Nieuprawniony dostęp fizyczny do infrastruktury jest jednym z największych zagrożeń dla poufności przetwarzanych informacji. Model warstwowy systematyzuje metodologie ochrony budynków uwzględniając najważniejsze standardy i najlepsze praktyki w tym zakresie.wewntrznego (CIA).

Kilka lat temu w jednym z centrów biznesowych w Warszawie ochrona budynku zatrzymała samochód, w bagażniku którego znaleziono ponad 20 laptopów. Pasażerowie samochodu mieli ze sobą ubrania serwisantów i... drabinę. W roboczych przebraniach swobodnie poruszali się po obcym biurze, nie wzbudzając niczyich podejrzeń. Pracownicy firmy umożliwili złodziejom wejście do większości pomieszczeń.

Analiza tego przypadku to kolejny dowód na to, że systemy zabezpieczeń fizycznych nie mogą polegać jedynie na ludziach. Muszą być wspierane przez odpowiednio zorganizowane procesy i infrastrukturę techniczną. Jedynie dogłębna analiza zastosowanych mechanizmów bezpieczeństwa fizycznego i wprowadzenie stosownych usprawnień może wyeliminować wizyty niepożądanych gości w biurze.

Chrońmy budynek

Mechanizmy ochrony i kontroli dostępu fizycznego mają zapobiec typowym ryzykom związanym z zakłóceniem ciągłości działania systemów informatycznych: uszkodzeniem, utratą lub kradzieżą sprzętu, wyposażenia lub informacji. Typ zabezpieczeń, ich zakres i sposób wdrożenia powinny zapewniać spełnienie warunku, że czas i nakłady konieczne do skutecznego naruszenia zabezpieczeń przekraczają korzyści, które może osiągnąć intruz. Pamiętać należy przy tym, że wśród celów stawianych systemom ochrony fizycznej znajduje się również ochrona zdrowia i życia ludzkiego. Do najważniejszych celów stawianych systemom ochrony bezpieczeństwa fizycznego budynku i biura należą:

• zniechęcanie do wtargnięcia;
• opóźnianie wtargnięcia;
• wykrywanie wtargnięcia.

O ile zniechęcanie i opóźnianie stanowią typowe mechanizmy prewencyjne, to wykrywanie wtargnięcia w żaden sposób nie zapobiega naruszeniu bezpieczeństwa. Stanowi jednak niezwykle istotny element, dzięki któremu wtargnięcie zostanie zauważone w czasie pozwalającym na podjęcie odpowiednich kroków. Dzięki realizacji tego celu możliwe jest również ustalenie sprawcy.

Strefy bezpieczeństwa

Skuteczny system ochrony bezpieczeństwa fizycznego budynku i biura powinien opierać się na warstwowym modelu ochrony. Ma on za zadanie zarówno zniechęcać, jak i opóźniać wtargnięcie intruza na teren chroniony, a uzupełniony o elementy monitorowania pozwala na wykrycie incydentu.

Warstwowy model ochrony obejmuje kolejne warstwy (strefy) bezpieczeństwa, poczynając od granicy obszaru i terenu wokół budynku, poprzez wejścia, wnętrze i obszar biurowy, pomieszczenia szczególnie chronione, sprzęt biurowy, na zasobach informacyjnych kończąc. Zgodnie z założeniami warstwowego modelu ochrony, kompleksowy system bezpieczeństwa fizycznego powinien koncentrować się na relacji pomiędzy zachowaniem ludzkim i otoczeniem, w którym ludzie przebywają. Powinien wymuszać określone zachowania ludzi w celu ograniczenia ryzyka związanego z wtargnięciem intruza. Dlatego też każda warstwa bezpieczeństwa fizycznego powinna być rozważana w kontekście zagrożeń występujących w niej oraz sąsiadujących z nią strefach. Te elementy bezpieczeństwa fizycznego, które nie są kontrolowane w strefach zewnętrznych, powinny być uwzględnione w strefach wewnętrznych. W wielu miejscach jedynym komponentem bezpieczeństwa fizycznego na obszarze chronionym jest monitoring, podczas gdy ograniczenia w poruszaniu się wdrożone są dopiero w strefach wewnętrznych.

W przypadku ochrony granicy obszaru i terenu wokół budynku należy brać pod uwagę np. otoczenie, które jest poza naszą kontrolą, ale może stanowić o łatwości wtargnięcia na obszar chroniony. Oczywistym przykładem są tutaj naturalne elementy krajobrazu, np. drzewa. Słabym ogniwem w tym przypadku są okna, które bezwzględnie powinny być odpowiednio zabezpieczone.

Przy projektowaniu systemu bezpieczeństwa fizycznego należy dokonać analizy zagrożeń występujących w każdej strefie osobno i uwzględnić, które z tych zagrożeń są kontrolowane w poprzednich strefach. Pozwala to na optymalne wykorzystanie zasobów i uniknięcie błędów polegających na wdrożeniu rozwiązań ochrony fizycznej, które nie są związane z żadnym zagrożeniem w danej strefie.

Ochrona granicy obszaru

Ochrona granicy obszaru stanowi pierwszą linię obrony przed intruzem. Stosowane zabezpieczenia obejmują naturalne i strukturalne bariery wejścia, takie jak: ukształtowanie terenu , mur, ogrodzenie, słupki drogowe (zapobiegające wjechaniu na teren pojazdem), bramki itp. Niezwykle istotne w ochronie granicy obszaru są systemy wykrywania, które pozwalają na podjęcie działań zaradczych zanim intruz dotrze do budynku chronionego. Wśród takich systemów stosowane są detektory ruchu (fotoelektryczne, ultradźwiękowe, pasywne systemu podczerwone itp.) oraz systemy kamer przemysłowych o zróżnicowanym stopniu zaawansowania (tylko wykrywanie obecności obiektu, rozpoznanie jego typu lub identyfikacja cech).

Systemy kamer przemysłowych CCTV są typowym przykładem systemu monitorowania, którego skuteczność zależy od przemyślanego projektu i wdrożenia. W przypadku systemów CCTV należy wziąć pod uwagę, jaki obszar mają chronić, jak powinny być rozmieszczone kamery, ale również w jaki sposób oświetlić teren. Źle oświetlony teren często oznacza bezużyteczność systemu monitorowania opartego na kamerach przemysłowych. Należy przy tej okazji zwrócić uwagę, że rozmieszczone lampy i latarnie w połączeniu z detektorami ruchu mogą stanowić element skutecznie zniechęcający intruza. Niechciany gość raczej zrezygnuje z próby wtargnięcia na teren, po tym jak znajdzie się w ostrym świetle reflektorów, które znienacka włączą się, kiedy zbliży się do obszaru chronionego.