Securityinfo
  • Strona główna
  • Publikacje
  • Zespół
  • Współpraca
  • Kontakt
Szukaj w Securityinfo
Nawigacja: Strona główna » Publikacje » Bezpieczeństwo informacji — Bezpieczeństwo fizyczne (część pierwsza)

Bezpieczeństwo informacji — Bezpieczeństwo fizyczne (część pierwsza)

Aktualizacja: „Odświeżona” wersja artykułu ukazała się w numerze 3/2007 pisma Boston IT Security Review.

1. „Przecież mamy firewalla”

Powszechne jest przeświadczenie, że firewall chroni przed wszystkimi zagrożeniami, jakie mogą czyhać na informacje posiadane przez firmę. Wydawane są ogromne pieniądze na kolejne systemy wykrywania włamań w sieciach, ściany ogniowe, oprogramowanie antywirusowe, wirtualne sieci prywatne. Zabezpieczenia te są niewątpliwie potrzebne, ale dotyczą warstwy sieciowej. Zapominamy natomiast o bezpieczeństwie fizycznym i środowiskowym. Poufne dane można zdobyć nie podsłuchując ich w czasie transmisji, ale włamać się do biura i ukraść stojący w korytarzu serwer plików.

Idąc dalej tą ścieżką — doskonale skonfigurowany firewall chroniący łącze internetowe nie ochroni sieci firmy, jeśli któryś z pracowników zainstaluje w swoim komputerze modem, a włamywacz wykorzysta go do wejścia do systemu. Tajne informacje o nowym produkcie nie muszą zostać zdobyte dzięki włamaniu na serwer, jeśli konkurencja znajdzie wydruki ze szczegółowymi opisami i raportami na śmietniku. Szczegóły umowy nie zostaną zdobyte przez złamanie sieci WiFi, ale dzięki podsłuchaniu rozmowy prowadzonej przez prezesów w kawiarni.

Zagadnienie bezpieczeństwa fizycznego w politykach bezpieczeństwa wielu firm traktowane jest powierzchownie. Może okazać się to niewybaczalnym błędem popełnionym przez autora tejże polityki…

W niniejszym opracowaniu skupiam się przede wszystkim na zagadnieniach związanych z bezpieczeństwem fizycznym i środowiskowym. Jednakże w miejscach, gdzie jest to zasadne, sugeruję również rozwiązania oparte na oprogramowaniu jako uzupełnienie zabezpieczeń typowo fizycznych i sprzętowych.

2. Obszary bezpieczne

Ochrona fizyczna urządzeń służących do przetwarzania informacji powinna rozpocząć się od wydzielenia obszarów bezpiecznych. Należy stworzyć bariery fizyczne otaczające pomieszczenia firmy. Kolejne bariery tworzą kolejne obwody zabezpieczające, mogą to być:

  • ogrodzenie dookoła budynku,
  • ściana, drzwi, zamki w drzwiach,
  • brama wejściowa otwierana za pomocą karty,
  • recepcja obsługiwana przez człowieka
  • oświetlenie chronionego obszaru,
  • kamery telewizji przemysłowej (CCTV),
  • systemy alarmowe,
  • pracownicy ochrony.

Obwód zabezpieczający musi być solidny i nie powinno być w nim przerw ani obszarów, które mogłyby ułatwić włamanie. Obszarem bezpiecznym może być zamykane biuro lub kilka pomieszczeń znajdujących się wewnątrz fizycznego obwodu zabezpieczającego.

Niedopuszczalna jest sytuacja, by obce osoby chodziły po biurze i mogły mieć dostęp o urządzeń przetwarzających dane. Goście wchodzący do bezpiecznych obszarów powinni być nadzorowani, a data i czas ich wejścia oraz wyjścia — rejestrowane. W większych firmach wskazane jest noszenie przez pracowników identyfikatorów, kiedy przebywają w obszarach bezpiecznych. Wszystkie osoby, które nie są w towarzystwie innego pracownika i nie posiadają identyfikatora powinny zostać zapytane o tożsamość oraz cel pobytu.

Zastosowanie zamków biometrycznych lub kart magnetycznych dodatkowo poprawia bezpieczeństwo zamykanych pomieszczeń. Warto zapisywać informacje o udanych i nieudanych przypadkach dostępu w celach audytu. Polityka bezpieczeństwa musi wymagać aktualizowania praw dostępu do obszarów bezpiecznych oraz określać kiedy prawa te powinny być cofane (na przykład na czas, kiedy pracownik wyjeżdża na urlop).

3. Bezpieczeństwo sprzętu

Fizyczna ochrona sprzętu powinna przeciwdziałać nie tylko zagrożeniu nieupoważnionego dostępu do informacji, ale również niebezpiecznym czynnikom środowiskowym, które mogłyby wpłynąć na działanie urządzeń.

Podstawowe kategorie zagrożeń, na które sprzęt może być narażony:

  • próby nieupoważnionego dostępu,
  • zagrożenia środowiskowe: pożar, powódź, trzęsienie ziemi, pył, dym,
  • w środowiskach przemysłowych: pył, kurz, drgania, oddziaływania chemiczne,
  • awarie zasilania, klimatyzacji, przerwa w dostawie wody,
  • interferencje ze źródeł zasilania, promieniowanie elektromagnetyczne.

Monitorowanie warunków środowiskowych pomoże wykryć czynniki, które mogłyby wpłynąć niekorzystnie na pracę urządzeń przetwarzających informacje lub spowodować ich awarię. Pomocna może być też symulacja różnego rodzaju katastrof (oczywiście nie proponuje się detonowania bomby w korytarzu lub zalania serwerowni, ale raczej analizę teoretyczną, popartą doświadczeniami innych firm).

Urządzenia przetwarzające dane powinny zostać umieszczone w taki sposób, by zminimalizować niepożądany dostęp do obszarów roboczych oraz ograniczyć do minimum brak nadzoru podczas ich używania.

Najważniejsze urządzenia powinny zostać rozmieszczone w obszarach bezpiecznych tak, aby wykluczyć publicznych dostęp do nich. Należy pamiętać również o drukarkach sieciowych, kserokopiarkach czy urządzeniach faksowych.

Dla zachowania ciągłości pracy firmy szczególnie istotne jest zapewnienie ciągłości zasilania w energię elektryczną. W zależności od szacowanego ryzyka i poziomu ciągłości działania, który należy zapewnić, możemy stosować rozwiązania:

  • zasilacze awaryjne (UPS),
  • generator awaryjny, jeśli przerwy w dostawie energii elektrycznej mogą być dłuższe,
  • zwielokrotnione linie zasilające.

Zasilanie awaryjne powinno pozwolić na kontynuację pracy przez urządzenia służące przetwarzaniu informacji, ale również zapewnić działanie oświetlenia i łączności.

Zabezpieczając linie komunikacyjne należy pamiętać nie tylko o warstwie sieciowej, ale również o ich bezpieczeństwie fizycznym. Okablowanie telekomunikacyjne powinno być chronione przed podsłuchem lub uszkodzeniem. Jeśli tylko jest to możliwe, to należy unikać wyznaczania tras kabli biegnących przez obszary publiczne. Jeśli nie ma takiej możliwości, okablowanie powinno zostać poprowadzone pod ziemią. Wszystkie punkty rozdzielcze sieci powinny znajdować się w zamykanych skrzynkach lub szafach teleinformatycznych umieszczonych w zamykanych pomieszczeniach.

Zastosowanie okablowania światłowodowego w miejsce miedzianego również poprawia bezpieczeństwo instalacji, ponieważ uniemożliwia niewykrywalne naruszenie ciągłości traktu. Oprócz tego połączenie światłowodowe jest odporne na interferencje sygnału czy uderzenie pioruna.

Informacje dotyczące bezpieczeństwa urządzeń przenośnych pozwalających na pracę poza siedzibą firmy oraz pracy zdalnej znajdują się w dalszej części tekstu.

4. Nośniki danych

Co jakiś czas informowani jesteśmy przez media o  kradzieży danych osobowych, znalezieniu poufnych informacji na podwórkowych śmietnikach, w  kubłach na śmieci lub nawet na polu. Co gorsza, lekkomyślne podejście do bezpieczeństwa dotyczy nie tylko dokumentów papierowych, ale również nośników komputerowych, które mogą pomieścić jeszcze więcej poufnych informacji.

Firmy nie dbają o własne bezpieczeństwo. Przyczyną jest nie tylko brak odpowiedniej wiedzy i świadomości potrzeby zabezpieczenia wszelkich nośników danych, ale również zaniechanie i niedbalstwo. Naukowcy z wydziału socjologii Uniwersytetu Wrocławskiego, na zlecenie firmy Fellowes Polska, przygotowali raport na temat sposobów obchodzenia się się z dokumentami zawierającymi istotne dane osobowe i firmowe.

Przebadano 146 firm, z których 95% odpowiedziało, że „Większość z nas niszczy, archiwizuje lub wysyła do centrali poufne dokumenty zawierające istotne dane”. Następnie sprawdzono zawartość kilkuset worków na śmieci. Wnioski są co najmniej niepokojące:

  • Mimo powszechnej świadomości potrzeby stosowania jakichkolwiek procedur chronienia danych i niszczenia zbędnych dokumentów, w 38% przejrzanych worków znaleziono dokumenty, które zawierały dane personalne, faktury VAT, rachunki, oferty przetargowe, umowy.

  • Ankietowani pracownicy firm zadeklarowali, że ponad 80% zbędnej dokumentacji zostaje zabezpieczona (nie upubliczniona) — jest niszczona, archiwizowana, składowana. Mimo to 44% przeszukanych worków zawierało dokumenty, które w 52% przypadków zawierały możliwe do odczytania dane i poufne informacje.

  • Badania zostały przeprowadzone na stacji przeładunku śmieci, gdzie odpady są już w pewnym stopniu przetworzone. Dotarcie do śmieci znajdujących się jeszcze w śmietniku, tuż przy biurze firmy może istotnie zwiększyć prawdopodobieństwo odczytania poufnych informacji.

Należy pamiętać, że najczęściej funkcje systemowe usuwające dane z nośników nie gwarantują 100% pewności, że danych tych nie da ponownie odczytać. Dane mogą zostać ujawnione przez nieostrożną sprzedaż sprzętu lub przekazanie do ponownego użycia. Warto rozważyć fizyczne niszczenie wszystkich niepotrzebnych już urządzeń przechowujących ważne informacje lub stosowanie programów pozwalających na bezpieczne nadpisanie danych (dostępne są wersje dla wszystkich popularnych systemów operacyjnych).

Jeśli nośniki służą do przechowywania danych osobowych, to wymóg usunięcia z nich danych w sposób uniemożliwiający ich odzyskanie nakłada Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024).

Wskazane jest opracowanie procedur zarządzania wyjmowalnymi nośnikami danych. Norma PN-ISO/IEC 17799 zaleca rozważenie następujących wytycznych:

  • Zaleca się wymazanie poprzedniej zawartości wszelkich nośników wielokrotnego użytku, które mają być wyniesione z instytucji, o ile nie będzie już potrzebna.

  • Zaleca się, aby w przypadku wynoszenia jakichkolwiek nośników z instytucji potrzebne było upoważnienie, a w celu przeprowadzenia późniejszego audytu zaleca się prowadzenie odpowiedniej ewidencji.

  • Zaleca się przechowywanie wszystkich nośników w bezpiecznym miejscu, zgodnie z zaleceniami ich producentów.

Poufne informacje mogą zostać ujawnione, zmodyfikowane lub uszkodzone również w trakcie ich fizycznego transportu. Problem, wbrew pozorom, nie jest wydumany i może przytrafić się nawet największym. W maju 2005 roku Citigroup,największy bank na świecie, stracił dane i historię transakcji 3,9 miliona swoich klientów podczas transportu taśm streamera przez firmę kurierską. Pamiętając o ochronie zawartości przesyłek przed uszkodzeniami fizycznymi, przy okazji warto wykorzystać opakowania odporne na manipulacje. Krytyczne dane mogą być dzielone na kilka elementów i przesyłane przy pomocy różnych firm, różnymi trasami i środkami transportu. Wymagania te należy dostosować do ważności i poufności transportowanych informacji.

Szczególną uwagę należy zwrócić na nośniki, z których dane należy usuwać w sposób bezpieczny: dokumenty papierowe, nagrania głosowe, wydrukowane raporty, jednorazowe taśmy barwiące do drukarek, taśmy magnetyczne, nośniki optyczne (płyty CD i DVD), dyskietki, wydruki programów, dane z testów, dokumentację systemową.

Niszczenie dokumentów, nośników danych i sprzętu można zlecić zewnętrznym firmom posiadającym profesjonalne urządzenia pozwalające przeprowadzić niszczenie w sposób bezpieczny.

Ochrona dokumentów papierowych i komputerowych nośników nie rozwiązuje w 100% problemu — pozostają jeszcze inne formy wymiany informacji: komunikacja głosowa, wizyjna lub faksowa. Rozmowa prowadzona w miejscu publicznym może zostać podsłuchana, wiadomości pozostawione na automatycznej sekretarce — odsłuchane przez niepowołane osoby, faks — przesłany przez pomyłkę do niewłaściwej osoby lub odebrany przez osobę nie posiadającą odpowiedniego upoważnienia.

5. Zasada czystego biurka i ekranu

Polityka „czystego biurka” pomaga zapobiegać ujawnieniu lub kradzieży informacji. Zdrowy rozsądek nakazuje nie zostawiać na wierzchu żadnych dokumentów, kiedy na pewien okres czasu tracimy kontrolę nad nimi (nawet jeśli tylko przechodzimy do innego pokoju). Niepotrzebne w danym momencie dokumenty papierowe i nośniki danych (płyty CD, DVD, pendrive'y, taśmy) należy bezwzględnie chować w zamykanych szafach.

Pod żadnym pozorem dokumenty i nośniki danych nie powinny pozostać niezabezpieczone po zakończeniu pracy — w razie włamania, pożaru lub powodzi mogłyby dostać się w niepowołane ręce lub zostać zniszczone.

Punktami, które należy szczególnie kontrolować są drukarki sieciowe i kserokopiarki umieszczone bardzo często w korytarzach. Pracownicy powinni odbierać dokumenty natychmiast po wykonaniu przez urządzenie zleconego zadania. Nie powinny pozostawać dostępne ani dla obcych osób ani dla pracowników nie posiadających stosownych uprawnień.

Zasada „czystego ekranu” jest analogiczna i odnosi się do serwerów, stacji roboczych oraz urządzeń przenośnych — laptopów oraz palmtopów. Każdorazowe odejście od stanowiska pracy powinno zostać poprzedzone zablokowaniem klawiatury i włączeniem wygaszacza ekranu zabezpieczonego hasłem. Oczywiście nie musi to wymagać wykonania akcji ze strony użytkownika — może odbywać się automatycznie, pod warunkiem, że czas aktywacji zabezpieczenia jest wystarczająco krótki (należy dopasować go do klasyfikacji przetwarzanych danych i ryzyka ich utraty).

Ogólne zasady:

  • Nawet jeśli opuszcza się pokój tylko na chwilę, należy go zamknąć na klucz lub schować do zamykanej szafy wszelkie ważne dokumenty i nośniki danych (płyty CD, DVD, pendrive'y, taśmy).

  • Po zakończeniu pracy dokumenty i komputerowe nośniki danych powinny być przechowywane w zamykanych, zabezpieczonych i ognioodpornych szafach.

  • Na zakończenie pracy należy zamknąć aktywne sesje oraz wyrejestrować się (wylogować się) z serwerów lub też stosować oprogramowanie blokujące klawiaturę i wygaszacz ekranu zabezpieczony hasłem.

  • Do faksów, kserokopiarek i drukarek nie powinny mieć dostępu osoby postronne. Jeśli jest to możliwe, urządzenia te powinny być zablokowane poza normalnymi godzinami pracy. Niezwłocznie po otrzymaniu, skopiowaniu lub wydrukowaniu dokumentów należy zabrać je z podajnika urządzenia.

6. Urządzenia przenośne

Korzystanie z urządzeń przenośnych: laptopów, palmtopów, telefonów komórkowych w miejscach publicznych i innych, nie chronionych, miejscach poza siedzibą firmy wymaga ostrożności, by nie ujawnić osobom nieupoważnionym informacji biznesowych.

Zagrożenia, na które należy szczególnie zwrócić uwagę:

  • Podglądanie przez nieupoważnione osoby ekranu urządzenia lub klawiatury, podsłuchanie rozmowy. Rozmowy dotyczące strategicznych spraw dla firmy mogą być prowadzone tylko w bezpiecznych, sprawdzonych miejscach. Nie powinny się odbywać w obecności osób przypadkowych, w miejscach takich jak prezentacje, targi czy restauracje.

  • Utrata urządzenia przenośnego: zgubienie lub kradzież („przypadkowa” — złodziej nie kranie urządzenia dla danych, które posiada, a dla samego urządzenia lub „świadoma” — dla złodzieja istotne są dane, które znajdują się w pamięci urządzenia). Przenośne urządzenia komputerowe powinny być wyposażone w fizyczne zabezpieczenia przed kradzieżą.

  • Urządzenia przenośne oraz nośniki danych zabierane z siedziby firmy nie powinny być pozostawiane bez nadzoru w miejscach publicznych. Zaleca się przewożenie komputerów przenośnych jako bagażu podręcznego i, jeśli jest to możliwe, maskowanie ich podczas podróży (charakterystyczne torby na laptopy nie są najlepszym rozwiązaniem).

  • Nie należy pozostawiać dokumentów, nośników danych i sprzętu w hotelach ani w samochodzie bez kontroli.

  • Informacje przechowywane na urządzeniach przenośnych lub komputerowych nośnikach danych mogą ulec uszkodzeniu na przykład w wyniku działania silnego pola elektromagnetycznego — należy przestrzegać zaleceń producentów dotyczących ochrony sprzętu.

  • Wskazane jest, aby sprzęt wykorzystywany poza siedzibą firmy był ubezpieczony.

Zastosowane środki bezpieczeństwa należy dobrać do oszacowanego ryzyka utraty danych wykorzystywanych podczas pracy poza siedzibą.

7. Praca zdalna

Jeszcze innym regulacjom związanym z bezpieczeństwem powinna podlegać, coraz popularniejsza, praca na odległość (telepraca). Pracownik wykonuje swoją pracę w pewnym stałym miejscu znajdującym się poza siedzibą firmy. Miejsce to powinno być w odpowiedni sposób chronione: zarówno przed kradzieżą sprzętu i informacji, nieuprawnionym ujawnieniem informacji, jak również nieuprawnionym dostępem do wewnętrznych systemów instytucji czy niewłaściwym wykorzystaniem urządzeń.

Norma PN-ISO/IEC 17799 zaleca, aby firma rozważyła stworzenie polityki i określiła standardy dotyczące kontroli czynności wykonywanych w ramach pracy na odległość. Upoważnienie pozwalające na taką pracę powinno zostać wydane tylko i wyłącznie, kiedy zapewniona została właściwa organizacja, wdrożono zabezpieczenia oraz zapewniono ich zgodność z polityką bezpieczeństwa firmy. Norma zaleca rozważenie między innymi następujących zagadnień:

  • Rzeczywiste bezpieczeństwo fizyczne miejsca pracy, należy wziąć pod uwagę zabezpieczenia fizyczne budynku i lokalnego środowiska.

  • Wymagania bezpieczeństwa dotyczące łączności, biorąc pod uwagę potrzebę zdalnego dostępu do wewnętrznych systemów instytucji, wrażliwość informacji, której dostęp będzie dotyczył, pomijając natomiast w rozważaniach łącze telekomunikacyjne i wrażliwość wewnętrznego systemu.

  • Zagrożenia nieuprawnionego dostępu do informacji lub zasobów ze strony innych osób znajdujących się w pobliżu, na przykład rodziny i przyjaciół. Określenie zasad i wytycznych dotyczących dostępu rodziny i gości do urządzeń i informacji.

  • Określenie dozwolonych prac, godzin pracy, klasyfikacji informacji, które mogą być w posiadaniu pracownika wykonującego pracę na odległość oraz określenie wewnętrznych systemów, do których ma on uprawniony dostęp.

8. Polityka bezpieczeństwa w firmie

Artykuł został oparty na wytycznych przedstawionych w normie PN-ISO/IEC 17799:2003 Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji.

Zachęcam do zapoznania się z normą wydaną przez Polski Komitet Normalizacyjny i opracowania polityki bezpieczeństwa uwzględniającej warunki zapewnienia bezpieczeństwa fizycznego i środowiskowego. W każdej chwili można skorzystać również z usług firm specjalizujących się w zarządzaniu bezpieczeństwem informacji.

Spis treści

  • 1. „Przecież mamy firewalla”
  • 2. Obszary bezpieczne
  • 3. Bezpieczeństwo sprzętu
  • 4. Nośniki danych
  • 5. Zasada czystego biurka i ekranu
  • 6. Urządzenia przenośne
  • 7. Praca zdalna
  • 8. Polityka bezpieczeństwa w firmie

Autor

Marcin Engelmann

Od 7 lat zajmuje się bezpieczeństwem systemów i sieci komputerowych. Jako konsultant ds. zabezpieczeń współpracował z dostawcami usług internetowych i firmami internetowymi i finansowymi. Praktyk, administrator i zwolennik systemów Open Source. Konsultant dystrybucji Debian GNU/Linux.

Zobacz również

  • Nowa wersja artykułu w czasopiśmie Boston IT Security Review
  • PN-ISO/IEC 17799:2003 Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji.
  • Jeremy Martin Fizyczne bezpieczeństwo systemów informatycznych, Haking 2/2005
Reklama
Bezpieczeństwo w sieciach Windows - Marcin Szeliga Wykrywanie włamań i aktywna ochrona danych - Alex Lukatsky Polityka bezpieczeństwa i ochrony informacji - Tadeusz Kifner

Narzędzia

  • Publikacja: 22 listopada 2005
  • Aktualizacja: 11 lipca 2008
  • Wersja do wydruku
  • Trackback
  • RSS
ISSA Polska Wrocław
O serwisie Polityka prywatności Mapa serwisu Kontakt Copyright © 2005-2008 Securityinfo