Шрифт:
Интервал:
Закладка:
Все криптоключи должны быть защищены от модификации и утери. Кроме того, секретный и личный ключи требуют защиты от несанкционированного использования, а также разглашения. Оборудование для генерации, хранения и архивирования ключей должно быть защищено физически.
Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для:
— генерации ключей для различных криптосистем и приложений;
— изготовления и получения сертификатов открытых ключей;
— рассылки ключей предполагаемым пользователям, включая обучение активации ключей после получения;
— хранения ключей, включая обучение авторизованных пользователей получению доступа к ключам;
— замены или обновления ключей, включая правила и сроки замены ключей;
— действий в отношении скомпрометированных ключей;
— аннулирования ключей, включая порядок изъятия и деактивации, например, при компрометации ключей или увольнении пользователя (в каком случае ключи должны быть также архивированы);
— восстановления ключей, которые были утеряны или испорчены;
— резервного копирования или архивирования ключей;
— уничтожения ключей;
— регистрации и аудита действий, связанных с управлением ключами.
Для снижения вероятности неправильного использования ключей их даты активации и деактивации должны быть определены таким образом, чтобы они использовались только на протяжении того времени, которое определено политикой управления ключами.
7. Физическая и экологическая безопасность
Физическую и экологическую безопасность определяют следующие составляющие:
— зоны безопасности;
— безопасность оборудования.
7.1. Зоны безопасности
Цель: Предотвратить несанкционированный физический доступ, повреждение и вмешательство в информацию и средства обработки информации.
Зоны безопасности определяют следующие составляющие:
— периметр физической безопасности;
— работа в зонах безопасности;
— зоны доставки и погрузки/разгрузки.
— управление физическим доступом;
— защита помещений и оборудования;
— защита от окружающей среды.
Периметр физической безопасности
Меры и средства
Периметры физической безопасности должны быть определены и использованы для защиты зон, содержащих чувствительную или критичную информацию или средства ее обработки.
Рекомендация по реализации
В отношении периметров физической безопасности необходимо рассматривать и реализовывать следующие рекомендации:
— должны быть определены периметры безопасности, а размещение и надежность каждого из периметров должны зависеть от требований безопасности активов, находящихся в пределах периметра, и результатов оценки риска;
— периметры здания или помещений, где расположены средства обработки информации, должны быть физически прочными (т. е. не должно быть никаких промежутков в периметре или мест, через которые можно было бы легко проникнуть);
внешние стены помещений должны иметь твердую конструкцию, а все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа контрольными механизмами (например, шлагбаумом, сигнализацией, замками т. п.);
двери и окна помещений в отсутствие сотрудников должны быть заперты, и внешняя защита должна быть предусмотрена для окон, особенно если они находятся на уровне земли;
— должна существовать зона регистрации посетителей или другие меры для контроля физического доступа в помещения или здания; доступ в помещения и здания должен предоставляться только уполномоченному персоналу;
— должны быть установлены физические барьеры для предотвращения несанкционированного физического доступа и экологического загрязнения;
— все пожарные выходы в периметре безопасности должны оборудоваться аварийной сигнализацией, мониториться и тестироваться вместе со стенами, чтобы создать требуемый уровень устойчивости в соответствии с действующими стандартами;
— должны быть установлены необходимые системы обнаружения вторжения, соответствующие действующим стандартам, и регулярно тестироваться на предмет охвата всех внешних дверей и доступных окон, неохваченные зоны необходимо ставить на круглосуточную сигнализацию; охвачены должны быть также и такие зоны, как компьютерный кабинет или комнаты связи;
— необходимо физически изолировать средства обработки информации, управляемые организацией, от таких же средств, управляемых сторонними организациями.
Физическая безопасность может достигаться созданием одного или нескольких физических барьеров вокруг помещений и средств обработки информации организации. Использование множества барьеров дает дополнительную защиту, поскольку нарушение одного барьера не приводит к немедленной компрометации безопасности.
Зона безопасности может включать оффис или несколько помещений, окруженных общим внутренним физическим барьером безопасности. Внутри периметра безопасности могут потребоваться дополнительные барьеры и периметры контроля физического доступа между зонами с разными требованиями безопасности.
Специальное внимание надо уделить безопасности физического доступа в здания, содержащие активы многих организаций.
Работа в зонах безопасности
Меры и средства
Процедуры работы в зонах безопасности должны быть разработаны и внедрены.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
— о существовании зоны безопасности и проводимых там работах персонал должен быть осведомлен только в случае необходимости;
— необходимо избегать неконтролируемой работы в зонах безопасности из соображений безопасности и предотвращения возможности злонамеренных действий;
— пустующие зоны безопасности необходимо физически запирать и периодически просматривать;
— использование фото-, видео-, аудио— и другого записывающего оборудования, такого как камеры мобильных устройств, должно быть запрещено, если только на это не получено специальное разрешение.
Соглашения о работе в зонах безопасности включает контроль работы сотрудников и представителей сторонних организаций в зоне безопасности, охватывающий все действия в этой зоне.
Зоны доставки и погрузки/разгрузки
Меры и средства
Такие места доступа, как зоны доставки и погрузки/разгрузки и другие, где посторонние лица могут попасть в помещения, должны контролироваться и, при возможности, изолироваться от средств обработки информации во избежание несанкционированного доступа.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
— доступ к зоне доставки и погрузки/разгрузки из-вне здания должен быть ограничен только уполномоченным персоналом;
— зона доставки и погрузки/разгрузки не должна предоставлять персоналу поставщика при погрузке и разгрузке доступа к другим частям здания;
— должна быть обеспечена безопасность внешних дверей зоны доставки и погрузки/разгрузки в то время, когда внутренние двери открыты;
— поступающий материал должен быть проверен на наличие взрывчатки, химикатов и других вредных материалов прежде, чем будет вынесен из зоны доставки и погрузки/разгрузки;
— поступающий материал должен регистрироваться при въезде на площадку в соответствии с процедурами управления активами;
— по возможности, ввозимые и вывозимые грузы должны быть физически разделены;
— поступающий материал должен быть проверен на предмет фальсификации на маршруте. О выявлении такого факта необходимо немедленно доложить службе безопасности.
Управление физическим доступом
Меры и средства
Зоны безопасности должны быть защищены средствами контроля, обеспечивающими доступ только уполномоченного персонала.
Рекомендация по реализации
Следует принимать во внимание следующие рекомендации:
— дата и время входа и выхода посетителей должны регистрироваться, и всех посетителей необходимо сопровождать, за исключением случаев заблаговременного согласования;
доступ следует предоставлять только для выполнения определенных задач, а также необходимо инструктировать посетителей на предмет требований безопасности и действий в случае аварийных ситуаций;
идентификацию посетителей необходимо осуществлять надлежащим образом;
— доступ к зонам, где обрабатывается или хранится конфиденциальная информация, должен ограничиваться только уполномоченными лицами путем применения соответствующих средств контроля, например, механизма двухфакторной аутентификации, такого как карта доступа и секретный персональный идентификационный номер (PIN);
— необходимо вести и мониторить записи регистрации любого доступа в защищенном физическом и электронном контрольном журнале;
— необходимо требовать, чтобы все