Требования иб для серверных

Содержание:

Информационная безопасность предприятия: ключевые угрозы и средства защиты

Многоуровневая схема защиты данных и ПО с использованием решений по ИТ-безопасности дают возможность снизить риски кибернападений на бизнес до минимума и тем самым исключить непредвиденные затраты на устранение последствий.

Услуга анти-DDoS призвана предотвратить перебои в работе онлайн-сервиса и возникновение простоя по причине кибератак на канал связи или непосредственно на ресурс компании.

План аварийного восстановления данных призван снизить риски, связанные с недоступностью данных компании, приводящих к замедлению бизнес-процессов.

Для снижения риска потери корпоративной информации можно воспользоваться услугой резервного копирования данных и хранения их в облачных сервисах на базе крупных дата-центров.

Обеспечить комфортные условия работы и, следовательно, надежную защиту компании — означает в том числе найти оптимальные IT-решения с учетом особенностей бизнес-сферы клиента.

Всем известно высказывание «Кто владеет информацией, тот владеет миром». А кто владеет информацией о конкурентах, получает беспрецедентные преимущества в борьбе с ними. Прогресс сделал компании зависимыми от информационных систем, а вместе с этим — уязвимыми к атакам хакеров, компьютерным вирусам, человеческому и государственному фактору в такой степени, что многие владельцы бизнеса уже не могут чувствовать себя в безопасности. Вопрос информационной безопасности становится краеугольным камнем в деятельности организации, но этот же прогресс предлагает решения, способные защитить данные от внешних посягательств.

Что такое информационная безопасность и почему системы ее обеспечения так важны

Так что же такое информационная безопасность? Обычно под ней понимают защищенность информации и всей компании от преднамеренных или случайных действий, приводящих к нанесению ущерба ее владельцам или пользователям. Обеспечение информационной безопасности должно быть направлено прежде всего на предотвращение рисков, а не на ликвидацию их последствий. Именно принятие предупредительных мер по обеспечению конфиденциальности, целостности, а также доступности информации и является наиболее правильным подходом в создании системы информационной безопасности.

Любая утечка информации может привести к серьезным проблемам для компании — от значительных финансовых убытков до полной ликвидации. Конечно, проблема утечек появилась не сегодня, промышленный шпионаж и переманивание квалифицированных специалистов существовали еще и до эпохи компьютеризации. Но именно с появлением ПК и интернета возникли новые приемы незаконного получения информации. Если раньше для этого необходимо было украсть и вынести из фирмы целые кипы бумажных документов, то сейчас огромные объемы важных сведений можно запросто слить на флэшку, помещающуюся в портмоне, отправить по сети, прибегнув к использованию семейства руткитов, троянов, бэкдоров, кейлоггеров и ботнетов, либо просто уничтожить посредством вирусов, устроив диверсию.

Чаще всего «утекают» из компаний документы финансового характера, технологические и конструкторские разработки, логины и пароли для входа в сеть других организаций. Но серьезный вред может нанести и утечка персональных данных сотрудников. Особенно это актуально для западных стран, где судебные иски из-за таких утечек нередко приводят к огромным штрафам, после выплаты которых компании терпят серьезные убытки.

Случается и так, что утечка приносит вред компании через несколько месяцев или лет после того, как она произошла, попав в руки конкурентам или журналистам. Именно поэтому защита должна быть комплексной. Не стоит делить информацию на очень важную и менее важную. Все, что касается деятельности компании и не предназначено для опубликования, должно оставаться внутри компании и быть защищено от угроз.

Актуальные виды угроз информационной безопасности

Аналитический центр InfoWatch опубликовал данные по утечке данных в России за 2016 год. Согласно исследованию, СМИ обнародовали 213 случаев утечек информации из российских госорганов и компаний, что составляет 14% от общемирового количества утечек.

Самые частые случаи — это утечка платежной информации и персональных данных — 80%. В 68% случаев виновными оказываются сотрудники организаций, и только в 8% — руководство. По сравнению с 2015 годом количество утечек выросло на 89%. На сегодня Россия занимает второе после США место в списке стран, наиболее сильно страдающих от утечек информации [2] .

Но из-за чего чаще всего возникают угрозы информационной безопасности?

1. Невнимательность и халатность сотрудников. Угрозу информационной безопасности компании, как ни странно, могут представлять вполне лояльные сотрудники и не помышляющие о краже важных данных. Непредумышленный вред конфиденциальным сведениям причиняется по простой халатности или неосведомленности работников. Всегда есть возможность того, что кто-нибудь откроет фишинговое письмо и внедрит вирус с личного ноутбука на сервер компании. Или, например, скопирует файл с конфиденциальными сведениями на планшет, флэшку или КПК для работы в командировке. И ни одна компания не застрахована от пересылки невнимательным сотрудником важных файлов не по тому адресу. В такой ситуации информация оказывается весьма легкой добычей.

2. Использование пиратского ПО. Иногда руководители компаний пытаются сэкономить на покупке лицензионного ПО. Но следует знать, что нелицензионные программы не дают защиты от мошенников, заинтересованных в краже информации с помощью вирусов. Обладатель нелицензионного ПО не получает технической поддержки, своевременных обновлений, предоставляемых компаниями-разработчиками. Вместе с ним он покупает и вирусы, способные нанести вред системе компьютерной безопасности. По данным исследования Microsoft, в 7% изученных нелицензионных программ было найдено специальное программное обеспечение для кражи паролей и персональных данных [3] .

3. DDoS-атаки. Distributed-Denial-of-Service — «распределенный отказ от обслуживания» — это поток ложных запросов от сотен тысяч географически распределенных хостов, которые блокируют выбранный ресурс одним из двух путей. Первый путь — это прямая атака на канал связи, который полностью блокируется огромным количеством бесполезных данных. Второй — атака непосредственно на сервер ресурса. Недоступность или ухудшение качества работы публичных веб-сервисов в результате атак может продолжаться довольно длительное время, от нескольких часов до нескольких дней.

Обычно подобные атаки используются в ходе конкурентной борьбы, шантажа компаний или для отвлечения внимания системных администраторов от неких противоправных действий вроде похищения денежных средств со счетов. По мнению специалистов, именно кражи являются основным мотивом DDoS-атак. Мишенью злоумышленников чаще становятся сайты банков, в половине случаев (49%) были затронуты именно они.

4. Вирусы. Одной из самых опасных на сегодняшний день угроз информационной безопасности являются компьютерные вирусы. Это подтверждается многомиллионным ущербом, который несут компании в результате вирусных атак. В последние годы существенно увеличилась их частота и уровень ущерба. По мнению экспертов, это можно объяснить появлением новых каналов проникновения вирусов. На первом месте по-прежнему остается почта, но, как показывает практика, вирусы способны проникать и через программы обмена сообщениями, такие как ICQ и другие. Увеличилось и количество объектов для возможных вирусных атак. Если раньше атакам подвергались в основном серверы стандартных веб-служб, то сегодня вирусы способны воздействовать и на межсетевые экраны, коммутаторы, мобильные устройства, маршрутизаторы.

В последнее время особенно активны стали так называемые вирусы-шифровальщики. Весной и летом этого года миллионы пользователей пострадали от атак вирусов WannaCry, Petya, Misha. Эпидемии показали, что жертвой вирусной атаки можно стать, даже если не открывать подозрительные письма. По информации Intel вирусом WannaCry заразились 530 тысяч компьютеров, а общий ущерб компаний составил более 1 млрд долларов [5] .

5. Угрозы со стороны совладельцев бизнеса. Именно легальные пользователи — одна из основных причин утечек информации в компаниях. Такие утечки специалисты называют инсайдерскими, а всех инсайдеров условно делят на несколько групп:

  • «Нарушители» — среднее звено и топ-менеджеры, позволяющие себе небольшие нарушения информационной безопасности — играют в компьютерные игры, делают онлайн-покупки с рабочих компьютеров, пользуются личной почтой. Такая безалаберность способна вызвать инциденты, но чаще всего они являются непредумышленными. Кстати, большинство внешних атак происходят именно через личные почтовые ящики или ICQ сотрудников.
  • «Преступники». Чаще всего инсайдерами являются топ-менеджеры, имеющие доступ к важной информации и злоупотребляющие своими привилегиями. Они самостоятельно устанавливают различные приложения, могут отсылать конфиденциальную информацию заинтересованным в ней третьим лицам и т.д.
  • «Кроты» — сотрудники, которые умышленно крадут важную информацию за материальное вознаграждение от компании-конкурента. Как правило, это весьма опытные пользователи, умело уничтожающие все следы своих преступлений. Поймать их в силу этого бывает очень непросто.
  • Еще одна категория — это уволенные и обиженные на компанию сотрудники, которые забирают с собой всю информацию, к которой они имели доступ. Обычно украденная информация используется ими на новом месте работы, целенаправленная продажа данных в России пока не слишком актуальна.

6. Законодательные перипетии. Государственные органы в России наделены правом конфисковать в ходе проверок оборудование и носители информации. Поскольку большая часть важных данных компании хранится в электронном виде на серверах, то в случае их изъятия компания на какое-то время просто останавливает свою деятельность. Простои при этом никто не компенсирует, а если проверка затягивается, большие убытки могут привести к прекращению деятельности фирмы. Изъятие оборудования — одна из острейших проблем современного бизнеса, при этом поводом для него может послужить все что угодно — от решения следователя до решения суда в рамках какого-либо уголовного дела.

Методы защиты информации

Хотя количество угроз постоянно растет, появляются все новые и новые вирусы, увеличивается интенсивность и частота DDoS-атак, разработчики средств защиты информации тоже не стоят на месте. На каждую угрозу разрабатывается новое защитное ПО или совершенствуется уже имеющееся. Среди средств информационной защиты можно выделить:

  • Физические средства защиты информации. К ним относятся ограничение или полный запрет доступа посторонних лиц на территорию, пропускные пункты, оснащенные специальными системами. Большое распространение получили HID-карты для контроля доступа. Например, при внедрении этой системы, пройти в серверную или другое важное подразделение компании могут лишь те, кому такой доступ предоставлен по протоколу.
  • Базовые средства защиты электронной информации. Это незаменимый компонент обеспечения информационной безопасности компании. К ним относятся многочисленные антивирусные программы, а также системы фильтрации электронной почты, защищающие пользователя от нежелательной или подозрительной корреспонденции. Корпоративные почтовые ящики обязательно должны быть оборудованы такими системами. Кроме того, необходима организация дифференцированного доступа к информации и систематическая смена паролей.
  • Анти-DDoS. Грамотная защита от DDoS-атак собственными силами невозможна. Многие разработчики программного обеспечения предлагают услугу анти-DDoS, которая способна защитить от подобных нападений. Как только в системе обнаруживается трафик необычного типа или качества, активируется система защиты, выявляющая и блокирующая вредный трафик. При этом бизнес-трафик поступает беспрепятственно. Система способна срабатывать неограниченное количество раз, до тех пор, пока угроза не будет полностью устранена.
  • Резервное копирование данных. Это решение, подразумевающее хранение важной информации не только на конкретном компьютере, но и на других устройствах: внешнем носителе или сервере. В последнее время особенно актуальной стала услуга удаленного хранения различной информации в «облаке» дата-центров. Именно такое копирование способно защитить компанию в случае чрезвычайной ситуации, например, при изъятии сервера органами власти. Создать резервную копию и восстановить данные можно в любое удобное для пользователя время, в любой географической точке.
  • План аварийного восстановления данных. Крайняя мера защиты информации после потери данных. Такой план необходим каждой компании для того, чтобы в максимально сжатые сроки устранить риск простоя и обеспечить непрерывность бизнес-процессов. Если компания по каким-то причинам не может получить доступ к своим информационным ресурсам, наличие такого плана поможет сократить время на восстановление информационной системы и подготовки ее к работе. В нем обязательно должна быть предусмотрена возможность введения аварийного режима работы на период сбоя, а также все действия, которые должны быть предприняты после восстановления данных. Сам процесс восстановления следует максимально отработать с учетом всех изменений системы.
  • Шифрование данных при передаче информации в электронном формате (end-to-end protection). Чтобы обеспечить конфиденциальность информации при ее передаче в электронном формате применяются различные виды шифрования. Шифрование дает возможность подтвердить подлинность передаваемой информации, защитить ее при хранении на открытых носителях, защитить ПО и другие информационные ресурсы компании от несанкционированного копирования и использования.

Итак, защита информации должна осуществляться комплексно, сразу по нескольким направлениям. Чем больше методов будет задействовано, тем меньше вероятность возникновения угроз и утечки, тем устойчивее положение компании на рынке.

Как выбрать инструменты обеспечения безопасности корпоративной информации

О выборе эффективных инструментов обеспечения информационной безопасности мы поговорили с Олегом Анатольевичем Наскидаевым, директором по развитию бизнеса компании DEAC, специализирующейся на предоставлении услуг по защите информации.

«Количество и изощренность угроз информационной безопасности ежегодно растет. Несмотря на то, что индустрия услуг по защите информации развивается, злоумышленникам иногда все же удается быть на шаг впереди. И происходит это не потому, что нет эффективных средств защиты или квалифицированных консультантов, способных решить проблему. Скорее, это происходит от того, что руководители компаний не до конца понимают необходимость защиты информационных ресурсов. Недостаточно просто установить антивирусные программы и ограничить доступ к тем или иным данным. Чтобы обеспечить максимальную конфиденциальность информации, придется создать многоуровневую систему ее защиты, и далеко не всегда с этой задачей может справиться собственный IT-отдел фирмы. В таком случае на помощь приходят специализированные компании, профессионально занимающиеся именно защитой информационных ресурсов.

Уже более 15 лет наша компания предлагает комплекс эффективных решений по защите данных. Во-первых, это резервное копирование данных Backup-as-a-Service (BaaS) и их хранение в облаке DEAC на базе одного или нескольких дата-центров. Мы гарантируем полную сохранность информации, а при возникновении у нашего клиента форс-мажорных обстоятельств резервные копии помогут в максимально короткие сроки восстановить жизненно важные для компании данные и избежать убытков.

Во-вторых, высокий уровень защиты данных, расположенных на инфраструктуре DEAC, вне зависимости от их расположения — как в России, так и в Европе — достигается дополнительно при помощи системы защиты от DDoS-атак. Это система, автоматически определяющая и блокирующая все известные виды DDoS-атак. Применение системы гарантирует непрерывность работы сети клиента и обеспечивает быстрое время отклика на запросы реальных пользователей даже непосредственно во время атаки.

И в-третьих, мы предлагаем разработку плана аварийного восстановления (disaster recovery) ИТ-системы с учетом особенностей бизнеса каждой компании, анализируя риски и определяя важнейшие вопросы безопасности на межгосударственном уровне. План включает не только процедуру резервного копирования, но и комплекс действий для обеспечения непрерывного доступа к бизнес-информации компании».

Защита рабочих станций и серверов

Обеспечение безопасности приложений и данных существенно повышает уровень безопасности в сети и снижает количество инцидентов, особенно в больших сетях, где одновременно используются несколько приложений, большое число каналов проникновения зловредного ПО, высокие риски злонамеренной деятельности сотрудников компании.

Другие публикации:  Налог на осн

Средства обеспечения безопасности данных

АМТЕЛ-СЕРВИС реализует мероприятия по защите рабочих станций и серверов от вирусов и различных видов атак посредством следующих решений:

Защита сервера и ЛВС специалистами АМТЕЛ-СЕРВИС — комплекс технических и организационных мероприятий по обеспечению информационной безопасности предприятия. Воспользовавшись услугами нашей компании, вы обеспечите надежное функционирование локальной сети и важнейших корпоративных приложений.

Преимущества защиты рабочих станций и серверов в АМТЕЛ-СЕРВИС

Защита локальной компьютерной сети — простой и эффективный способ сделать работу более продуктивной и безопасной. Мы уделяем особое внимание качеству и отказоустойчивости информационных и телекоммуникационных систем клиентов. Обеспечение безопасности данных в компьютерной сети специалистами АМТЕЛ-СЕРВИС — это:

  • Комплексная диагностика информационной системы заказчика, анализ возможных угроз и экспертная оценка рисков
  • Проектирование и разработка концепции ИБ, технического проекта и необходимой рабочей документации
  • Полный комплекс услуг в сфере обеспечения информационной безопасности серверов и компьютеров, включая подбор и поставку программных и технических средств защиты, проведение пусконаладочных работ, испытаний СОИБ
  • Профессиональная команда с многолетним опытом работы — в штате сотрудников квалифицированные специалисты, обеспечивающие глубокую экспертизу в области ИБ
  • Наличие необходимых для работы лицензий ФСТЭК и ФСБ России — сертификация оборудования и аттестация автоматизированных систем согласно требованиям контролирующих органов.

При создании систем защиты данных и приложений АМТЕЛ-СЕРВИС придерживается унифицированного подхода, который включает следующие этапы работ:

Сбор, систематизация и анализ информации об ИТ-инфраструктуре и ИБ-системах, а также технологических и бизнес- процессах заказчика.

Оформление технического задания согласно ГОСТ 34.602-89, при необходимости – в соответствии с ведомственными стандартами или пожеланиями заказчика.

Проектная документация оформляется в соответствии с ГОСТ 34.601-90, ГОСТ 34.201-89, РД 50-34.698-90, программа и методика испытаний в соответствии с ГОСТ 34.603-92.

Поставка необходимых программных и технических средств, проведение монтажных и пусконаладочных работ, комплекс испытаний СОИБ.

Сбор, систематизация и анализ информации об ИТ-инфраструктуре и ИБ-системах, а также технологических и бизнес- процессах заказчика.

Оформление технического задания согласно ГОСТ 34.602-89, при необходимости – в соответствии с ведомственными стандартами или пожеланиями заказчика.

Проектная документация оформляется в соответствии с ГОСТ 34.601-90, ГОСТ 34.201-89, РД 50-34.698-90, программа и методика испытаний в соответствии с ГОСТ 34.603-92.

Поставка необходимых программных и технических средств, проведение монтажных и пусконаладочных работ, комплекс испытаний СОИБ.

Чтобы обеспечить защиту серверов, локальных компьютерных сетей и рабочих станций, мы используем лучшие мировые и отечественные практики, передовые средства защиты с доказанной эффективностью. Качество услуг АМТЕЛ-СЕРВИС подтверждено положительным опытом клиентов, высокой квалификацией сотрудников и международными сертификатами ISO 20 000, ISO 9001. Мы входим в ТОП-30 ведущих российских компаний в сфере защиты информации.

доступ к серверной. — Форум по вопросам информационной безопасности

доступ к серверной. — Форум по вопросам информационной безопасности

Помогите. Нужно сделать бумажку(приказ, распоряжение) о запрете доступа к серверным помещениям посторонним лицам, но при этом пускать туда по заявке или еще чему с записями в журналы обслуживающие компании(аутсорсинг-конторы), в случае ремонта или замены оборудования. Нужно чтобы это все дело ссылалось на какой-либо документ(закон, постановление и т.д.). Смотрел бегло СТР-К там есть что-то по ограничению доступа(в форме требований), но этого мало. Может у кого есть шаблоны?

p.s.
Смысл бумажки в том, чтобы аутсорсинговые конторы в случае ремонтов звонили или писали заявки, заполняли журналы, короче был их контроль действий со стороны нашей организации.

Если у вас в серверной не обрабатывается гостайна и конфиденциальная информация — то никакая ссылка на документ не поможет. Иначе читайте нормативные документы по соответствующему направлению.

В большинстве случаев меры по защите информации определяются собственником информации, вам не нужно никакой форме делать ссылки на документы.

Хотите запариться-скажите, что вы охраняете инфу в серверных в соответствии с 3-1 =))

А так вам правильно сказали делаете приказ как считаете нужным и вперед.

Безопасность серверного помещения как составляющая безопасности предприятия

Архив номеров / 2016 / Выпуск №10 (167) / Безопасность серверного помещения как составляющая безопасности предприятия

АЛЕКСАНДР САМАРИН, аудитор информационных систем, samar1n@yandex.ru

Безопасность серверного помещения
как составляющая безопасности предприятия

Рекомендации и отдельные требования к серверному помещению для малого и среднего бизнеса

Сегодня в связи с развитием электронных платежей к некоторым серверным помещениям предъявляются требования не менее высокие, чем к кассовым хранилищам ценностей. Логика здесь понятна. Если из кассового помещения пропадает материальный предмет и недостача рано или поздно будет выявлена, то пропажа ценной информации из серверной неприводит к какой-либо недостаче и называется профессионалами «утечкой информации». Выявить утечку информации крайне сложно, а иногда и невозможно, что, собственно, определяет весь подход к безопасности серверного помещения.

В рамках данной статьи мы не будем обсуждать требования к помещениям процессинговых карточных центров и/или стандартов типа PCI/DSS.

Примечание: PCI/DSS – Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт [1].

Читателю предлагается ознакомиться с простыми, объективными требованиями защиты серверного или коммутационного оборудования в специально выделенном помещении, называемом серверной комнатой, проще серверной.

Место расположения серверной и его особенности

Во многих финансовых организациях серверная располагается внутри строго контролируемой зоны, аналогично кассовому помещению, которая недоступна для обычных посетителей. Распределение зон доступа позволяет организовать «эшелонированную оборону» от несанкционированного проникновения в служебные кабинеты и специальные жизненно важные помещения, к каким необходимо отнести серверную.

Большинство организаций арендуют помещения в силу финансовых возможностей. Как следствие, возникают серьезные трудности при выборе идеальных условий для размещения серверной. Тем не менее перечислим некоторые угрозы, которые заведомо несут риск для серверного помещения:

  • Серверная, расположенная на первом или цокольном этаже здания, не должна иметь окон. В противном случае необходимо ставить решетки и датчики контроля «напроникновение», а также обязательно поддерживать требуемые климатические условия (температура, влажность).
  • Серверная не должна иметь «слабые» смежные стены с соседними организациями. Для этого по возможности серверную целесообразно расположить в центре всего периметра помещений, занимаемых организацией. Если возможность отсутствует, придется либо укреплять стены серверной, либо устанавливать датчики «на пролом». Отметим, чтоугловые комнаты здания обычно ограничены капитальными стенами, но для серверной должны быть соблюдены климатические условия помещения, а поэтому необходим осознанный выбор местоположения.
  • Особый риск представляют собой трубы и коммуникации, проходящие сквозь серверное помещение и не предусмотренные технологическими условиями. В арендованных помещениях могут встречаться водопроводные, канализационные, газовые трубы, которые более не используются по назначению, однако гарантий, что эти трубы непреподнесут «сюрприз», нет. Если какая-либо вероятность подтопления существует, то на полу устанавливают датчики «на подтопление».
  • Уборка серверного помещения должна выполняться при непосредственном участии ИТ-специалиста, отвечающего за исправность оборудования в серверной. С техническими служащими, допущенными к уборке, необходимо подписать соглашение о неразглашении – это важно. Если допуск технических служащих не планируется, то уборка выполняется силами сотрудников ИТ-подразделения.
  • В серверной необходимо запретить распитие напитков, прием пищи и курение. Персонал должен посещать серверную в чистой или сменной обуви. В дата-центрах устанавливают автоматы для формирования полиэтиленовых бахил на обувь.
  • Не рекомендуется размещать серверное помещение рядом с лестницами, вентиляционными трубами, лифтовыми шахтами, которые могут являться источником электромагнитных помех. Использование радиостанций и радиотелефонов в серверной также может взаимно являться источником случайных помех и для радио и для ИТ-оборудования.

Статью целиком читайте в журнале «Системный администратор», №10 за 2016 г. на страницах 29-31.

PDF-версию данного номера можно приобрести в нашем магазине.

ИТ безопасность сайта и сервера

Делая первые шаги в Интернет – бизнесе либо уже имея в наличии действующее «дело» подобного характера, практически каждому владельцу приходится столкнуться (причем, зачастую неоднократно) с угрозами безопасности сайта, на котором они зарабатывают деньги.

Сразу хотелось бы уточнить, что защита сайта может быть предусмотрена уже на этапе его разработки. Хотя, нередко о данной функции вспоминают только при наличии уже каких-то проблем в данном вопросе.

Основная цель защиты сайта – это разработка достойного ресурса, который будет в состоянии предельно удовлетворить все требования безопасности либо же приведения к данным требованиям уже функционирующего Интернет – ресурса путем проведения анализа потенциально опасных или используемых уязвимостей с их последующей ликвидацией.

Необходимо четко осознавать, что безопасность сайта под собой подразумевает не только лишь защищенный надежно код и используемое ПО, но также максимально возможную безопасность сервера, на котором непосредственно он и запущен.

Основные цели проведения аудита безопасности:

  • Поиск и выявление «слабых мест», через которые злоумышленник получит возможность попасть в обход имеющихся легитимных инструментов управления к административным функциям определенного сайта или даже всего сервера (вот здесь-то и будет очень актуальная упомянутое выше обеспечение безопасности сервера);
  • Проведение анализа всех возможных рисков, которые связаны с осуществлением реальных угроз безопасности;
  • Внедрение надежных средств, которые смогут гарантированно обеспечить безопасность сервера и сайта;
  • Предоставление каждому клиенту полезных рекомендаций на тему внедрения самых действенных механизмов для обеспечения защиты сайта;
  • Оценка фактического соответствия уровня имеющейся защищенности системы действующим стандартам в сфере информационной безопасности.

Работа по обеспечению безопасности сервера включает в себя:

  • Своевременное обновление CMS, а также очистку самого кода сайта;
  • Обновление операционной системы сервера;
  • Поиск и последующее устранение вирусов и бэкдоров, угрожающих безопасности сайтов;
  • Обеспечение защиты всех имеющихся данных;
  • Антиспам, а также настройка SPF и DKIM;
  • Защита от опасных DDOS;
  • Установка патчей и всех обновлений;
  • Настройка специальной программы – антивируса;
  • Гарантированная защита практически от всех существующих на сегодняшний день векторов атак;
  • Выполнение php-кода без малейшей угрозы безопасности и пр.

Кому будет полезен аудит ИБ

Ответ на данный вопрос прост – абсолютно всем организациям, нацеленным на успешную и продуктивную работу. Никогда не получится построить действительно успешный бизнес, если безопасность сайта оставляет желать лучшего. Вполне логично, что в подобной ситуации значительно снижается уровень доверия пользователей, а вместе с тем и понижается посещаемость ресурса. Проще говоря, если безопасность сервера или же сайта не на высоте, владелец рискует довольно большими деньгами (потерей прибыли).

С учетом того, что злоумышленником привлекают абсолютно все современные Интернет – ресурсы, предложенный аудит ИБ все-таки нельзя назвать бесполезной тратой денег. Скорее это вложения в гарантированную стабильность.

С чем связана невостребованность аудита безопасности

К сожалению, в подавляющем большинстве случаев только лишь из-за непонимания того, какое важное значение имеет грамотно организованная защита сайта. Да, очень мало компаний готовы сегодня платить (правда, достаточно большие суммы) за «одно лишь только» проведение проверки на угрозы компрометации всей системы (то есть, определение реального уровня безопасности сайта). И это все происходит потому, что никто не информирует владельцев ресурсов о том, насколько распространены хакерские атаки. Слишком часто организацию начинает беспокоить защита сайта только тогда, когда уже имеют место быть реальные материальные потери. Однако гораздо лучше делать свои выводы все же из чужих ошибок, а не терять при этом собственные деньги!

Информационная безопасность

Практика информационной безопасности

вторник, 23 февраля 2010 г.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Часть 2

В этой части рассмотрены следующие вопросы:

  • Проектирование программы физической безопасности
  • Здание
  • Конструкция
  • Точки входа
  • Двери
  • Окна
  • Внутренние помещения
  • Серверные и кроссовые помещения

2.2. Проектирование программы физической безопасности

Если группа физической безопасности должна оценить уровень защиты существующего здания, ей нужно проанализировать следующее:

• Внутренние элементы:

  • Системы отопления, вентиляции и кондиционирования воздуха (HVAC)
  • Материал, из которого изготовлены стены и потолки
  • Системы распределения электроэнергии
  • Схемы и виды коммуникаций (медь, телефон, оптоволокно)
  • Использование опасных материалов

• Внешние элементы:

  • Топография
  • Близость аэропортов, автомагистралей, железных дорог
  • Потенциальные электромагнитные помехи от окружающих устройств
  • Климат
  • Грунт
  • Существующие ограждения, датчики движения, камеры, барьеры
  • График рабочего времени сотрудников
  • Виды операционной деятельности компании, которые зависят от физических ресурсов
  • Транспортная активность
  • Соседи

Чтобы надлежащим образом собрать всю эту информацию, группа должна опросить и проинтервьюировать различных сотрудников. Эта информация поможет группе оценить текущие защитные меры, выявить слабые места и убедиться, что внедрение новых защитных мер не окажет негативного влияния на производительность работы компании.

Хотя обычно существуют написанные политики и процедуры, на основе которых должна быть реализована физическая безопасность, они не всегда совпадают с реальностью. Группе важно понаблюдать, как реально используется здание, как оно защищено и какая ежедневная деятельность создает уязвимости. Собранную в процессе наблюдения информацию следует задокументировать и сравнить с тем, что указано в политиках и процедурах. В большинстве случаев вы обнаружите существенные расхождения, которые должны быть учтены и исправлены. Простое написание политики бесполезно, если ее никто не будет соблюдать на практике.

Каждая компания должна соответствовать различным требованиям, например, требованиям по охране здоровья, пожарной безопасности, государственным и местным строительным кодексам, требованиям государственных органов безопасности и охраны правопорядка, энергетическим требованиям, трудовому кодексу, требованиям регуляторов и других государственных учреждений. Группа разработки программы физической безопасности должна не только понимать все требования, которым должна соответствовать компания, а также знать, как добиться их соблюдения посредством процедур физической безопасности.

Требования законодательства должны быть также поняты и надлежащим образом учтены. Эти требования могут включать обеспечение возможности доступа для инвалидов, вопросы, связанные с обязательствами, нарушения при защите активов и людей, применение излишней силы и т.д. Существует обширный перечень последствий нарушения законодательства компанией, если она не делает то, что должна. Иногда проблемы с законом могут принимать криминальную форму, например, если двери настроены таким образом, что при отключении электроэнергии они автоматически закрываются, то при пожаре сотрудники могут оказаться запертыми и погибнуть, вследствие чего руководству компании могут быть предъявлены обвинения в преступной халатности. Проблемы с законом могут возникнуть даже из-за того, что компания не отчистила ото льда тротуар, а прохожий упал и сломал ногу – он может подать в суд на компанию. Компанию могут признать халатной и обязать компенсировать ущерб.

Другие публикации:  Кто производит перерасчет коммунальных платежей

Каждая компания должна иметь ответственного за безопасность здания (facility safety officer), который должен иметь полную информацию о здании, о потребностях компании в обеспечении защиты активов, а также о требованиях, которым должна соответствовать компания. Этот человек должен обеспечивать контроль выполнения задач по защите здания в рабочее и нерабочее время. Он должен быть вовлечен в работу группы, которая проводит оценку программы физической безопасности компании.

Программа физической безопасности – это набор защитных мер, которые внедрены и поддерживаются для обеспечения уровня защиты, необходимого для соответствия политике физической безопасности. Политика должна объединять все требования законодательства и регуляторов, которые должны быть соблюдены, чтобы уровень остаточных рисков находился на приемлемом уровне.

Теперь группа должна провести анализ рисков, который включает в себя выявление уязвимостей, угроз и оценку влияния выявленных угроз на бизнес. Этап проектирования программы следует начинать с общего описания структуры, которое будет взято за основу. Затем эта основа будет расширяться и дополняться необходимыми защитными мерами. Описание должно содержать категории программы и необходимые защитные меры. Ниже приведен упрощенный пример:

1. Сдерживание криминальной деятельности

  • Ограждения
  • Предупреждающие знаки
  • Охранники
  • Собаки

2. Задержка нарушителей, чтобы обеспечить их поимку

  • Замки
  • Внутренние защитные средства
  • Контроль доступа

3. Выявление нарушителей

  • Внешние детекторы вторжения
  • Внутренние детекторы вторжения

4. Оценка ситуации

  • Процедуры для охранников
  • Структура коммуникаций (calling tree — дерево оповещения)

5. Реакция на вторжения и разрушения

  • Команда реагирования
  • Процедуры действий в чрезвычайных ситуациях
  • Полиция, пожарные, медицинский персонал

Затем группа может начать поочередно рассматривать каждый из этих этапов программы безопасности здания.

Если компания решает построить здание, она должна учесть многие вещи перед заливкой первой порции бетона. Конечно, к этому моменту уже детально проанализированы цены на землю, количество проживающих в этой местности потенциальных клиентов и стратегия продаж, но нам, как специалистам по безопасности, более интересен уровень доверия и защиты, которую предоставляет данная местность. Некоторые компании, работающие с совершенно секретной или конфиденциальной информацией, делают свои здания незаметными, не привлекающими внимания потенциальных злоумышленников. Такое здание может быть трудно увидеть с близлежащих дорог, знаки компании и логотипы могут быть маленькими, не сообщающими никакой дополнительной информации, кроме простых названий и отметок, не позволяющих понять, что происходит внутри этого здания. Это тип городского камуфляжа, усложняющий поиск здания для злоумышленников.

Компании следует оценить, как далеко от здания находится полицейский участок, пожарная станция или больница. Часто близость таких учреждений заметно поднимает стоимость здания. К примеру, если химической компании, производящей мощную взрывчатку, требуется построить новое здание, лучше будет разместить его недалеко от пожарной станции (хотя персонал пожарной станции вряд ли будет счастлив). Если другая компания, которая производит и продает дорогие электронные устройства, расширилась и нуждается в переносе части операций в другое здание, время прибытия полиции может являться важным фактором, отличающим одно потенциальное место для здания от другого. Кроме того, близость любого из этих учреждений (полиция, пожарные, больница) может также уменьшить страховые ставки и позволить персоналу и руководству чувствовать себя увереннее. Помните, что наиважнейшая цель физической безопасности – это обеспечение безопасности людей. Необходимо постоянно помнить об этом при внедрении любых видов мер физической безопасности.

Некоторые здания построены в местах, окруженных холмами или горами, предотвращающими перехват электрических сигналов, излучаемых установленным в здании оборудованием. В некоторых случаях компания сама создает искусственные холмы или использует другие способы изменения ландшафта для защиты от прослушивания. Некоторые здания строят под землей или на склонах гор для сокрытия и маскировки в естественном окружении и для защиты от радарных средств, шпионской деятельности и бомбардировок с воздуха.
Вопросы при выборе места для здания. Когда выбирается место для здания, для принятия правильного решения следует обратить пристальное внимание на некоторые из следующих вопросов: • Видимость

  • Окружающая местность
  • Знаки и отметки здания
  • Типы соседей
  • Население в этой местности

• Окружающая область и внешние объекты

  • Уровень преступности, массовые беспорядки, террористические атаки
  • Близость полиции, медицинских учреждений, пожарных станций
  • Возможные угрозы окружающей среды

• Доступность

  • Дороги
  • «Пробки»
  • Близость аэропортов, железнодорожных вокзалов, автомагистралей

• Природные катастрофы

  • Вероятность наводнений, торнадо, землетрясений или извержения вулканов
  • Опасности местности (оползни, падающие с гор камни, экстремальные дожди или снегопады)

Планируемые конструкционные материалы и структура здания должны быть оценены на предмет того, подходят ли они для этой местности. Также следует оценить их защитные характеристики, практичность, стоимость и преимущества. Различные строительные материалы обеспечивают различный уровень огнеупорности, имеют различные пожарные рейтинги. При принятии решений в отношении конструкции, выбор типов конструкционных материалов (дерево, бетон или сталь) должен учитывать цели использования здания. Если здание предполагается использовать для хранения документов и старого оборудования, требования законодательства к нему будут сильно отличаться от требований к зданию для ежедневной работы людей.

Должна быть заранее определена и учтена в проекте предельная нагрузка на стены здания, полы и потолки для уверенности в том, что здание не рухнет в какой-либо ситуации. В большинстве случаев, это может быть продиктовано местными строительными кодексами. Стены, потолки и полы должны состоять из определенных материалов, чтобы соответствовать требуемому пожарному рейтингу и обеспечивать защиту от угрозы затопления. Может потребоваться, чтобы окна обеспечивали защиту от ультрафиолетовых лучей, были небьющимися, полупрозрачными или, наоборот, непрозрачными. Это зависит от размещения окна и целей использования здания. Может потребоваться обеспечить, чтобы двери (внешние и внутренние) открывались в определенном направлении, имели определенный пожарный рейтинг (как у окружающих стен), делали невозможным проход под принуждением, имели знаки аварийного выхода и, в зависимости от размещения, имели установленную и подключенную сигнализацию. В большинстве зданий используется фальшпол для скрытия и защиты проводов и труб, но нужно учитывать, что при этом такие полы должны быть электрически заземлены, поскольку они приподняты.

Все эти требования могут быть предусмотрены в строительных кодексах, но почти всегда остается несколько различных вариантов в рамках каждого требования. Группа разработки программы физической безопасности должна проанализировать эти возможные варианты для обеспечения дополнительной защиты. Выбор правильных вариантов позволит обеспечить потребности компании в части безопасности и функциональности наиболее эффективным с экономической точки зрения способом.
Заземление. Если вы возьмете в руки кабель питания, вы увидите, что вилка на нем имеет два тонких металлических контакта и один толстый. Зачем нужен толстый контакт? Это подключение заземления, которое должно работать как проводник для отвода любых превышений напряжения электрического тока, что необходимо для защиты людей и оборудования от перепадов напряжения. Как вы думаете, куда должно быть подключено заземление? Правильно, к земле. Но, к сожалению, многие здания имеют неправильную проводку и провод заземления ни к чему не подключен. Это может быть очень опасно, так как повышенному напряжению некуда будет деваться, и он попадет в ваше оборудование или в вас. Для обеспечения физической безопасности, в процессе проектирования и постройки здания следует учесть следующие основные вопросы:

• Стены

  • Горючесть материала (дерево, сталь, бетон)
  • Пожарный рейтинг
  • Укрепления для защищенных областей

• Двери

  • Горючесть материала (дерево, сталь, бетон)
  • Пожарный рейтинг
  • Сопротивление силовому проникновению
  • Аварийная маркировка
  • Размещение
  • Запертые или контролируемые входы
  • Сигнализация
  • Защита петель
  • Направленное открывание
  • Электрические дверные замки, которые возвращающиеся в открытое состояние для безопасной эвакуации людей в случае отсутствия электропитания
  • Тип стекла – требования в отношении небьющегося или пуленепробиваемого стекла

• Потолки

  • Горючесть материала (дерево, сталь, бетон)
  • Пожарный рейтинг
  • Нагрузочный рейтинг
  • Решения в отношении подвесного потолка

• Окна

  • Требования полупрозрачности или затемнению
  • Защита от разбивания
  • Сигнализация
  • Размещение
  • Доступность для злоумышленников

• Пол

  • Нагрузочный рейтинг
  • Горючесть материала (дерево, сталь, бетон)
  • Пожарный рейтинг
  • Фальшпол (электрическое заземление)
  • Изоляционная поверхность и материал

• Отопление, вентиляция и кондиционирование воздуха

  • Положительное (выше атмосферного) давление воздуха
  • Защищенные вентиляционные отверстия
  • Выделенные линии электропередачи
  • Аварийные запорные вентили и переключатели
  • Размещение

• Источники электроэнергии

  • Резервные и альтернативные источники электроэнергии
  • Чистые и постоянные источники энергии
  • Выделенные передающие линии (фидеры) в областях, где это необходимо
  • Размещение и доступ к распределительным панелям и автоматическим выключателям

• Водопровод и газопровод

  • Запорные вентили – помеченные и ярко окрашенные для заметности
  • Положительные потоки (вещество потока должно выходить наружу, а не внутрь здания)
  • Размещение – правильное расположение и маркировка

• Обнаружение и тушение пожара

  • Размещение датчиков и сенсоров
  • Размещение системы пожаротушения
  • Тип датчиков и огнетушащее вещество

Результаты анализа рисков помогут группе определить тип конструкционного материала, который следует использовать при строительстве нового здания. Есть несколько типов материалов для строительства здания. Например, легкие конструкционные материалыимеют меньшую огнеупорность и сопротивляемость взлому. Эти материалы изготовлены из опилок, которые горят во время пожара. Легкие конструкционные материалы обычно используются при строительстве домов, что связано, в первую очередь, с низкой стоимостью таких материалов, а также с тем, что в домах обычно не возникает таких видов пожаров и угроз вторжения, как в офисных зданиях.

Для строительства офисных зданий обычно используются тяжелые деревянные строительные материалы. Горючие легкие материалы из опилок также используются в конструкциях такого типа, но для них устанавливаются требования по толщине и составу материала с целью обеспечения большей огнеупорности. Конструкционные материалы должны иметь толщину не менее 4 дюймов (10,2 см). При использовании, прочное дерево плотно соединяется металлическими болтами и пластинами. В то время как конструкции из легких материалов сопротивляются огню около 30 минут, конструкции из тяжелых деревянных материалов – около часа.

Здание может быть построено из негорючих материалов, например, стали, которая обеспечивает более высокий уровень огнеупорности, чем упомянутые ранее материалы, но она теряет прочность при высоких температурах, что может привести к обрушению здания. Если здание строят из огнеупорного материала, в материал бетонных стен и поддерживающих балок вмонтируют стальные прутья. Это обеспечивает еще большую огнеупорность и повышает защиту от силового проникновения.

Группе следует выбрать конструкционный материал на основе выявленных угроз для компании и противопожарных требований, которые компания должна соблюдать. Если компания собирается разместить в здании только нескольких офисных работников и при этом она не имеет реальных врагов, которые могут попытаться уничтожить ее здание, она может использовать легкие материалы или тяжелые деревянные материалы. Здание для правительственной организации, которой угрожают террористические акты, должно быть построено из огнеупорного материала. Финансовые компании также должны использовать огнеупорные и усиленные материалы в своих зданиях. Это особенно важно для внешних стен, в которые злоумышленники могут направить машины, чтобы пробить их и получить доступ в хранилище.

Расчеты приблизительного времени проникновения при использовании различных типов взрывчатки основываются на толщине бетонных стен и калибре использованной арматуры (под арматурой подразумеваются стальные прутья, вмонтированные в бетон). Даже если разрушить бетон, потребуется еще сломать или разрезать арматуру. Используя толстую арматуру и правильно размещая ее внутри бетона можно обеспечить еще большую защиту.
Укрепленные стены, арматура, использование двойных стен позволяет создать задерживающие механизмы. Идея заключается в создании для злоумышленников условий, которые заставят их потратить больше времени на преодоление укрепленных стен, что даст необходимое время службам реагирования для прибытия на место и ареста злоумышленников.

Очень важно понимать, какие и какого типа точки входа в конкретное здание необходимы компании. Среди различных типов точек входа могут быть такие, как двери, окна, доступ через крышу, пожарные выходы, трубы и служебные точки доступа. Также, типами точек входа являются внутренние двери, разделяющие различные части здания, внешние двери, эскалаторы и лестничные колодцы. Окна на уровне земли должны быть защищены, поскольку их легко разбить. Про пожарные выходы, лестничные колодцы, выходящие на крышу, и трубы часто забывают, но они также являются потенциальными точками входа.
ПРИМЕЧАНИЕ. Вентиляционные каналы и служебные туннели могут также быть использованы злоумышленниками и поэтому должны быть соответствующим образом защищены сигнализацией и механизмами контроля доступа. Наислабейшая часть здания, которой обычно являются окна и двери, наверняка будет атакована первой. Если взглянуть на дверь, ее слабыми местами обычно являются дверная коробка, петли и материал двери. Болты, дверная коробка, петли и материал – это именно то, что обеспечивает определенный уровень стойкости двери и ее защищенности. Например, если компания использует мощные цельнометаллические двери, но при этом они устанавливаются на слабые петли, то эти двери могут быть просто сняты злоумышленником. Таким образом, деньги на укрепленные двери компанией были потрачены зря.

Дверь, окружающие стены и потолок должны обеспечивать одинаковый уровень защиты. Если компания имеет отлично усиленную и защищенную дверь, но материалом окружающих стен является легкое дерево, это также означает, что деньги на дверь потрачены зря. Нет смысла тратить много денег только на одну контрмеру, ведь злоумышленнику проще преодолеть более слабую контрмеру, находящуюся в непосредственной близости.

Существуют различные типы дверей, предназначенные для разных целей:

  • Двери хранилища
  • Двери для прохода персонала
  • Промышленные двери
  • Двери для проезда автомобилей
  • Пуленепробиваемые двери

Двери могут быть пустотелыми или полнотелыми. Группа разработки программы физической безопасности должна понимать различные типы входов и угрозы потенциального силового проникновения, что поможет ей правильно выбрать тип дверей, который следует использовать. Через пустотелые двери достаточно легко проникнуть, сломав или разрезав их, поэтому они обычно используются как внутренние. Вместно них, группа может выбрать полнотелые двери, которые изготавливаются из различных материалов, обеспечивающих различный пожарный рейтинг и различный уровень защиты от силового проникновения. Как уже было сказано ранее, пожарный рейтинг и уровень защиты двери должен соответствовать пожарному рейтингу и уровню защиты окружающих стен.

Возможно использование пуленепробиваемых дверей, если существует соответствующая угроза. Такие двери изготавливаются в виде «бутерброда» из пуленепробиваемого материала между деревянными или стальными слоями. Эти слои нужны для придания двери эстетичного вида, а пуленепробиваемый слой обеспечит необходимую защиту.

Петли и пластины замков должны быть защищены, в особенности для внешних дверей и дверей, защищающих вход в критичные помещения. Петли следует крепить заклепками, которые не могут быть удалены. Дверная коробка должна предоставлять такой же уровень защиты, как и дверь в целом.

Другие публикации:  Простой договор найма квартиры бланк

Пожарный кодекс содержит требования по числу и размещению дверей с приспособлениями для аварийного выхода. Это перекрестные планки, освобождающие внутренний замок для открытия запертой двери. Приспособления аварийного выхода могут размещаться как на обычных входных дверях, так и на дверях аварийного выхода. Их наличие обычно отмечается специальными знаками, на которых дополнительно указывается, что эти двери не предназначены для выхода в обычных условиях. Эти двери снабжают сигнализацией, которая сработает, если кто-то откроет их.

Шлюзы и турникеты могут использоваться для того, чтобы заблокировать в них посетителей, несанкционированно проникших в здание, чтобы они не могли самостоятельно выйти. Шлюз (mantrap) – это маленькая комната с двумя дверями. Проход через шлюз осуществляется следующим образом. В начале первая дверь заперта. Охранник, либо специализированная система (биометрическая или использующая смарт-карты) проводит идентификацию и аутентификацию входящего. После того, как личность человека проверена и доступ ему разрешен, первая дверь открывается и человек входит в шлюз. Первая дверь закрывается за ним, и человек в ловушке. Человек должен быть повторно аутентифицирован перед тем, как вторая дверь откроется и позволит ему пройти в здание. Некоторые шлюзы используют биометрические системы, которые проводят взвешивание вошедшего человека, чтобы гарантировать проход только одного человека.

Существует два варианта настройки дверей с автоматическими замками: на защиту активов, либо на безопасность персонала. Настройка двери на безопасность персонала (нормально открытая, fail-safe) означает, что при отключении электропитания дверь автоматически открывается, и работавший в помещении персонал может беспрепятственно и быстро покинуть его (например, до срабатывания газовой системы пожаротушения в случае пожара). Настройка двери на защиту активов (нормально закрытая, fail-secure) означает, что при отключении электропитания дверь остается закрытой.

Окна должны быть правильно размещены (нужно учесть, что здесь часто сталкиваются безопасность и эстетизм), иметь прочный каркас, необходимый материал стекол и, возможно, защитное покрытие. Обычно применяются следующие варианты материала стекол: стандартные, закаленные, акриловые, армированные и многослойные. Стандартные оконные стекла (standard glass) легко разбить. Обычно такие стекла используются в жилых домах. Закаленные стекла (tempered glass) изготавливаются путем их нагревания и последующего быстрого охлаждения. Разбить такое стекло значительно труднее, обычно оно в 5-7 раз прочнее, чем стандартное стекло.

Акриловые стекла (acrylic glass) могут быть изготовлены из поликарбонатного акрила. Они прочнее стандартного стекла, но при нагревании они выделяют токсичные вещества. Поликарбонатный акрил прочнее обычного акрила, хотя оба они изготавливаются из прозрачного пластика. В связи с горючестью таких стекол, их использование может быть запрещено пожарным кодексом. Наипрочнейшим материалом для окон является прессованное поликарбонатное стекло. Оно противостоит широкому кругу угроз (огонь, химическое воздействие, попытки разбития), однако оно очень дорогое. Этот тип стекла следует использовать в помещениях, подверженных максимальным угрозам.

Некоторые окна изготавливают из армированного стекла (wired glass). В действительности это два стекла со специальной проволокой между ними. Проволока уменьшает вероятность разбития или разрезания стекла.

Многослойное стекло (laminated glass) – это два слоя стекла с пластиковой пленкой между ними. Эта пластиковая пленка затрудняет разбитие стекла. В зависимости от материала стекла и типа пластика меняется устойчивость к разбитию этого многослойного стекла.

Часто стекла имеют пленки, обеспечивающие защиту от жары и холода. Они не пропускают ультрафиолетовые лучи и обычно являются тонированными, что затрудняет злоумышленникам подглядывание и наблюдение за происходящей внутри деятельностью. Существуют пленки, обеспечивающие повышенную защиту от разбития даже на случай взрыва бомбы, шторма, попыток взлома злоумышленниками.
Типы окон. Специалисты по безопасности могут быть привлечены на этапе планирования постройки здания, чтобы учесть все аспекты, необходимые при постройке безопасного здания и его окружения. Ниже приведена обобщающая информация по всем типам окон, которые могут быть использованы.

  • Стандартное. Без дополнительной защиты. Дешевое, обеспечивает минимальный уровень защиты.
  • Закаленное. Стекло нагрето и затем быстро охлаждено для увеличения прочности.
  • Акриловое. Разновидность пластика вместо стекла. Поликарбонатный акрил прочнее, чем обычный акрил.
  • Армированное. Проволочная сетка между двумя слоями стекла. Проволока помогает предотвратить разбитие или разрезание стекла.
  • Многослойное. Слой пластика между двумя слоями стекла. Пластик помогает защитить стекло от разбития.
  • Пленка, защищающая от солнечного света. Обеспечивает дополнительную безопасность за счет тонирования. Кроме того, пленка защищает стекло от разбития.
  • Защитная пленка. Прозрачная пленка, усиливающая стекло.

Многие элементы здания должны рассматриваться с точки зрения безопасности. Внутренние перегородки используются для того, чтобы создать барьеры между различными помещениями. Эти перегородки могут использоваться для разделения отдельных помещений, но их не следует использовать для отделения защищенных помещений, в которых находятся критичные системы и устройства. Многие здания имеют фальшпотолки. Между фальшпотолком и настоящим потолком остается некоторое пространство, в которое потенциально может проникнуть злоумышленник, подняв панель фальшпотолка. Такой пример показан на Рисунке 4-4. Во многих случаях, для этого не требуется специальных средств и серьезных усилий, а в некоторых офисных зданиях это можно сделать даже из публичных холлов). Такой тип внутренних перегородок не следует использовать для защиты критичных помещений.

Необходимо иметь персонал, отвечающий за надлежащую поддержку и эксплуатацию серверных комнат. На сегодняшний день большинство серверов, маршрутизаторов, мостов, мейнфреймов и другого оборудования размещено в серверных комнатах и всем этим оборудованием можно управлять удаленно. Это позволяет обеспечить поддержку функционирование этого оборудования небольшим количеством людей. Поскольку в серверных комнатах больше нет рабочих мест для постоянно работающего персонала, эти комнаты могут быть построены более эффективно для оборудования, а не для людей.

Небольшие устройства можно устанавливать вертикально для экономии места. Их следует монтировать в специальные серверные стойки или шкафы. Проводку следует размещать вблизи от оборудования для снижения стоимости кабелей и рисков их повреждения.

Центры обработки данных (ЦОД), серверные комнаты и кроссовые помещения следует размещать в центральных областях здания, вблизи от кабельных распределительных центров. Для ограничения доступа в такие помещения должны применяться строгие механизмы и процедуры контроля доступа, которые могут использовать смарт-карты, биометрические считыватели или комбинированные замки, как было описано в Домене 02. Такие помещения должны иметь только одну входную дверь, однако требования пожарного кодекса обычно указывают на необходимость установки двух дверей для большинства ЦОД’ов и серверных комнат. В таком случае, только одна дверь должна использоваться постоянно для входа и выхода, а другая дверь должна использоваться только в аварийных ситуациях. Эта вторая дверь не должна позволять войти в помещение – она должна обеспечивать возможность только для аварийного выхода. Она должна быть постоянно закрыта, но на ней должно быть установлено приспособление для аварийного открывания, позволяющее открыть замок при необходимости.

Желательно, чтобы входы в эти помещения ограниченного доступа не были расположены в публичных местах, таких как лестницы, коридоры, лифты, комнаты отдыха и т.д. Люди, которые подходят к дверям защищенных помещений, скорее всего, имеют соответствующие цели, а не просто идут мимо них по пути в комнату отдыха и не стоят вокруг, разговаривая друг с другом.

Поскольку в ЦОД’ах обычно находится дорогое оборудование и критичные данные компании, их защита должна быть тщательно продумана перед реализацией. ЦОД’ы не следует размещать на верхних этажах здания, так как в них сложнее (и дольше) будет попасть аварийной команде в случае пожара. По этой же причине не следует размещать ЦОД’ы в подвале, чтобы возможное затопление не могло повредить серверы. Если здание размещено в холмистой местности, размещать ЦОД лучше выше уровня земли. ЦОД следует размещать в самом центре здания для обеспечения защиты от природных катастроф, бомб, а также для предоставления более простого доступа аварийной команде в случае необходимости.

Какие средства контроля доступа и обеспечения безопасности следует применять для защиты ЦОД’а, зависит от критичности обрабатываемых в нем данных и от требуемого уровня защиты. Сигнализация на дверях ЦОД’а должна быть включена в нерабочее время, должна существовать политика, определяющая порядок предоставления доступа в ЦОД в рабочее и нерабочее время, а также в случае аварий. Если для входа в ЦОД используется кодовая комбинация, она должна изменяться не реже, чем раз в полгода, а также сразу же после увольнения любого сотрудника, знавшего эту комбинацию.

Различные защитные меры, которые будут описаны далее, показаны на Рисунке 4-5. Группа, ответственная за проектирование нового ЦОД’а (или оценку имеющегося ЦОД’а), должна понимать все защитные меры, показанные на Рисунке 4-5, и быть способна правильно их выбирать.

ЦОД должен быть построен как отдельное помещение. Это помещение должно быть расположено вдали от проходящих по зданию труб водоснабжения, т.к. в случае их прорыва может произойти затопление помещений в непосредственной близости от них. Входные отверстия и трубы систем HVAC следует защищать какими-либо барьерами (например, металлическими прутьями), сами трубы должны быть сделаны тонкими, чтобы исключить возможность проникновения в ЦОД через них. В помещении ЦОД’а должно быть положительное (выше атмосферного) давление воздуха, чтобы грязь и пыль не попадали в него и в компьютерные вентиляторы.

Во многих ЦОД’ах рядом с дверью есть аварийный выключатель электропитания, чтобы можно было отключить электропитание в случае необходимости. В случае пожара сотрудник может быстро обесточить помещение ЦОД’а и покинуть его до включения системы пожаротушения. Это особенно важно, если используемое системой пожаротушения вещество основано на воде, так как вода проводит электричество, что не очень хорошо, особенно во время пожара. Компания может установить систему пожаротушения, связанную с этим выключателем и автоматически обесточивающую ЦОД перед своим включением. (Вещество, используемое системой пожаротушения, может быть газом или водой. Газ обычно является наилучшим выбором для помещения, заполненного компьютерами. Мы рассмотрим различные вещества, использующиеся в системах пожаротушения, в разделе «Предотвращение, выявление и тушение пожара» далее в этом Домене).

Портативные огнетушители следует размещать поблизости от оборудования, они должны быть хорошо заметны и легкодоступны. На потолке следует устанавливать дымовые или пожарные датчики, под фальшполом – датчики воды. Важно, чтобы вода не попала под фальшпол, где размещена вся проводка, поэтому следует установить звуковую сигнализацию, реагирующую на наличие воды.
ПРИМЕЧАНИЕ. Влага в ЦОД’е или здании может привести к появлению плесени и ржавчины, что легко может превратиться в проблему. Желательно использовать промышленные осушители, водопоглотители и т.п., чтобы избежать этой проблемы. Вода может вызвать серьезные повреждения оборудования, пола, стен, компьютеров, фундамента здания. Очень важно обеспечить возможность своевременного выявления утечек воды. Датчики воды следует устанавливать под фальшполом и над фальшпотолком (для выявления протечек с верхних этажей). Размещение этих датчиков должно быть документировано или помечено, чтобы их можно было легко найти. Как дымовые и пожарные датчики, датчики воды должны быть подключены к системе сигнализации. Сигнализация обычно посылает сигнал тревоги только специальному персоналу, а не всем в здании. Этот персонал отвечает за анализ причин срабатывания сигнализации, и специально обучен, в т.ч. и по вопросу минимизации ущерба от потенциального воздействия воды. Перед выяснением, какие помещения могли быть затоплены, следует временно обесточить ту часть здания, где сработали датчики воды.

Датчики воды могут предотвратить повреждение:

  • Оборудования
  • Пола
  • Стен
  • Компьютеров
  • Фундамента здания

Места, где следует устанавливать датчики воды:

  • Под фальшполом
  • Над фальшпотолком

Очень важно поддерживать надлежащий уровень температуры и влажности в ЦОД’ах, для этого в таких помещениях должны быть установлены специализированные HVAC-системы. Слишком высокая температура может стать причиной перегрева и отключения оборудования, слишком низкая температура может привести к снижению его производительности. При высокой влажности воздуха вероятна коррозия отдельных частей компьютеров, при, наоборот, низкой влажности вероятно появление статического электричества. В связи с этим, ЦОД должен иметь собственное управление температурой и влажностью воздуха, независимое от остальной части здания.

Лучше всего подключать ЦОД к отдельной от остальной части здания системе электроснабжения, если это возможно. Если возникнут проблемы с электроснабжением основной части здания, это не затронет ЦОД. Также, ЦОД может требовать наличия дублирующего электропитания, что можно обеспечить за счет двух или более вводов электричества от нескольких независимых электрических подстанций. Идея заключается в том, что если один из вводов потеряет мощность, компания будет по-прежнему получать электроэнергию с другой подстанции.

Однако наличие двух или более вводов электричества само по себе не означает, что обеспечено дублирование системы электроснабжения. Очень часто оказывается, что оба ввода идут с одной и той же подстанции, хотя компания платит за оба этих ввода! Это сводит на «нет» весь смысл нескольких вводов электричества.

ЦОД’ы должны иметь собственные системы резервного питания, либо источники бесперебойного питания (ИБП) и генераторы. Различные типы систем резервного электропитания обсуждаются далее в этом Домене. На данном этапе важно знать, что резервные системы должны обладать достаточной мощностью для поддержки работы ЦОД’а.

Многие компании делают стены ЦОД’а из больших стеклянных панелей, чтобы персонал в ЦОД’е был постоянно на виду. Это стекло должно быть небьющимся, поскольку оно выполняет функцию наружных стен. Двери ЦОД’а не должны быть полыми. Двери должны открываться наружу, чтобы не повредить оборудование при открытии. Лучшие практики говорят о том, что дверной проем должен быть закреплен в стене специальными шпильками, и что на двери должны быть установлены как минимум три петли. Эти характеристики сделают дверь более устойчивой к взлому.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *