Сертификация систем менеджмента ISO 9001, ISO 14001, OHSAS 18001, ISO 27001
Адрес:
г. Астана, пр. Б. Момышулы, д.19, офис 43
Качество – правило. Цена – исключение!
Главная \ Новости \ Физическая безопасность

Новости

« Назад

Физическая безопасность 04.08.2019 04:18

Введение в Физическую безопасность

Физическая безопасность компьютеров и их ресурсов в 60-х и 70-х годах была не так сложна, как сегодня. В те времена использовались в основном мейнфреймы, которые можно было запереть в серверной комнате и только горстка людей знала что с ними делать. Сегодня компьютер есть на каждом столе каждой компании, а доступ к устройствам и ресурсам распространился на всю среду. Компании имеют несколько кроссовых и серверных комнат, удаленных и мобильных пользователей, выносящих мобильные компьютеры и данные за пределы здания компании. Надежная защита этих компьютерных систем, сетей, зданий и сотрудников стала крайне сложной задачей для многих компаний.
 

Во многих компаниях растет ущерб от воровства, мошенничества, саботажа, вандализма, несчастных случаев. Это связано с тем, что их среда становится более сложной и динамичной. Безопасность и сложность – это трудносовместимые вещи. По мере роста сложности среды и технологий, появляется больше уязвимостей, которые могут привести к компрометации. Многие компании сталкиваются с хищениями модулей памяти и процессоров из рабочих станций, а также хищениями компьютеров и ноутбуков. Многие компании становятся жертвами более опасных преступлений – вооруженные ограбления, вспышки ярости раздраженных сотрудников, бомбы, террористическая деятельность. Многие компании имеют охрану, систему видеонаблюдения, системы выявления вторжений, поддерживают осведомленность сотрудников о рисках безопасности. Это лишь некоторые элементы, относящиеся к физической безопасности. Если какой-то из них не предоставляет необходимого уровня защиты, он может стать слабым звеном и потенциальной брешью в системе безопасности.
 

Большинство людей, занимающихся информационной безопасностью, недостаточно задумываются о физической безопасности, они сосредоточены на компьютерной безопасности, хакерах, портах, вирусах и технологических контрмерах. Но информационная безопасность без надежной физической безопасности – это пустая трата времени.
 

Даже специалисты по физической безопасности не всегда не всегда имеют целостный взгляд на физическую безопасность. В физической безопасности так много различных аспектов, которые необходимо учитывать, что люди обычно специализируются на отдельных областях, таких как безопасность зданий, выявление и анализ рисков, обеспечение защиты центров обработки данных (ЦОД), противопожарная ,безопасность, внедрение систем обнаружения вторжений и систем видеонаблюдения, обучение персонала по действиям в чрезвычайных ситуациях, аспекты требований законодательства и регуляторов в области физической безопасности и т.п. Каждый фокусируется на своей области и имеет свои навыки, но для обеспечения целостной системы безопасности компании все эти области должны быть поняты и учтены.
 

Как и большинство программных продуктов, построенных, в первую очередь, с учетом функциональности, а не безопасности, так и многие здания и сооружения построены с учетом функциональности, эстетизма, а уже затем – безопасности. Многие кражи и несчастные случаи могли бы быть предотвращены, если бы компания реализовала организованную, зрелую и целостную систему физической безопасности. Большинство людей не знают о множестве преступлений, случающихся каждый день. Многие не догадываются о большом количестве гражданских исков к компаниям, не уделяющим должного внимания физической безопасности. Ниже представлено несколько примеров проблем, которые могут возникнуть у компаний, плохо реализовавших или поддерживающих свою физическую безопасность:
 

  • Кусты, растущие очень близко от банкомата, позволяют преступникам скрыться за ними и нападать на людей, снявших деньги со своих банковских карт.
  • Неосвещенная часть подземного гаража позволяет злоумышленникам сидеть и ждать сотрудников, которые задержались на работе допоздна.
  • Ночной магазин развесил очень много рекламных плакатов и постеров на наружных окнах, что привлекает к нему грабителей, т.к. развешенные плакаты скрывают происходящее внутри магазина от прохожих и проезжающих машин.

Для специалистов по безопасности очень важно производить оценку, основываясь на точке зрения потенциального преступника. Это позволит выявить и устранить наиболее критичные уязвимые места, которые могут быть использованы преступниками. Специалисты по безопасности должны рассматривать безопасность как целостный процесс, оценивать его со всех сторон, использовать различные подходы. Опасность может прийти отовсюду, она может принимать любые формы и иметь различные последствия.
 

Физическая безопасность работает с набором угроз, уязвимостей и контрмер, отличающимся от компьютерной и информационной безопасности. Этот набор для физической безопасности в большей степени направлен на физическое уничтожение, на нарушителей, на объекты среды, на воровство и вандализм. Когда специалисты по безопасности думают об информационной безопасности, они представляют себе, как кто-то несанкционированно проникнет во внутреннюю сеть через открытый на межсетевом экране порт или беспроводную точку доступа. Думая о физической безопасности, специалисты по безопасности представляют себе, как злоумышленник входит в здание и наносит ущерб.
 

Угрозы, перед лицом которых стоит компания, можно разделить на следующие категории:
 

  • Природные угрозы. Затопление, землетрясение, шторм, торнадо, пожар, экстремальные температуры и т.д.
  • Угрозы в отношении систем обеспечения. Перебои электроснабжения, связи, перебои со снабжением водой, газом и т.п.
  • Рукотворные угрозы. Несанкционированный доступ (внешний и внутренний), ущерб от преднамеренных действий персонала, ошибки сотрудников, халатность, вандализм, мошенничество, воровство и т.д.
  • Политические угрозы. Нападения, беспорядки, гражданское неповиновение, террористические атаки, бомбы и т.д.

В любой ситуации нужно в первую очередь продумать, что мешает достижению целей безопасности. Когда мы проектируем безопасность, мы в первую очередь должны думать о том, как защитить человеческую жизнь. Хорошее планирование поможет нам сбалансировать безопасность жизни людей с другими мерами безопасности. Например, закрытие дверей аварийных выходов с целью предотвращения несанкционированного доступа может помешать эвакуировать людей в случае пожара.
 

ПРИМЕЧАНИЕ. Цели защиты жизни должны всегда превосходить любые другие цели.

Программа физической безопасности должна объединять в себе механизмы обеспечения защиты и безопасности. Под защитой (safety) подразумевается защита жизни людей, а также защита активов компании от огня, природных катастроф, разрушительных инцидентов. Под безопасностью (security) подразумевается защита от вандализма, краж, атак злоумышленников. Часто возникают пересечения между различными типами угроз, поэтому их нужно понимать и надлежащим образом планировать. Этот Домен рассматривает как механизмы защиты, так и механизмы безопасности, о которых должен знать каждый специалист по безопасности.
 

Физическую безопасность следует внедрять на основе многоуровневой модели защиты (layered defense model), в которой защитные меры должны работать совместно. Эта концепция предусматривает, что если защита на одном уровне нарушена, другие уровни продолжат защищать ценный актив. Уровни защиты должны быть реализованы на пути от периметра до актива. Например, у вас есть изгородь вокруг здания, затем стены самого здания, система контроля доступа на смарт-картах при входе в здание, система выявления вторжений, запертые компьютерные корпуса и сейфы. Такая последовательность уровней защиты предназначена для защиты критичных активов компании, размещенных в самой глубине контролируемой зоны. Так, если плохие парни преодолеют изгородь и перехитрят охранников на входе, им нужно будет преодолеть еще несколько уровней защиты, прежде чем они получат доступ к защищаемым ресурсам и системам.
 

Безопасность должна обеспечивать защиту всех активов компании и увеличивать ее продуктивность, обеспечивая безопасную и предсказуемую среду. Хорошая безопасность позволяет сотрудникам сосредоточиться на своих задачах, а злоумышленников вынуждает переключаться на другие, более уязвимые и легкие цели. Это в идеале, конечно. Вспоминая AIC-триаду безопасности, описанную в Домене 01, мы можем взглянуть на физическую безопасность, как на защиту доступности ресурсов компании, целостности активов и среды, конфиденциальности данных и бизнес-процессов.

 

По материалам Dmitriy Orlov


Контакты
г. Астана, пр. Б. Момышулы, д.19, офис 43
Написать нам
новости Казахстан