Fizično in tehnično varovanje prostorov, opreme in gradiva kot eden od vidikov zagotavljanja informacijske varnosti

21. 12. 2020 | Avtor: dr. Tatjana Hajtnik

Cilj uvajanja ukrepov za zagotavljanje fizičnega in tehničnega varovanja prostorov, opreme in gradiva je preprečiti:

  • nepooblaščen fizični dostop do informacijske tehnologije in gradiva,
  • nepooblaščeno spreminjanje podatkov in informacij ali celo njihovo izgubo,
  • izgubo, poškodovanje ali zlorabo informacijske tehnologije,
  • prekinitev poslovnih procesov in
  • ne nazadnje tudi motenje v poslovnih prostorih.

Za zagotavljanje fizičnega in tehničnega varovanja prostorov, opreme in gradiva moramo najprej opredeliti varovana območja32, v katera glede na pomembnost in občutljivost naprav in gradiva vpeljemo vsaj ukrepe za:

  • obvladovanje fizičnih dostopov do informacijskega sistema in gradiva (zaščita pred nepooblaščenimi dostopi),
  • zaščito pred okoljskimi nevarnostmi (požar, izlitje ali vdor vode, nenadne spremembe temperature ali vlage itd.),
  • zaščito električne in telekomunikacijske napeljave,
  • pravilno namestitev strojne opreme, ki bo v skladu s specifikacijami proizvajalca,
  • vzdrževanje informacijske opreme (ključna in podporna oprema, npr. klimatske naprave, brezprekinitveni sistemi, omrežje),
  • varno odstranitev ali uničenje nosilcev podatkov, ki se ne uporabljajo več.

V varovana območja nameščamo ključne naprave informacijskega in komunikacijskega sistema. Prostori varovanega območja, v katerih se izvajajo dodatni ukrepi nadzora dostopa oseb in tehničnega varovanja, so običajno sistemski prostor in drugi prostori z instalacijami in komunikacijami, pomembnimi za organizacijo.

Obvladovanje fizičnih dostopov do informacijskega sistema in gradiva33

S ciljem:

  • preprečiti nepooblaščen fizični dostop, škodo in motnje v poslovnih prostorih ter poškodovanje oziroma odtujitev opreme in/ali gradiva;
  • vzpostaviti takšne pogoje, da bosta, skupaj s posebnimi tehničnimi napravami, sistem in gradivo zaščitena pred nepooblaščenim dostopom in da bo omogočeno odkritje poskusov ali dejanskih neavtoriziranih dostopov.

Dostop v prostore varovanega območja naj bo omejen in dovoljen samo določenim osebam, ki jih v grobem lahko razvrstimo v tri skupine:

  • skrbniki informacijskega sistema (potrebujejo reden dostop),
  • informatiki in drugo vzdrževalno osebje (potrebujejo občasen dostop),
  • drugi zaposleni in zunanji pogodbeni izvajalci s spremstvom pooblaščenih oseb organizacije (redko potrebujejo dostop).

Koristno: Na vhode v prostore varovanega območja namestimo čitalce sistema kontrole dostopa, ki so povezani z elektronskimi ključavnicami za odpiranje vrat prostora. Sistemski prostor od preostalih prostorov ločimo s protipožarnimi vrati.

Če bomo na vhode prostorov varovanega območja namestili elektronske ključavnice, bodo zaposleni za vstop v te prostore potrebovali dostopno kartico z ustrezno ravnijo dostopnih pravic. To pa nam olajša sam nadzor nad dostopi v prostore, saj ti sistemi običajno sami beležijo vse dogodke na vhodu v prostor, hkrati pa je preprečen nepooblaščen dostop.

Zaščita pred okoljskimi nevarnostmi34

Veliko tveganje izgube oziroma poškodovanja gradiva pa pomenijo tudi druge, t. i. netehnološke nevarnosti, kamor sodijo:

  • požar,
  • izlitje ali vdor vode,
  • naravne ujme (poplava, neurje, potres, požar v okolju, vihar, vročina, strela),
  • nenadne spremembe temperature ali vlage,
  • teroristični napad,
  • politični nemiri in vojne
  • itd.

POŽAR

Veliko tveganje pomeni možnost požara na objektih ali v poslovnih prostorih, zato proučimo naslednje ukrepe za zagotavljanje varnega okolja, še posebej je to pomembno za prostore varovanega območja:

  • namestitev protipožarnih vrat;
  • samodejni izklop elektrike;
  • namestitev javljalnikov požara in vzpostavitev postopkov rednega preverjanja njihovega delovanja ter vodenje dnevnikov preizkusov. Preizkušanje je treba redno nadzorovati, da se še pravočasno ugotovijo morebitne okvare;
  • namestitev samodejnega protipožarnega sistema (t. i. sprinklerji): na najbolj občutljivih varovanih območjih (npr. sistemski prostor) je smiselna, vendar samo, če to ne ogroža varnosti in zdravja zaposlenih in ne poškoduje računalniške opreme bolj kot sam požar (v prostorih z nameščenimi napravami informacijske tehnologije naj bodo nameščeni brezprašni sistemi za gašenje). Vendar mora biti ne glede na to, ali so prostori opremljeni s samodejnim protipožarnim sistemom, nameščeno zadostno število ročnih gasilnih aparatov, za katere je treba zagotavljati njihovo preizkušanje pri pooblaščeni organizaciji;
  • upoštevanje predpisov, ki določajo omejitve kajenja.

Pomembno:

  • izdelajmo Pravilnik o požarnem redu skladno z veljavnim zakonom o varstvu pred požarom,
  • na vidna mesta v svojih poslovnih prostorih namestimo izvleček požarnega reda in načrt evakuacije,
  • seznanimo zaposlene in pogodbene sodelavce, ki morda izvajajo delo v naših poslovnih prostorih, z izvlečkom požarnega reda in načrtom evakuacije.

Vsi varnostni postopki morajo delovati v vsakem trenutku (tudi zunaj delovnega časa). Zaposleni pa morajo biti podučeni, kako naj postopajo, če opazijo požar ali se sprožijo javljalniki, in redno, najavljeno ali nenajavljeno, vaditi vse postopke.

Sistem varstva pred požarom opredeljuje Zakon o varstvu pred požarom35, kar zajema organiziranje, načrtovanje, izvajanje, nadzor ter financiranje dejavnosti in ukrepov varstva pred požarom. Skladno z omenjenim zakonom je naša organizacija dolžna poskrbeti, da bodo (redno ali začasno) zaposleni poučeni o varstvu pred požarom tako ob nastopu dela kot ob vsaki premestitvi, razporeditvi ali drugačni spremembi oziroma uvedbi nove opreme/tehnologije. V ta namen obstajajo izobraževalne organizacije za izvajanje usposabljanja za varstvo pred naravnimi in drugimi nesrečami ter izvajalci usposabljanja za varstvo pred požarom.

Koristno: Kot del požarnega varovanja sklenimo požarno zavarovanje z eno izmed zavarovalnic.

IZLITJE VODE

Veliko tveganje izgube oziroma poškodovanja gradiva pomeni tudi nevarnost izlitja vode.

Koristno: V prostorih, kjer obstaja možnost poplave, namestimo javljalnike vode in samodejne črpalke. Redno preverjajmo vodne rezervoarje in vodovodno napeljavo, da bi pravočasno odkrili kakršne koli okvare ali možnosti izlitja vode. Izdelajmo postopke ravnanja za primer vdora vode, ki pa morajo biti primerni tudi za čas zunaj poslovnega časa organizacije.

NARAVNE UJME

Temeljne pojme in aktivnosti v povezavi s preprečevanjem in varstvom pred naravnimi in drugimi nesrečamiopredeljuje Zakon o varstvu pred naravnimi in drugimi nesrečami36. Sistem varstva obsega načrtovanje, organiziranje, izvajanje, nadzor, financiranje ukrepov ter dejavnosti za varstvo pred naravnimi in drugimi nesrečami, kar država oziroma lokalne skupnosti organizirajo v enovit sistem.

Med naravne ujme sodijo predvsem poplava, neurje, potres, požar v okolju, vihar/tornado/orkan, strela in še bi lahko naštevali. Pred temi nevarnostmi se lahko v večini primerov ubranimo predvsem s predhodnim pazljivim načrtovanjem in kasnejšo izvedbo poslovnih prostorov. Proučiti je treba tveganja glede na možnost pojava posameznega dejavnika naravne ujme.

Če npr. obstaja možnost poplave, organizirajmo poslovne prostore, predvsem tiste z informacijsko opremo in nosilci podatkov, v višjih nadstropjih. Če pa ocenjujemo, da obstaja velika možnost požara iz okolja, namestimo v prostore varovanega območja tudi protipožarna vrata, javljalnike ognja, naprave za gašenje ali samodejne sisteme gašenja. Poslovne prostore z informacijsko opremo in nosilci podatkov je za zaščito pred škodo, povzročeno s hudim neurjem ali viharjem, treba vzpostavljati v notranjosti zgradbe, po možnosti s čim manj okni.

KLIMATSKE RAZMERE

Veliko naprav informacijske tehnologije je občutljivih na klimatske razmere, predvsem previsoke temperature so lahko vzrok za poškodovanje in posledično njihovo nedelovanje.

Koristno: V varovanih območjih zagotovimo klimatske razmere, določene z napravami, ki bodo v prostoru (temperatura, relativna zračna vlaga …). Klimatske razmere naj bodo čim bolj enakomerne vse leto, ne glede na letni čas in zunanje dejavnike. Zato je treba namestiti zadostno število klimatskih naprav in njihovo moč prilagoditi v skladu s specifikacijami in priporočili proizvajalca.

V prostorih s predpisano temperaturo in vlago namestimo tudi naprave za zapisovanje stanja klimatskih razmer, zagotovimo nadzor teh naprav in predpišimo postopek obveščanja v primeru, ko zmogljivost klimatske naprave preseže določeno stopnjo obremenitve.

Vendar samo namestitev klimatske naprave ni dovolj. Vzpostavimo postopke rednega vzdrževanja in postopke ob njeni odpovedi, ki pa morajo biti primerni tudi zunaj rednega delovnega časa. Okvara klimatske naprave mora biti samodejno javljena, odgovorni zaposleni pa usposobljeni za ukrepanje v takem primeru.

TERORISTIČNI NAPADI, POLITIČNI NEMIRI IN VOJNE

Ob izpostavljenosti organizacije različnim političnim nemirom ali morda celo terorističnim napadom ukrepajmo podobno kot pri tveganju naravne ujme. Poskrbeti je treba za dobro fizično varovanje s protipožarnimi vrati, čim manj okni oz. zavarovanjem oken pred nasilnim vdorom ljudi ali vdorom s pomočjo predmetov, ki jih je mogoče vreči, ali pred ognjem.

Zaščita električne in telekomunikacijske napeljave (zaščita ožičenja)37

Električni in telekomunikacijski kabli (ožičenje), po katerih se prenašajo podatki oz. ki podpirajo informacijske storitve, morajo biti zaščiteni pred prestrezanjem ali poškodbami.

Ožičenje naj vedno načrtujejo in izvedejo ustrezno usposobljeni izvajalci in mora biti izvedeno skladno z veljavnimi standardi in predpisi. Varnost ožičenja načrtujmo že ob vzpostavljanju računalniških prostorov in posledično tudi ob namestitvi opreme. Pri vsaki nadgradnji ali spremembi omrežja ali vanj vključenih naprav preverimo varnost ožičenja.

Koristno: Varnostna stikala, ki omogočajo hitro prekinitev električnega toka, namestimo v bližini zasilnih izhodov in jih ustrezno zaščitimo. Poskrbimo tudi za zasilno razsvetljavo ob morebitnem izpadu glavnega tokovnega napajanja.

Ožičenje ne sme ovirati gibanja. Uporabljajmo materiale, ki pri gorenju ne sproščajo zdravju škodljivih snovi (uporaba malodimnih oz. slabo gorljivih materialov, angl. flame retardant).

Koristno: Kot pomoč pri projektiranju in gradnji lokalnih računalniških mrež v državni upravi Republike Slovenije je ministrstvo za javno upravo objavilo na svoji spletni strani38 dokument »Normativi za projektiranje in izgradnja LAN«.

Ta dokument se smiselno uporablja tudi za adaptacije, obnove in prilagoditve pa tudi za rešitve pri preselitvah ljudi v začasne in s kabelsko infrastrukturo neopremljene ali neustrezno opremljene prostore. Obravnavana tehnična priporočila se uporabljajo:

  • pri projektiranju novogradenj objektov skupaj z univerzalnim sistemom ožičenja in napeljave 230V ter vgradnje omenjenih instalacij,
  • za projektiranje univerzalnega sistema ožičenja skupaj z napeljavo 230V v prostorih, kjer delovni proces že poteka in se izvaja obnova oziroma dograditev prostorov ter vgradnja omenjenih instalacij.

Koristno: Dokumentirajmo vse priključke, posebej morajo biti dokumentirani porabljeni oz. aktivni priključki tako na aktivni opremi kot na priključnih panojih.

Popravila na ožičenju naj izvajajo samo za to pooblaščeni in strokovno usposobljeni zaposleni ali pod njihovim nadzorom pooblaščeni izvajalci. Za čas izvajanja popravila oz. vzdrževanja ožičenja poskrbimo za ustrezno zaščito prostora.

Pravilna namestitev strojne opreme39

Strojno opremo namestimo in zaščitimo tako, da bomo čim bolj odpravili tveganja nevarnosti iz okolja in priložnosti za nepooblaščen dostop.

Koristno: Pri namestitvi strojne opreme upoštevajmo predvsem:

  • navodila proizvajalca oz. dobavitelja opreme,

  • tehnične zahteve (temperatura, vlaga, električno napajanje …),

  • ergonomske zakonitosti (svetloba, telesna drža) in vpliv na druga delovna mesta.

Ravenvarovanja inzaščitenaj bodoločena gledena vrednost podatkov inocenjeno tveganje njihove izgube ali poškodovanja, ki ga lahko povzroči izredni dogodek.

Vzdrževanje strojne opreme40

Za varovanje podatkov je med drugim pomembno to, da zagotovimo redne preglede in vzdrževanje strojne opreme, predvsem tiste ključne41 in podporne opreme42.

Vzdrževanje strojne opreme je skupek tehnik in aktivnosti (preizkušanje, merjenje, uravnavanje, popravljanje) za vzdrževanje ali obnavljanje obratovalnega stanja te opreme. Lahko je preventivno ali korektivno. Nadgradnje opreme praviloma ne prištevamo k vzdrževanju.

Koristno: Za strojno opremo (predvsem ključno in podporno), ki se redno ali občasno uporablja, zagotovimo redno in/ali izredno pogodbeno vzdrževanje, ki ga lahko opravljajo samo pooblaščeni in strokovno usposobljeni zaposleni ali pooblaščeni izvajalci. Ob uporabi zunanjih storitev vzdrževanja zavarujmo podatke tako, da bo preprečen nepooblaščen dostop do njih.

Vsa vzdrževalna dela naj se opravljajo na samem mestu, kjer je oprema. Če to ni mogoče, nosilce podatkov iz opreme odstranimo in jih varno shranimo.

Če podatkov ni mogoče odstraniti ali kako drugače zaščititi, postopek vzdrževanja nadzorujmo. Po vzdrževalnih delih opremo, preden se vključi v obratovanje, varnostno preglejmo.

Za vsak kos opreme, ki zapusti našo organizacijo zaradi vzdrževanja, poskrbimo, da bo pripravljen prevzemni dokument in znan datum predvidene vrnitve.

Varna odstranitev računalniške opreme ali uničenje nosilcev informacij43

Življenjska doba računalniške opreme je, dokler zagotavlja nemoteno delo oz. zagotavlja polno pričakovano funkcionalnost.

Koristno: Na podlagi drugega odstavka 42. člena Zakona o računovodstvu44 za proračun, proračunske uporabnike in druge osebe javnega prava amortizacijsko dobo računalniške opreme predpisuje ministrstvo za finance s posebnim pravilnikom45.

Računalniška oprema, ki ne deluje, ker je odvečna, zastarela in/ali pokvarjena, je nedelujoča računalniška oprema. K njej sodijo tudi nosilci podatkov, ki so izrabljeni, odvečni oziroma pokvarjeni.

Računalniška oprema, ki še deluje, vendar zaradi različnih razlogov ne zagotavlja več pričakovane funkcionalnosti na nekem določenem nivoju (tu je treba upoštevati odvisnost delovanja programske opreme od same strojne opreme, oboje pa se v zadnjih letih izredno hitro spreminja in razvija), se lahko nameni za druge potrebe ali pa knjigovodsko odpiše in izloči. V takih primerih se lahko spremeni namembnost (na primer računalnik dobi zaposleni na »nižjem« delovnem mestu, računalnik podarimo kakšni šoli …) ali pa se oprema knjigovodsko odpiše in izloči. V vseh primerih je treba najprej poskrbeti za nedostopnost do podatkov, ki so npr. na disku računalnika, nepooblaščenim in onemogočiti razkritje in zlorab46, kar dosežemo z varno odstranitvijo oziroma izbrisom podatkov. Možnost varnega brisanja je izjemno pomembna predvsem takrat, ko delamo z zaupnimi in občutljivimi podatki.

1. Izločanje nepopravljivo okvarjene računalniške opreme, ki je še v garancijskem roku

Pomembno: Računalniško opremo, ki je nepopravljivo okvarjena, je pa še v garancijskem roku, lahko vrnemo dobavitelju zaradi uveljavitve garancije pri proizvajalcu, vendar pred tem poskrbimo za varen izbris oz. uničenje podatkov z nosilca podatkov.

2. Postopek komisijskega uničenja računalniške opreme

Če je oprema predvidena za odpis in uničenje, je treba izpeljati ustrezne postopke, in sicer:

  • upoštevajmo, da je oprema morda zavarovana, zato je treba po pogodbenih določilih zavarovalnice zamenjane dele hraniti še neki določen čas;
  • pri dobaviteljih programske opreme ugotovimo, ali je treba programsko opremo starejših različic tudi fizično hraniti zaradi nadgradenj ali pa je dovolj, da se bo licenčnina dokazovala z dobavnicami.

Koristno: Enkrat na leto oz. po potrebi organizirajmo akcijo uničenja: 1. Imenujmo tričlansko komisijo (če je to glede na velikost organizacije smiselno in mogoče). 2. Popišimo računalniško opremo, ki je predvidena za uničenje; pri opremi, ki se vodi kot osnovno sredstvo, moramo najprej poskrbeti za inventurni odpis v skladu z veljavnimi postopki.

  1. Računalniška oprema ne sme vsebovati nobenih zaupnih podatkov ali možnost njihove obnove ali ponovne pridobitve. Če tega ni mogoče zagotoviti, opremo za čas pred uničenjem varno shranimo v varovana območja.

Za osebe javnega prava47:

  1. Izvedimo postopek javnega naročanja v skladu z Zakonom o javnem naročanju48 z namenom izbire najustreznejšega ponudnika, ki je usposobljen za varno in ekološko uničenje tovrstne opreme. Izbrani ponudnik mora zagotoviti odvoz opreme in materiala za uničenje z lokacije organizacije in jo še isti dan ustrezno ekološko in varno uničiti v prisotnosti komisije. Za posamezne tipe materiala moramo specificirati način uničenja (mletje, stiskanje, razmagnetenje …).

Celoten postopek vodimo komisijsko do samega uničenja opreme in dokumentiramo v obliki komisijskega zapisnika o uničenju opreme ali gradiva.

Povezava na ISO 27001: 2005

  • 9.1.1 Območja fizičnega varovanja

  • 9.1.2 Nadzor nad fizičnimi dostopi

  • 9.1.3 Varovanje pisarn, prostorov in stavb

  • 9.1.4 Zaščita pred zunanjimi in okoljskimi nevarnostmi

  • 9.2.1 Instalacija in zaščita opreme

  • 9.2.3 Zaščita kabelskih instalacij

  • 9.2.4 Vzdrževanje opreme

  • 9.2.6 Varno uničenje ali ponovna uporaba opreme

  • 9.2.7 Odstranjevanje opreme

  • 10.7.1 Upravljanje prenosnih medijev

  • 10.7.2 Uničenje medijev

  • 11.1.1 Politika dostopnih kontrol

Odgovornost za izvedbo: služba za informatiko, posamezne strokovne službe (pravna služba, varnost pri delu, kadrovska služba …).

Nazaj