Ochrona fizyczna zasobów IT

Transkrypt

1 Ochrona fizyczna jest najstarszą, ale ciągle pewną metodą ochrony zasobów materialnych i informacyjnych. Stanowi pierwszą linię obrony instytucji przed zagrożeniami. Zgodnie z normą ISO jej celem jest zapobieganie nieuprawnionemu dostępowi, uszkodzeniom i ingerencji w pomieszczenia instytucji i jej informacje. Jeżeli w organizacji nie wdrożono podstawowych środków ochrony fizycznej, to nie można mówić o jakimkolwiek bezpieczeństwie. Organizacje, które kładą nacisk na ochronę teleinformatyczną zasobów IT, często nie doceniają mechanizmów ochrony fizycznej. Brak odpowiednich zabezpieczeń fizycznych może nieść za sobą katastrofalne skutki, począwszy od kradzieży sprzętu, komputerowych nośników informacji, czy też awarii zasilania lub systemu klimatyzacji. Brak zasobów, ich uszkodzenie, czy też ich niedostępność może zakłócić ciągłość funkcjonowania instytucji i realizacji przez nią zadań statutowych. Projektując system ochrony fizycznej zasobów IT należy kierować się wymaganiami biznesowymi, wymaganiami prawa i tzw. najlepszymi praktykami w tym zakresie. Można skorzystać z zaleceń zawartych w normie ISO 17799, a zwłaszcza w rozdziale Bezpieczeństwo fizyczne i środowiskowe. Punktem wyjścia do zbudowania skutecznego sytemu ochrony fizycznej zasobów IT jest przeprowadzenie analizy ryzyka. Poziom ochrony zasobów IT (sprzętu komputerowego, sprzętu sieciowego urządzeń aktywnych, sprzętu telekomunikacyjnego, okablowania, oprogramowania, komputerowych nośników informacji, licencji na oprogramowanie, dokumentacji technicznej, systemów zasilania i klimatyzacji, personelu IT, itp.) zależy od poziomu ryzyka związanego z materializacją zagrożeń. Skuteczny system ochrony fizycznej ma uniemożliwić dostęp osobom nieuprawnionym do elementów systemów i sieci teleinformatycznych. Podstawowa zasada jaka musi być uwzględniona przy projektowaniu systemu kontroli dostępu jest jasny i spójny podział obiektu na strefy zabezpieczające. Poprawnie wyznaczone strefy dostępu (właściwie zlokalizowane), odpowiednio zabezpieczone pomieszczenia oraz skuteczna kontrola dostępu (kontrola wejść i wyjść oraz przebywania) gwarantują realizację przyjętego w organizacji poziomu bezpieczeństwa zasobów IT. Strefy dostępu w zależności od sposobu ochrony można podzielić na: strefy ogólnodostępne, strefy z ograniczonym dostępem, strefy szczególnie chronione, strefy zastrzeżone. Następnie należy każdej ze stref przyporządkować odpowiednią klasę środków ochrony. Dojście do najbardziej chronionych stref i pomieszczeń powinno przebiegać przez więcej niż jeden punkt kontroli zależnie od ważności miejsca chronionego. Eliminuje się wtedy przypadkowe ominięcie pojedynczego punktu kontroli. Należy również do minimum ograniczyć ilość osób mających dostęp do kluczowych pomieszczeń. Dla większej skuteczności systemu kontroli dostępu wskazane jest zainstalowanie centralnego systemu kontroli dostępu, a nie pojedynczych urządzeń (czytników sterujących poszczególnymi bramkami, czy też drzwiami) oraz specjalizowane oprogramowanie do analizy zdarzeń z narzędziami pozwalającymi wychwycić nieautoryzowany dostęp do kluczowych miejsc w organizacji. Aby system ochrony fizycznej spełniał swoje zadania środki ochrony (mechanizmy zabezpieczające) muszą być kompleksowe, komplementarne (wzajemnie się uzupełniać), ra 1 / 5

2 cjonalne (zaakceptowane przez użytkowników) i efektywne (koszt zabezpieczeń, nie może przekraczać wartości chronionych zasobów) oraz obejmować wszystkie rodzaje zabezpieczeń, począwszy od zabezpieczeń organizacyjnych (często lekceważonych), poprzez zabezpieczenia budowlane, mechaniczne, elektroniczne, a skończywszy na ochronie fizycznej (czynnej). Ważne jest również zagwarantowanie optymalnych warunków pracy dla sprzętu elektronicznego stąd zalecana jest instalacja klimatyzacji oraz zapewnienie awaryjnego zasilania. Przystępując do budowy systemu ochrony fizycznej zasobów IT powinniśmy odpowiedzieć sobie na następujące pytania: CO CHRONIMY?, PRZED CZYM CHRONIMY?, W JAKI SPOSÓB CHRONIMY? Z JAKIM SKUTKIEM CHRONIMY? Analiza ryzyka powinna obejmować analizę wartości zasobów IT (chronimy tylko zasoby wartościowe, słabo zabezpieczone, zagrożone), analizę zagrożeń (powinniśmy brać pod uwagę tylko zagrożenia realne, a nie hipotetyczne), analizę podatności (słabości zasobów) oraz analizę aktualnego stanu zabezpieczenia zasobów IT (zabezpieczenia organizacyjne i techniczne). Następnie na podstawie wyników analizy ryzyka powinniśmy dobrać zabezpieczenia tak, aby zminimalizować ryzyko związane z wykorzystaniem podatności przez zagrożenia. Ryzyko, które pozostaje po wprowadzeniu zabezpieczeń nazywamy ryzykiem szczątkowym. Zaprojektowane zabezpieczenia należy ująć w planie zabezpieczeń (planie ochrony zasobów IT) oraz opracować harmonogram ich wdrożenia. Polska norma, PN-93 E-08390/14 Systemy alarmowe Wymagania ogólne Zasady stosowania, wyróżnia ze względu na stopień zagrożenia osób i wartość szkód, cztery kategorie zagrożonych wartości Zn, od Z1 do Z4, odpowiadające różnym poziomom ryzyka występującym w dozorowanych obiektach. Do oceny skuteczności zabezpieczenia określonej kategorii zagrożonej wartości norma ustala trzy poziomy bezpieczeństwa (niższy, normalny, wyższy) chronionych zasobów i przyporządkowuje im odpowiedniej klasy środki elektroniczne wspomagające ochronę fizyczną, w postaci stosownej klasy system ów alarmowych SAn (systemów sygnalizacji włamania i napadu), od SA1 do SA4. Do szacowania wartości wymiernej mienia (chronionych zasobów) można posłużyć się wielokrotnością współczynnika N 2 / 5

3 , definiowanego jako średni roczny dochód pracownika w pięciu podstawowych działach gospodarki (publikowany przez GUS). Na potrzeby niniejszego artykułu przyjęto cztery poziomy ryzyka (niskie,średnie,wysokie,bardzo wysokie) i odpowiadające mu cztery kategorie zagrożonej wartości Zn (od Z1 do Z4) oraz cztery klasy środków ochrony: zabezpieczenia pierwszego typu (budowlano-mechaniczne BM1, elektroniczne E1, ochrony fizycznej OF1) - klasa popularna, zabezpieczenia drugiego typu (BM2, E2, OF2) - klasa standardowa, zabezpieczenia trzeciego typu (BM3, E3, OF3) - klasa certyfikowana i zabezpieczenia czwartego typu (BM4, E4, OF4) - klasa specjalna. Po dokonaniu klasyfikacji zasobów IT można je przyporządkować do określonej kategorii zagrożonej wartości i w prosty sposób dobrać adekwatne do poziomu zagrożenia (poziomu ryzyka) stosowne zabezpieczenia, pierwszego, drugiego, trzeciego lub czwartego typu, w postaci odpowiednich zabezpieczeń czynnych osobowych OFn (od OF1 do OF4) i zabezpieczeń biernych: budowlano-mechanicznych BMn (od BM1 do BM4) oraz elektronicznych En (od E1 do E4). Środki ochrony fizycznej (czynnej) obejmują: dozorców, portierów, recepcjonistów, wartowników, patrole interwencyjne, pracowników ochrony fizycznej pierwszego i drugiego stopnia, SUFO (specjalizowane uzbrojone formacje ochronne) odpowiednio do klasy środków ochrony (typu 1, 2, 3 lub 4). Środki ochrony budowlano-mechaniczne obejmują: ogrodzenia, bramy, ściany, stropy, drzwi, okna, szyby, zamki, kłódki, kraty, żaluzje, rolety, kasety, sejfy, szafy metalowe do przechowywania wartości, szafy ognioodporne do przechowywania komputerowych nośników informacji, odpowiednio do klasy środków ochrony (typu 1, 2, 3 lub 4). Środki ochrony elektronicznej obejmują: systemy sygnalizacji włamania i napadu, systemy kontroli dostępu, systemy telewizji dozorowej, systemy sygnalizacji pożarowej, dźwiękowe systemy ostrzegawcze, odpowiednio do klasy środków ochrony (typu 1, 2, 3 lub 4). Projektując system ochrony fizycznej nie należy zapominać o ochronie przeciwpożarowej zas obów IT. Należy pamiętać, aby zabezpieczyć obiekt, lub co najmniej kluczowe pomieszczenia czujkami systemu sygnalizacji pożarowej oraz systemem gaśniczym, np. serwerownie, centrale telefoniczne, pomieszczenia, w których przechowuje się kopie zapasowe danych, pomieszczenia, w których zlokalizowano sprzęt telekomunikacyjny urządzenia aktywne, szafy dystrybucyjne, urządzenia awaryjnego zasilania (centralny UPS, agregat prądotwórczy). Ochrona przeciwpożarowa nie wchodzi w skład ochrony fizycznej. Regulują ją, m. in. przepisy: Ustawy z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej, Rozporządzenie MSWiA z dnia 21 kwietnia 2006 r. w sprawie ochrony przeciwpożarowej budynków, innych obiektów 3 / 5

4 budowlanych i terenów oraz Rozporządzenie MI z dnia 12 kwietnia 2002 r. w sprawie warunków technicznych, jakim powinny odpowiadać budynki i ich usytuowanie. Ważnym aspektem ochrony fizycznej jest system przepustek (identyfikatorów) lub inny system uprawniający do wejścia, przebywania i wyjścia ze stref dostępu, zasady przyznawania i odbierania uprawnień do przebywania w strefach dostępu oraz okresowa kontrola uprawnień. W ten sposób możemy mieć pewność, że uprawnienia dostępu w systemie mają tylko upoważnione osoby. Bardzo przydatne są tu systemy telewizji dozorowej wraz z chronioną rejestracją obrazu. Cyfrowe rejestratory obrazu zapewniają długi czas nagrań i mogą zostać użyte do celów dowodowych w przypadku incydentu. Nie należy zapominać o wdrożeniu procedur organizacyjnych obejmujących: eskortowanie gości, zamykanie drzwi i okien w pomieszczeniach, zarządzanie kluczami do pomieszczeń (szczelny system przechowywania kluczy do pomieszczeń chronionych użytku bieżącego i zapasowych), nadzór nad pracą personelu pomocniczego, zwłaszcza sprzątaniem pomieszczeń i pracą personelu serwisowego, przechowywanie kopii zapasowych w zabezpieczonych pomieszczeniach (jak najbardziej odległych w pionie i poziomie od miejsc ich wytworzenia) w specjalnych szafach ognioodpornych służących do przechowywania komputerowych nośników informacji, aktualną dokumentację techniczną (zasilanie, okablowanie, sprzęt, oprogramowanie, plany awaryjne i plany ciągłości działania). Najsłabszym ogniwem każdego systemu bezpieczeństwa jest czynnik ludzki. Należy o nim pamiętać już na etapie rekrutacji i zatrudniania personelu IT (należy zatrudniać właściwych ludzi, sprawdzać ich referencje z poprzednich miejsc pracy, szkolić personel IT z procedur bezpieczeństwa, ciągle podnosić jego świadomość, rozdzielać kluczowe obowiązki pomiędzy dwóch pracowników zgodnie z zasadą dwóch par oczu ). Wszyscy pracownicy IT powinni podpisać stosowne zobowiązania o poufności, a z kluczowymi pracownikami IT należy podpisać umowy o zakazie konkurencji. Reasumując, zaprojektowanie skutecznego sytemu ochrony zasobów IT wymaga zastosowania właściwej metodyki obejmującej następujące działania: - klasyfikacja zasobów IT (analiza wartości zasobów), - analiza zagrożeń, - analiza podatności, - analiza aktualnego stanu bezpieczeństwa, - ustalenie wymaganego poziomu ochrony zasobów IT, - określenie kategorii zagrożonej wartości, - ustalenie klas środków ochrony, - opracowanie planu zabezpieczeń (planu ochrony zasobów IT), - wdrożenie zabezpieczeń, - monitorowanie zabezpieczeń, - doskonalenie systemu zabezpieczeń. 4 / 5

5 5 / 5