Fizička zaštita i zaštita od okoline

Cilj – spriječiti neovlašteni pristup, štetu i ometanje poslovnih prostorija i informacija.

Kritične i osjetljive poslovne objekte za obradu informacija treba postaviti u sigurnom području, zaštićene prema klasifikaciji (osjetljivost i i važnosti objekta koji se štiti). Fizička zaštita područja sastoji se od ograđivanja (najčešće zidovima i protuprovalnim-protupožarnim vratima) i kontrolom pristupa (ući mogu samo ovlaštene osobe, snimanje prostorija itd.).

Područje fizičke zaštite

Sigurnosne barijere poput zidova ili karticom kontrolirani ulazi u prostorije trebaju služiti za zaštitu onih dijelova organizacije koji sadrže povjerljive informacije i objekte.

Sljedeće smjernice moraju biti razmotrene i po potrebi implementirane gdje postoji potreba za fizičkom zaštitom:

  • sigurnosna područja moraju biti strogo označena; jačina i opseg zaštite ovisi o procjeni rizika, vrijednosti i osjetljivosti imovine koje to područje sadrži,
  • kontrolnim mehanizmima potrebno je spriječiti svaki pokušaj neovlaštenog pristupa,
  • vrata na ulazima u zaštićena područja moraju biti otporna na požare, poplave, probijanja itd.,
  • svi ulazi u zaštićena područja trebaju biti nadgledana i snimana pomoću kamera,
  • glavni ulazi u sigurnosna područja moraju imati čuvara koji kontrolira tko ulazi, što se unosi te je po potrebi spreman intervenirati,
  • svi kontroli mehanizmi moraju biti periodički pregledavani kako bi se na vrijeme uočili nedostaci zaštite ili pokušaji neovlaštenog pristupa itd.

Fizička kontrola ulaska

Sigurnosna područja moraju biti zaštićena odgovarajućim kontrolama ulaska kako bi se osiguralo da mogućnost ulaska imaju samo ovlaštene osobe.

Potrebno je proučiti sljedeće smjernice:

  • datum i vrijeme ulaska te odlazak osobe mora biti zabilježen,
  • sve aktivnosti korisnika moraju biti nadgledane, osim ukoliko posebnim odrednicama nije drugačije definirano,
  • pristup sigurnosnim područjima trebaju imati samo ovlaštene osobe čiji rad ovisi o opremi i informacijama iz tog područja,
  • pristup područjima treba biti definiran prema područjima, a ne prema „klasifikaciji“ zaposlenika,
  • svi zaposlenici, poslovni partneri i treća strana trebaju nositi prepoznatljivu odjeću; ukoliko se pojavi netko bez takve odjeće potrebno je odmah alarmirati odgovorne za sigurnost,
  • prava pristupa trebaju biti periodički pregledavana i ažurirana.

Sigurnost opreme

Cilj – spriječiti gubitke, štetu ili kompromitiranje imovine i prekid poslovnih aktivnosti.

Oprema treba biti zaštićena od prijetnji i opasnosti iz okoline. Zaštita opreme je neophodna kako bi se smanjio rizik neovlaštenog pristupa podacima, te kako ne bi došlo do gubljenja i oštećenja imovine.

Smještaj i zaštita opreme

Sljedeće smjernice treba uzeti u obzir pri zaštiti opreme:

  • oprema mora biti smještena tako da je nepotrebni pristup opremi minimalan,
  • jedinice za obradu podataka moraju biti smještene tako da je smanjena mogućnost promatranja neovlaštenim korisnicima (na primjer, postavljanje monitora pod takvim kutom da samo osoba za računalom vidi sliku),
  • kontrole je potrebno implementira tako da minimaliziraju rizik od potencijalnih prijetnji; primjer: krađa, požar, dim, voda, vibracije, radijacije itd.,
  • da li je dopušteno jesti, piti, pušiti u blizini opreme,
  • uvjeti okružja (temperatura, vlaga) koji mogu utjecati na rad jedinica za obradu informacija trebaju biti nadzirane.

Sigurnost instalacija

Jedinice za obradu podataka moraju biti zaštićene od grešaka koje mogu nastati u opskrbi energijom, vodom, odvodnjom otpadnih voda, grijanjem/hlađenjem itd. Sve navedene instalacije moraju biti pravovremeno pregledane i testirane kako bi se na vrijeme uočile i ispravile greške u radu.

Jedinice za neprestano napajanje (UPS – eng. uninterruptible power supply) neophodne su u slučaju nestanka struje. Takve jedinice vremenski vrlo kratko mogu napajati jedinice za obradu podataka, pogotovo ukoliko je sustav velik. Stoga je važno razmotriti ugradnju strujnih generatora čija je mogućnost napajanja daleka veća od običnih jedinica za neprestano napajanje.

Nestanak struje, poplavu, požar ili bilo koju drugu prijetnju bitno je alarmirati zvučnim i svjetlosnim signalima kako bi se pravovremeno poduzele propisane akcije u slučaju nezgode. Opskrba vodom mora biti redovito kontrolirana kako ispravnost uređaja za gašenje požara ne bi bila upitna. Telekomunikacijska oprema mora biti instalirana na način da eventualan prekid veze ne utječe na kompletan prekid komunikacije. Primjer rješenja ovog problema je priključenje komunikacijskih uređaja na više poslužitelja.

Sigurnost kod kabliranja

Kablovi za opskrbu električnom energijom i telekomunikacijski kabeli moraju biti adekvatno zaštićeni od oštećenja, prekida ili priključenja neovlaštenih korisnika na mrežu.

Prije kabliranja mora biti razmotreno sljedeće:

  • kabeli za napajanje jedinica za obradu podataka, ukoliko je moguće, moraju biti položeni podzemno; alternativa je adekvatna fizička zaštita,
  • isto vrijedi i za telekomunikacijske kabele,
  • kabeli za napajanje moraju biti razdvojeni od telekomunikacijskih kako bi se izbjeglo međudjelovanje,
  • označavanje kabela posebnim identifikacijskim oznakama spriječiti će greške u spajanju; oznake je potrebno dokumentirati.

Održavanje opreme

Održavanje opreme treba biti redovito i obavljeno od strane stručnjaka kako bi se osigurala ispravnost, tj. neprekidni rad.

Pri održavanju opreme treba se pridržavati sljedećeg:

  • održavanje opreme mora biti u skladu s preporukama proizvođača, u određenim vremenskim intervalima i po zadanim specifikacijama,
  • samo ovlaštene osobe smiju servisirati opremu,
  • prije servisiranja opreme potrebno je implementirati odgovarajuće sigurnosne kontrole ukoliko za tim postoji potreba, te je potrebno obrisati povjerljive informacije (potrebe za ovakvi mjerama nastaju ukoliko servisiranje izvršava vanjski partneri ili treća strana).

Primjena norme u sigurnosnoj politici

Zbog velikog broja ljudi koji koriste resurse zavoda i relativno lakog pristupa pojedinca prostorijama zavoda politika fizičke zaštite ovdje je vrlo bitna. Kako bi se spriječile nezakonite radnje zlonamjernih korisnika, ali i slučajne pogreške zaposlenika ili studenata, pristup prostorijama koje sadržavaju osjetljivu opremu (poslužitelji, baze podataka i sl.) mora bit strogo kontroliran. Nužno je omogućiti pristup isključivo ovlaštenim osobama koji za pristupom imaju potrebu zbog prirode obavljanja posla. Svim ostalim korisnicima pristup mora biti strogo zabranjen. Osim prostorija velika pažnja mora se posvetiti sigurnosti kabela. Svi kablovi (napajanje, komunikacijski i sl.) moraju biti fizički zaštićeni i odvojeni od neovlaštenih korisnika. Svu opremu koju fizički nije moguće smjestiti u „sigurne“ prostorije mora biti zaštićena od neovlaštenih korisnika na način da se postavi u sigurnosne ormariće. Posebnu pažnju treba posvetiti održavanju opreme, te kontroliranju da li postoji naznake zlonamjernih radnji – oštećenje, krađa, mijenjanje opreme i sl.