Dodatak F - Fizička zaštita

Svrha

Svrha politike fizičke zaštite informacijskog sustava je preventivnim metodama osigurati zaštitu sustava ZEMRIS od namjernih ili slučajnih destruktivnih radnji.

Politikom fizičke zaštite želi se:

  • spriječiti neovlašteni pristup,
  • spriječiti ometanje poslovnih prostorija,
  • spriječiti nepotreban pristup korisnika osjetljivoj opremi,
  • osigurati zaštita opreme od prirodnih utjecaja,
  • osigurati sigurnost instalacija,
  • osigurati održavanje opreme.

Područje fizičke zaštite

Da bi se osigurala fizička zaštita informacijskog sustava ZEMRIS, odgovorna osoba dužna je implementirati sljedeće točke sigurnosti:

  • potrebno je jasno definirati i dokumentirati tko je ovlašten pristupiti pojedinim prostorijama pod fizičkom zaštitom,
  • kontrolnim mehanizmima potrebno je spriječiti svaki pokušaj neovlaštenog pristupa; ulazi u prostorije zavoda koje sadrže poslužitelje, medije za pohranu podataka i ostale osjetljive resurse potrebno je zaštititi metodama kontrole ulaska (kartice, ključ i sl.),
  • vrata na ulazima u zaštićena područja moraju biti otporna na požare, poplave i probijanja,
  • ulazi u prostorije koje sadrže osjetljivu opremu moraju biti jasno označeni,
  • svi kontrolni mehanizmi moraju biti periodički pregledavani kako bi se na vrijeme uočili nedostaci zaštite ili pokušaji neovlaštenog pristupa.

Sigurnost opreme

Svrha uspostave sigurnosti opreme je spriječiti gubitke, štetu ili kompromitiranje imovine i prekid poslovnih aktivnosti.

Oprema treba biti zaštićena od prijetnji i opasnosti iz okoline. Zaštita opreme je neophodna kako bi se smanjio rizik neovlaštenog pristupa podacima, te kako ne bi došlo do gubljenja i oštećenja imovine.

3.1 Smještaj i zaštita opreme

Sljedeće smjernice treba uzeti u obzir pri fizičkoj zaštiti opreme:

  • oprema mora biti smještena tako da je nepotrebni pristup opremi minimalan,
  • jedinice za obradu podataka moraju biti smještene tako da je smanjena mogućnost promatranja neovlaštenim korisnicima (primjer: postavljanje monitora pod takvim kutom da samo osoba za računalom vidi sliku),
  • kontrole je potrebno implementirati tako da minimaliziraju rizik od potencijalnih prijetnji; primjer: krađa, požar, dim, voda, vibracije, radijacije itd.,
  • zabranjeno je jesti, piti, pušiti u blizini opreme,
  • uvjeti okružja (temperatura, vlaga) koji mogu utjecati na rad jedinica za obradu informacija trebaju biti definirane od strane odgovorne osobe te strogo nadzirane.

3.2 Sigurnost instalacija

Jedinice za obradu podataka moraju biti zaštićene od grešaka koje mogu nastati u opskrbi energijom, vodom, odvodnjom otpadnih voda, grijanjem/hlađenjem itd. Sve navedene instalacije moraju biti pravovremeno pregledane i testirane kako bi se na vrijeme uočile i ispravile greške u radu.

Nestanak struje, poplavu, požar ili bilo koju drugu prijetnju bitno je alarmirati zvučnim i svjetlosnim signalima kako bi se pravovremeno poduzele propisane akcije u slučaju nezgode. Opskrba vodom mora biti redovito kontrolirana kako ispravnost uređaja za gašenje požara ne bi bila upitna. Telekomunikacijska oprema mora biti instalirana na način da eventualan prekid veze ne utječe na kompletan prekid komunikacije. Primjer rješenja ovog problema je priključenje komunikacijskih uređaja na više poslužitelja.

3.3 Sigurnost kod kabliranja

Kablovi za opskrbu električnom energijom i telekomunikacijski kabeli moraju biti adekvatno zaštićeni od oštećenja, prekida ili priključenja neovlaštenih korisnika na mrežu.

Prije kabliranja mora biti razmotreno sljedeće:

  • kabeli za napajanje jedinica za obradu podataka, ukoliko je moguće, moraju biti položeni podzemno; alternativa je adekvatna fizička zaštita,
  • isto vrijedi i za telekomunikacijske kabele,
  • kabeli za napajanje moraju biti razdvojeni od telekomunikacijskih kako bi se izbjeglo međudjelovanje,
  • označavanje kabela posebnim identifikacijskim oznakama spriječiti će greške u spajanju; oznake je potrebno dokumentirati.

Održavanje opreme

Održavanje opreme treba biti redovito i obavljeno od strane stručnjaka kako bi se osigurala ispravnost, tj. neprekidan rad.

Pri održavanju opreme treba se pridržavati sljedećeg:

  • održavanje opreme mora biti u skladu s preporukama proizvođača, u određenim vremenskim intervalima i po zadanim specifikacijama,
  • samo ovlaštene osobe smiju servisirati opremu,
  • prije servisiranja opreme potrebno je implementirati odgovarajuće sigurnosne kontrole ukoliko za tim postoji potreba, te je potrebno obrisati povjerljive informacije (potrebe za ovakvim mjerama nastaju ukoliko servisiranje izvršava vanjski partneri ili treća strana),
  • pristup opremi od strane vanjskih partnera treba biti strogo kontroliran i dokumentiran,
  • pristup opremi od strane vanjskih partnera treba biti ograničen ugovorom.