Каждый год организации по всему миру тратят сотни миллиардов долларов на защиту критически важных цифровых инвестиций и обеспечение необходимой кибербезопасности, необходимой для их защиты от внешних киберугроз. Это, безусловно, необходимо и является одним из наиболее важных передовых методов, рекомендуемых для всех организаций. Однако элемент физической безопасности часто упускается из виду или недооценивается.
Физическая безопасность часто определяется как защита персонала, оборудования, программного обеспечения, сетей и данных от физических действий и событий, которые могут привести к серьезным потерям или ущербу для организации. Физическая охрана является жизненно важной деловой практикой, преследующей множество целей: предотвратить проникновение посторонних лиц в бизнес и причинение вреда; защитить интеллектуальную собственность от корпоративного шпионажа; смягчить насилие на рабочем месте. Сегодня организации должны рассматривать физическую безопасность в качестве основного элемента своей стратегии кибербезопасности. Успех программы физической безопасности организации часто можно объяснить тем, насколько хорошо реализован, улучшен и поддерживается каждый компонент.
Примите во внимание следующие советы, чтобы улучшить физическую безопасность организации
Установите периметры физической безопасности
Стены, которые действуют как барьеры, входные двери с карточным управлением и стойки регистрации с персоналом должны использоваться для защиты объектов организации. Это особенно важно для областей, которые содержат конфиденциальную информацию или информационные системы, используемые для обработки или управления этим типом информации. Для доступа к центрам обработки данных или другим зонам повышенного риска должен потребоваться дополнительный уровень запросов и разрешений на физический доступ, прежде чем доступ будет предоставлен. Информационные системы должны располагаться в помещениях с дверями и окнами, запирающимися при оставлении без присмотра. Следует также учитывать внешние защитные меры, особенно для офисов или других мест на уровне земли.
Обеспечьте наличие физического контроля входа
Безопасные зоны должны быть защищены соответствующими средствами контроля входа, чтобы гарантировать доступ только для уполномоченного персонала. Физический доступ к объектам, где находятся информационные системы, должен контролироваться с использованием систем сигнализации физического проникновения и оборудования наблюдения для обнаружения потенциальных инцидентов физической безопасности. Журналы физического доступа должны проверяться не реже одного раза в квартал, а также при выявлении потенциальных событий. Если выявлен инцидент физической безопасности, отчеты о реагировании на инциденты должны включать все предпринятые ответные действия. Видеокамеры или другие механизмы контроля доступа должны быть внедрены и защищены так, чтобы контролировать индивидуальный физический доступ к уязвимым зонам.
Внедрение защиты от внешних и экологических угроз
Для защиты организации должна быть реализована физическая защита от ущерба от пожаров, наводнений, землетрясений, взрывов, гражданских беспорядков и других форм экологических или техногенных катастроф. Руководители службы безопасности должны установить дымовые или тепловые пожарные извещатели и сигнализации, а соответствующие системы пожаротушения, такие как спринклеры, должны быть внедрены на всех объектах и в безопасных зонах, содержащих информационные системы. Устройства обнаружения воды или влаги должны быть расположены в подвесных потолках и внутри фальшполов для обнаружения утечек воды или возможного затопления. Информационные системы должны быть защищены от повреждений в результате утечек воды путем обеспечения установки, доступа и правильной работы главных запорных клапанов.
Обеспечить безопасное размещение и защиту оборудования
Информационные системы и устройства должны располагаться в безопасных зонах. Оборудование должно быть защищено так, чтобы снизить риски, связанные с угрозами и опасностями окружающей среды и уменьшить возможности несанкционированного доступа. Перед его установкой специалисты по безопасности предприятия должны провести оценку, чтобы убедиться, что вспомогательные инструменты способны поддерживать новую инфраструктуру или другие аппаратные устройства. Физический доступ должен быть ограничен беспроводными точками доступа, шлюзами, сетевым оборудованием, коммуникационным оборудованием и телекоммуникационными линиями.
Управление вспомогательными коммунальными услугами
Все вспомогательные коммуникации, такие как электричество, природный газ, водоснабжение, канализация, отопление, вентиляция и кондиционирование воздуха, должны соответствовать системам и персоналу, которых они обслуживают. Для этих коммунальных услуг требуется подходящее электропитание, отвечающее требованиям к мощности, установленным производителями оборудования. Для поддержки упорядоченного отключения оборудования, поддерживающего критически важные бизнес-операции, должен быть реализован источник бесперебойного питания. Аварийное освещение должно регулярно проверяться, чтобы гарантировать его правильную работу в случае отключения электроэнергии. Выключатели аварийного отключения питания должны быть расположены рядом с аварийными выходами в центрах обработки данных и аппаратных, чтобы обеспечить быстрое отключение питания в случае возникновения чрезвычайной ситуации.
Обеспечение безопасности силовых и телекоммуникационных кабелей
Силовые и телекоммуникационные кабели, используемые для поддержки информационных систем или передачи данных, должны быть защищены от перехвата, вмешательства или повреждения. Службы безопасности предприятия должны использовать четко идентифицируемую маркировку кабелей, чтобы свести к минимуму возможные ошибки при обращении, такие как случайное отключение или перемещение неправильных исправлений или сетевых кабелей. Физический доступ к линиям распределения и передачи информационных систем на объектах организации должен контролироваться. Потратьте время, необходимое для того, чтобы кабели были помечены и аккуратно организованы, чтобы предотвратить непреднамеренные ошибки. Краткосрочный проект по решению проблем с кабелями сегодня поможет предотвратить бесчисленные проблемы завтра.
Защитите информационные активы вне офиса
Компьютеры, периферийные устройства, документы, отчеты, программное обеспечение или другие информационные активы, принадлежащие организации, не должны выноситься за пределы офиса без предварительного разрешения. Специалисты по безопасности должны использовать полнодисковое шифрование на всех ноутбуках. Информационные активы остаются собственностью организации, даже если они находятся за пределами предприятия. Персонал должен быть обучен тому, что эти активы не должны использоваться членами семьи или друзьями. Такое несанкционированное использование может создавать не только технические риски, но и потенциальные риски для конфиденциальности данных, содержащихся на устройствах, из-за ненадлежащего просмотра информации неуполномоченными лицами. Весь персонал должен нести ответственность и быть подотчетным за все действия, выполняемые с информационными активами, которые им назначены.
Защита физических носителей при передаче
Носители, содержащие информацию, должны быть защищены от несанкционированного доступа, неправильного использования и повреждения во время транспортировки за пределы физических границ организации. Медиафайлы должны быть зашифрованы перед перемещением за пределы офиса. Следует вести полную инвентаризацию всех физических носителей, которые передаются за пределы организации. Если организация использует поставщика услуг удаленного архивирования или долгосрочного хранения, компания должна потребовать от поставщика периодически предоставлять инвентаризацию организационных носителей. Кроме того, средства контроля безопасности на объекте поставщика услуг должны проверяться не реже одного раза в год.
Руководители службы безопасности должны обеспечить разработку и последовательное внедрение всеобъемлющей программы физической безопасности в организации. Организации, которые этого не делают, могут упустить из виду ключевую функцию безопасности или оставить без внимания уязвимость физической безопасности. Разрабатывая комплексную программу физической безопасности, поддерживаемую всеми заинтересованными сторонами в организации, можно избежать основных ловушек физического контроля для обеспечения эффективной общей безопасности.
Автор перевода: Артем Карпенко
