Przed utratą danych z sytemu teleinformatycznego nie uchroni samo zastosowanie oprogramowania antywirusowego czy firewalla, konieczne jest również zapewnienie fizycznego bezpieczeństwa infrastruktury teleinformatycznej. Zastrzeżone dane można bowiem zdobyć nie tylko włamując się zdalnie do systemu czy podsłuchując podczas transmisji, ale wykraść je z obiektu, np. z niezabezpieczonego laptopa czy nośnika danych.

Fizyczna ochrona sprzętu powinna przeciwdziałać zagrożeniu nie tylko przed nieuprawnionym dostępem do zasobów, ale również chronić przed czynnikami środowiskowym oraz zakłóceniami zasilania, które mogłyby negatywnie wpłynąć na poprawne funkcjonowanie systemu.

Główne zagrożenia, na które może być narażony system teleinformatyczny, to:

• nieuprawniony dostęp,
• zakłócenia zasilania,
• zagrożenia środowiskowe: wysoka temp., wilgotność, pył, dym, pożar.

Z przeprowadzonych badań i analiz jednoznacznie wynika, że nadzorujący pracę centrów danych są bezpośrednio odpowiedzialni za 60% ich przestojów powstałych na skutek różnych wypadków i błędów. Obecność ludzi jest oczywiście niezbędna do funkcjonowania centrum danych, lecz możliwe jest zminimalizowanie ryzyka przestojów poprzez zastosowanie systemu kontroli dostępu personelu oraz monitoringu obiektów. Stanowią one kluczowe elementy zarządzania ryzykiem, nawet wówczas gdy zagrożenie kradzieżą sprzętu czy działaniami umyślnymi jest niewielkie. Najważniejszym krokiem, mającym na celu zapewnienie wymaganego poziomu bezpieczeństwa, jest stworzenie polityki ochrony, w której powinny być określone metody zarządzania oraz procedury niezbędne do osiągnięcia odpowiedniego poziomu bezpieczeństwa informacji. Powinna ona obejmować bezpieczeństwo fizyczne i przesyłania oraz przetwarzania informacji. Wytyczne dotyczące zasad polityki bezpieczeństwa określa norma PN-ISO/IEC 17799:2003 Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji. Współczesne organizacje jednak nie zawsze dostatecznie dbają o bezpieczeństwo swoich danych oraz zapewnienie poprawnych warunków dla funkcjonowania systemu teleinformatycznego. Główną przyczyną jest nie tylko brak odpowiedniej świadomości dotyczącej potrzeby zabezpieczenia fizycznego infrastruktury teleinformatycznej, lecz często niestety zwyczajne zaniechanie czy wręcz niedbalstwo.

Rodzaje zabezpieczeń fizycznych

Na zabezpieczenia fizyczne infrastruktury teleinformatycznej składają się następujące elementy:

• kontrola dostępu, ochrona przeciwwłamaniowa i przeciwpożarowa,
• systemy gwarantowanego zasilania,
• systemy chłodzenia i klimatyzacji,
• zabezpieczenia organizacyjno-administracyjne,
• ochrona przed elektromagnetyczną emisją ujawniającą.

Fizyczna ochrona sprzętu powinna przeciwdziałać nie tylko zagrożeniu nieupoważnionym dostępem do informacji, ale również niebezpiecznym czynnikom środowiskowym, które mogłyby negatywnie wpłynąć na działanie urządzeń.

Istotne jest, aby w polityce bezpieczeństwa uwzględnić nie tylko urządzenia IT znajdujące się w obiekcie. Musi ona objąć cały obszar obejmujący elementy infrastruktury fizycznej, których zakłócenie działania mogłoby spowodować przestój. Przykładem takich urządzeń mogą być elementy składowe systemu zasilania, które mogą zostać przypadkowo lub umyślnie wyłączone.

Kontrola dostępu - obszary bezpieczne

Ochrona fizyczna urządzeń służących do przetwarzania informacji powinna rozpocząć się od wydzielenia obszarów bezpiecznych. Zastosowanie takich samych zabezpieczeń dla całego obiektu jest w większości przypadków nieekonomiczne, niepożądane i niewygodne. W przypadku każdego obszaru, który ma być chroniony, należy przeprowadzić analizę wymagań w zakresie zabezpieczeń w oparciu o to, co się w nim znajduje i kto potrzebuje do niego dostępu. Następnie należy stworzyć bariery fizyczne otaczające pomieszczenia firmy. Kolejne bariery tworzą kolejne obwody zabezpieczające, mogą to być:

• ściana, drzwi, zamki w drzwiach,
• ogrodzenie dookoła budynku wraz bramą wejściową,
• systemy monitoringu,
• pracownicy ochrony, recepcja,
• specjalistyczne systemy dostępowe.

Osoby znajdujące się w obszarach zabezpieczonych powinny być nadzorowane poprzez systemy monitoringu, a czas ich wejścia oraz wyjścia do ww. obszarów rejestrowany. W dużych organizacjach wskazane jest używanie przez pracowników specjalnych identyfikatorów. Bezpieczeństwo chronionych pomieszczeń można zapewnić przez zastosowanie zamków na karty magnetyczne lub czytniki biometryczne. Dążąc do stałej poprawy bezpieczeństwa warto prowadzić statystyki i analizy: zapisywać informacje zarówno o udanych, jak i nieudanych przypadkach naruszenia dostępu. Polityka bezpieczeństwa musi bezwzględnie zapewniać aktualizację praw dostępu do obszarów bezpiecznych. Niezwykle ważne jest także zapewnienie monitorowania wszystkich kluczowych pomieszczeń czy urządzeń należących do warstwy infrastruktury fizycznej.