ГОСТ Р ИСО МЭК 17799 (1027767), страница 7
Текст из файла (страница 7)
Онидолжны включать мероприятия в отношении персонала или представителей третьих сторон, работающих в зоне безопасности и состоять в следующем:- о существовании зоны информационной безопасности и проводимых в ней работах должны бытьосведомлены только лица, которым это необходимо в силу производственной необходимости;- из соображений безопасности и предотвращения возможности злонамеренных действий в охраняемых зонах необходимо избегать случаев работы без надлежащего контроля со стороны уполномоченного персонала;- пустующие зоны безопасности должны быть физически закрыты, и их состояние необходимопериодически проверять;- персоналу третьих сторон ограниченный авторизованный и контролируемый доступ в зоны безопасности или к средствам обработки важной информации следует предоставлять только на время такойнеобходимости. Между зонами с различными уровнями безопасности внутри периметра безопасностимогут потребоваться дополнительные барьеры и периметры ограничения физического доступа;- использование фото, видео, аудио или другого записывающего оборудования должно быть разрешено только при получении специального разрешения.7.1.5 Изолирование зон приемки и отгрузки материальных ценностейЗоны приемки и отгрузки материальных ценностей должны находиться под контролем и, по возможности, быть изолированы от средств обработки информации во избежание неавторизованного доступа.
Требования безопасности для таких зон должны быть определены на основе оценки рисков. В этихслучаях рекомендуется предусматривать следующие мероприятия:- доступ к зоне складирования с внешней стороны здания должен быть разрешен только определенному и авторизованному персоналу;- зона складирования должна быть организована так, чтобы поступающие материальные ценностимогли быть разгружены без предоставления персоналу поставщика доступа к другим частям здания;-должна быть обеспечена безопасность внешней(их) двери(ей) помещения для складирования,когда внутренняя дверь открыта;- поступающие материальные ценности должны быть осмотрены на предмет потенциальных опасностей (7.2.1 г) прежде, чем они будут перемещены из помещения для складирования к местам использования;-поступающие материальные ценности должны быть зарегистрированы, если это необходимо(5.1).137.2 Безопасность оборудованияЦель: предотвращение потерь, повреждений или компрометации активов и нарушения непрерывности деятельности организации.Оборудование необходимо защищать от угроз его безопасности и воздействий окружающей среды.Необходимо обеспечивать безопасность оборудования (включая и то, что используется вне организации), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери илиповреждения, При этом необходимо принимать во внимание особенности, связанные с расположениемоборудования и возможным его перемещением.
Могут потребоваться специальные мероприятия защиты от опасных воздействий среды или неавторизованного доступа через инфраструктуры обеспечения,в частности, системы электропитания и кабельной разводки,7.2.1 Расположение и защита оборудованияОборудование должно быть расположено и защищено так, чтобы уменьшить риски от воздействийокружающей среды и возможности неавторизованного доступа. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:а) оборудование необходимо размещать таким образом, чтобы свести до минимума излишний доступ в места его расположения;б) средства обработки и хранения важной информации следует размещать так, чтобы уменьшить риск несанкционированного наблюдения за их функционированием;в) отдельные элементы оборудования, требующие специальной защиты, необходимо изолировать, чтобы повысить общий уровень необходимой защиты;г) меры по управлению информационной безопасностью должны свести к минимуму рискпотенциальных угроз, включая:1) воровство;2) пожар;3) взрыв;4) задымление;5) затопление (или перебои в подаче воды);6) пыль;7) вибрацию;8) химические эффекты;9) помехи в электроснабжении;10) электромагнитное излучение,д) в организации необходимо определить порядок приема пищи, напитков и курения вблизисредств обработки информации;е) следует проводить мониторинг состояния окружающей среды в целях выявления условий,которые могли бы неблагоприятно повлиять на функционирование средств обработки информации;ж) следует использовать специальные средства защиты, оборудования, расположенного впроизводственных цехах, например, защитные пленки для клавиатуры;з) необходимо разработать меры по ликвидации последствий бедствий, случающихся вблизлежащих помещениях, например, пожар в соседнем здании, затопление в подвальных помещенияхили протекание воды через крышу, взрыв на улице.7.2.2 Подача электропитанияОборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с электричеством.
Необходимо обеспечивать надлежащую подачу электропитания, соответствующую спецификациям производителя оборудования.Варианты достижения непрерывности подачи электропитания включают:- наличие нескольких источников электропитания, чтобы избежать последствий при нарушении егоподачи от единственного источника;- устройства бесперебойного электропитания (UPS);- резервный генератор.Чтобы обеспечить безопасное выключение и/или непрерывное функционирование устройств, поддерживающих критические бизнес-процессы, рекомендуется подключать оборудование через UPS.В планах обеспечения непрерывности следует предусматривать действия, которые должны быть предприняты при отказе UPS. Оборудование UPS следует регулярно проверять на наличие адекватной мощности, а также тестировать в соответствии с рекомендациями производителя.Резервный генератор следует применять, если необходимо обеспечить функционирование оборудования в случае длительного отказа подачи электроэнергии от общего источника.
Резервные генераторы следует регулярно проверять в соответствии с инструкциями производителя. Для обеспечения14работы генератора в течение длительного срока необходимо обеспечить соответствующую поставкутоплива.Кроме того, аварийные выключатели электропитания необходимо располагать около запасныхвыходов помещений, где расположено оборудование, чтобы ускорить отключение электропитания вслучае критических ситуаций.
Следует обеспечить работу аварийного освещения на случай отказа электропитания, потребляемого от сети. Все здания должны быть оснащены громоотводами, а все внешниелинии связи оборудованы специальными грозозащитными фильтрами.7.2.3 Безопасность кабельной сетиСиловые и телекоммуникационные кабельные сети, по которым передаются данные или осуществляются другие информационные услуги, необходимо защищать от перехвата информации илиповреждения. Необходимо рассматривать следующие мероприятия:а) силовые и телекоммуникационные линии, связывающие средства обработки информации, должны быть, по возможности, подземными или обладать адекватной альтернативной защитой;б) сетевой кабель должен быть защищен от неавторизованных подключений или повреждения, например, посредством использования специального кожуха и/или выбора маршрутов прокладкикабеля в обход общедоступных участков;в) силовые кабели должны быть отделены от коммуникационных, чтобы исключить помехи;г) дополнительные мероприятия по управлению информационной безопасностью длячувствительных или критических систем включают:1) использование бронированных кожухов, а также закрытых помещений/ящиков в промежуточных пунктах контроля и конечных точках;2) использование дублирующих маршрутов прокладки кабеля или альтернативных способовпередачи;3) использование оптико-волоконных линий связи;4) проверки на подключение неавторизованных устройств к кабельной сети.7.2.4 Техническое обслуживание оборудованияВ организации должно проводиться надлежащее техническое обслуживание оборудования дляобеспечения его непрерывной работоспособности и целостности.
В этих целях следует применять следующие мероприятия:- оборудование следует обслуживать в соответствии с инструкциями и периодичностью, рекомендуемыми поставщиком;- необходимо, чтобы техническое обслуживание и ремонт оборудования проводились только авторизованным персоналом;- следует хранить записи обо всех случаях предполагаемых или фактических неисправностей ивсех видах профилактического и восстановительного технического обслуживания;- необходимо принимать соответствующие меры безопасности при отправке оборудования длятехнического обслуживания за пределы организации (7.2,6 в отношении удаленных, стертых и перезаписанных данных).














