmāca, ka šos aktīvus nedrīkst izmantot ģimenes locekļi vai draugi. Šāda neatļauta izmantošana var radīt ne tikai tehniskus riskus, bet arī potenciālus riskus ierīcēs esošo datu konfidencialitātei, jo informāciju var neatļauti apskatīt nepiederošas personas. Visiem darbiniekiem ir jābūt atbildīgiem un jāuzņemas atbildība par visām darbībām, kas tiek veiktas ar viņiem piešķirtajiem informācijas resursiem.
Aizsargājiet fiziskos datu nesējus tranzīta laikā
Informāciju saturoši informācijas nesēji ir jāaizsargā pret nesankcionētu piekļuvi, ļaunprātīgu izmantošanu un bojāšanu, tos transportējot ārpus organizācijas fiziskajām robežām. Pirms pārvietošanas ārpus uzņēmuma telpām informācijas nesēji ir jāšifrē. Jāuztur pilnīgs visu ārpus organizācijas pārvietoto fizisko datu nesēju uzskaitījums.
Drošības vadītājiem būtu jānodrošina, ka tiek izstrādāta un konsekventi īstenota visaptveroša fiziskās drošības programma visā organizācijā. Organizācijas, kas to nedara, potenciāli var neievērot kādu būtisku drošības funkciju vai atstāt nenovērstu fiziskās drošības ievainojamību. Izstrādājot visaptverošu fiziskās drošības programmu, ko atbalsta visas organizācijas ieinteresētās personas, organizācijas var izvairīties no galvenajiem fiziskās drošības riskiem, lai nodrošinātu efektīvu vispārējo drošību. Un drošības kultūra nav tikai drošības, bet arī organizācijas vizītkarte.
