Bezpieczeństwo fizyczne centrum danych

Bezpieczeństwo fizyczne infrastruktury to, według jednej z definicji, „zastosowanie fizycznych przeszkód i procedur kontroli, jako sposobów ochrony przed zagrożeniami dla zasobów i informacji wrażliwej”. Jeżeli dostatecznie nie zadbamy o kontrolę przed nieupoważnionym dostępem oraz nie wyposażymy obiektu w systemy ochrony przeciwpożarowej, nie można mówić o zagwarantowaniu bezpieczeństwa systemu teleinformatycznego i zgromadzonych w nim danych.

Systemy kontroli dostępu oraz monitoringu obiektów stanowią kluczowy element zarządzania ryzykiem, nawet wówczas, gdy zagrożenie kradzieżą sprzętu czy działaniami umyślnymi nie jest określane jako duże. Jednym z głównych i największych zagrożeń nie tylko dla ludzi i sprzętu w budynku, lecz również dla danych zgromadzonych na znajdujących się tam nośnikach, jest zagrożenie wystąpieniem pożaru.Pierwszym krokiem, mającym na celu zapewnienie wymaganego poziomu bezpieczeństwa powinno być opracowanie polityki ochrony, w której określa się zasady związane z przesyłaniem oraz przetwarzania informacji, a także procedury na temat bezpieczeństwa fizycznego. Na pierwszej linii straży nad

zapewnieniem bezpieczeństwa stoją bowiem pracownicy, którzy powinni działać zgodnie z obowiązującymi instrukcjami i procedurami, gdyż ich nieprzestrzeganie może okazać się bardzo kosztowne dla organizacji. Skuteczność procedur dotyczących zabezpieczeń organizacyjno -administracyjnych wymaga ich wysokiej znajomości przez personel. Aby pracownicy posiadali wiedzę w tej materii, konieczne jest przeprowadzenie odpowiednich szkoleń, szczególnie w aspekcie przeciwdziałania utracie danych gromadzonych w systemach teleinformatycznych.

Zobacz również:

Na zabezpieczenia organizacyjno-administracyjne składają się takie elementy, jak procedury zabezpieczeń w organizacji, instrukcje określające szczegółowo zakres dostępu do poszczególnych informacji oraz uprawnień dla poszczególnych pracowników, szkolenia personelu i bezwzględny nadzór nad pracownikami firm zewnętrznych świadczących usługi. Ważne jest też rejestrowanie zdarzeń takich jak awarie oraz opracowanie i przestrzeganie procedur przechowywania oraz niszczenia nośników informacji. Zwiększenie bezpieczeństwa poprzez zapobieganie ujawnieniu informacji wymaga również przestrzegania prostych praw, takich jak np. „zasada czystego biurka”. Powyższa zasada sprowadza się do tego, aby nie pozostawiać na wierzchu żadnych dokumentów w sytuacji, kiedy na pewien czas tracimy nad nimi kontrolę (nawet jeśli tylko przechodzimy do innego pomieszczenia). Niepotrzebne w danym momencie dokumenty papierowe i nośniki danych należy bezwzględnie przechować w bezpiecznych miejscach (np. w zamykanych szuf ladach). Procedury powinny określać między innymi zasady prowadzenia ewidencji osób, które wynoszą nośniki, w których znajdują się dane sensytywne.

Należy również pamiętać, że podstawowe funkcje systemowe usuwające dane z nośników nie gwarantują 100-proc. pewności, że danych tych nie da się jednak ponownie odczytać. Dane mogą zostać ujawnione także przez nieostrożne rozporządzenie sprzętem, np. jego sprzedaż lub przekazanie do ponownego użycia bez całkowitego usunięcia danych wrażliwych. W przypadku niepotrzebnych już urządzeń, w których znajdują się istotne dane, warto więc fizycznie je zniszczyć lub stosować specjalne oprogramowanie pozwalające na całkowite usunięcie zawartych na nich danych. Istotne jest, aby w polityce bezpieczeństwa uwzględniać wszystkie obszary (pomieszczenia), w których znajdują się elementy infrastruktury fizycznej, a których zakłócenia w działaniu mogłyby spowodować przestój lub utratę danych. Należy jednak zwrócić uwagę, aby przyjęte procedury bezpieczeństwa fizycznego nie były przyczyną nadmiernych uciążliwości, gdyż każda dodatkowa kontrola zwiększa czas potrzebny na dostanie się do urządzenia, co może z kolei odbić się na wydłużeniu okresu związanego z usunięciem awarii.

Bezpieczeństwo fizyczne centrum danych

Niezawodność identyfikacji w zależności od zastosowanego mechanizmu

Kontrola dostępu - obszary bezpieczne

Ochrona fizyczna systemów służących do przetwarzania informacji powinna rozpocząć się od wydzielenia obszarów bezpiecznych. Zastosowanie takich samych zabezpieczeń dla całego obiektu, jest w większości przypadków, nieekonomiczne i niewygodne czy wręcz niepożądane. W przypadku każdego obszaru, który ma być chroniony, należy przeprowadzić analizę wymagań w zakresie zabezpieczeń w oparciu o to, co się w nim znajduje i kto potrzebuje do niego dostępu. Następnie należy stworzyć bariery fizyczne otaczające pomieszczenia firmy. Kolejne bariery tworzą kolejne elementy zabezpieczające, mogą to być:

• ściany, drzwi, zamki w drzwiach

• ogrodzenie dookoła budynku wraz bramą wejściowa

• systemy monitoringu

• pracownicy ochrony, recepcja

• specjalistyczne systemy dostępowe

Osoby znajdujące się w obszarach zabezpieczonych powinni być nadzorowane poprzez systemy monitoringu, a czas ich wejścia oraz wyjścia do ww. obszarów rejestrowane. W dużych organizacjach wskazane jest używanie przez pracowników specjalnych identyfikatorów.

Polityka bezpieczeństwa musi bezwzględnie zapewniać aktualizację praw dostępu do obszarów bezpiecznych. Niezwykle ważne jest, także zapewnienie monitorowania wszystkich kluczowych pomieszczeń czy urządzeń należących do warstwy infrastruktury fizycznej (szafach).


TOP 200