Політика фізичної безпеки
П - 9
версія 4.0
ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.
20 травня 2021 року
Переглянуто 15.03.2022 року
Переглянуто 20.03.2023 року
Переглянуто 21.03.2024 року
1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.
Інформаційні активи (ІВ) - усі комп'ютерні системи, програмне забезпечення та інше периферійне обладнання, що використовується для обробки або зберігання даних, а також інформація, що обробляється цими системами.
Комутаційне приміщення – приміщення, в яких розташовані телекомунікаційне обладнання, що забезпечує функціонування локальних та корпоративних мереж, а також зв'язок з іншими установами та мережами загального користування.
2. Призначення та сфера застосування
Політика фізичної безпеки (далі - Політика) розроблена з метою запобігання несанкціонованому фізичному доступу до інформаційних активів та захисту від фізичних загроз та загроз навколишнього середовища, які можуть пошкодити інформаційну безпеку Компанії.
Політика визначає:
• принципи фізичної безпеки та безпеки навколишнього середовища;
• принципи вибору безпечного розташування приміщень;
• вимоги безпеки до приміщень;
• вимоги до процесу моніторингу та контролю фізичного доступу;
• вимоги до фізичної безпеки комп'ютерного обладнання;
• вимоги щодо безпеки робочих місць.
Дія Політики поширюється на всі інформаційні активи Компанії, всіх співробітників та всі треті сторони, які мають доступ до інформаційних активів Компанії.
3. Нормативні посилання
Політика розроблена відповідно до вимог чинних документів:
• Міжнародний стандарт ISO/IEC 27001:2013 «Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Вимоги»;
• Міжнародний стандарт ISO/IEC 27002:2013 «Інформаційні технології. Методи захисту. Практичні правила управління інформаційною безпекою».
4. Загальні положення
Фізичний захист працівників:
Керівництво Компанії відповідає за те, щоб приміщення були спроектовані таким чином, щоб захистити працівників від фізичних загроз та загроз довкіллю.
Фізичний захист критичних інформаційних активів:
Приміщення, в яких розташовані робочі місця з комп'ютерною технікою, обробляються електронні документи та інша електронна інформація, розташоване телекомунікаційне обладнання, сервери баз даних, сервери додатків, файлові сервери тощо. мають бути спроектовані таким чином, щоб забезпечити адекватний захист інформаційних активів від фізичних загроз та загроз довкіллю.
Процедури безпечної евакуації:
Керівництво Компанії забезпечує умови для розробки та документування процедур, пов'язаних з безпечною евакуацією у разі пожежі, повені, землетрусу, воєнних дій у зв'язку з повномасштабним російським вторгненням або іншими катастрофами з метою захисту працівників та інформаційних активів. У процедурі мають бути прописані працівники, які відповідають за безпечну евакуацію та сфери їхньої відповідальності.
5. Вибір місць розташування приміщень, де розміщуються чутливі чи критичні інформаційні активи
Приміщення, в яких розміщуються чутливі або критичні інформаційні активи, не повинні розташовуватися в місцях підвищеної ймовірності стихійних лих і на територіях, схильних до пошкоджень, спричинених людським фактором, таким як вандалізм, підпали, аварії тощо.
Приміщення, в яких розміщуються інформаційні активи, повинні розміщуватись на територіях, до яких є легкий доступ служб охорони, пожежників, швидкої допомоги, інших аварійних служб.
6. Безпека приміщень
КІБ обирає відповідні заходи фізичної безпеки. Вибір заходів фізичної безпеки повинен базуватися на результатах оцінки ризиків та вимог нормативно-правових актів з ІБ.
Периметр фізичної безпеки
Вибір приміщень, в яких розміщуються робочі місця з комп'ютерною технікою, обробляються електронні документи, та іншу електронну інформацію, розташоване телекомунікаційне обладнання, сервери баз даних, сервери додатків, файлові сервери тощо є відповідальністю КІБ.
Такі приміщення повинні мати певний периметр фізичної безпеки, призначений для захисту від несанкціонованого фізичного доступу та бути суцільним, тобто не мати вразливостей, через які він може бути порушений. Доступ до цих приміщень повинен здійснюватись лише певними співробітниками, список яких встановлює керівництво Компанії. Приміщення повинні закриватися, ключі та інші засоби відкриття дверей повинні зберігатись у сейфі під контролем Керівників Каманії.
При цьому система контролю фізичного доступу та інші засоби безпеки не повинні перешкоджати доступу персоналу до аварійних виходів.
Захист серверних та комутаційних кімнат
Серверні та комутаційні кімнати слід обладнати як приміщення з обмеженим доступом, вони не повинні містити робочих місць для співробітників Компанії.
Технічний захист інформації у серверних здійснюється відповідно до вимог КВБ та вимог чинного законодавства України.
Для запобігання несанкціонованому доступу до серверних приміщень та комутаційних кімнат їх двері повинні бути обладнані СКД.
Пожежна безпека
Принципи побудови приміщень, у яких розташовані робочі місця з комп'ютерною технікою, обробляються електронні документи та іншу електронну інформацію, розміщено телекомунікаційне обладнання, сервери баз даних, сервери додатків, файлові сервери тощо. повинні запобігати виникненню та поширенню пожеж. Наприклад, заходи для серверних приміщень включають: використання вогнетривких будівельних матеріалів і вогнетривких дверей.
Щоб забезпечити постійний контроль та своєчасне реагування у разі пожежі, повинні бути застосовані такі засоби:
• приміщення мають бути обладнані системою пожежної сигналізації;
• серверні приміщення та комутаційні кімнати мають бути обладнані відповідною системою пожежогасіння;
• приміщення повинні мати достатню кількість вогнегасників, які мають бути встановлені на видимих та легко доступних місцях.
Устаткування для гасіння пожежі повинно відповідати призначенню території, на якій воно застосовуватиметься, щоб не зашкодити інформаційним активам, що на ній знаходяться. Серверні приміщення мають бути обладнані автоматичною системою пожежогасіння.
Відповідальним за наявність засобів для гасіння пожежі є КІБ.
У випадку, коли доступ на територію потребує ідентифікації (наприклад, використання карток доступу), має застосовуватися механізм аварійного відкриття дверей приміщення під час евакуації персоналу.
Захист від природних лих
Інформаційні активи мають бути розміщені у приміщеннях, у яких ризик затоплення водою обмежений.
Усі будівлі мають відповідати загальноприйнятим технічним нормам. Крім того, приміщення повинні бути обладнані системою заземлення та належним чином захищатися від ударів блискавки.
Електроживлення та заземлення
Чутливі чи критичні інформаційні активи повинні захищатися від перебоїв в енергопостачанні чи будь-яких інших проблем, пов'язаних з енергопостачанням, таких як зниження/підвищення напруги тощо.
Також має бути створена система гарантованого електропостачання з використанням джерел безперебійного живлення (ДБЖ).
ДБЖ повинні регулярно перевірятися щодо їх справності та того, що їх потужності вистачить на потреби з енергопостачання критичних інформаційних систем.
Силові та слаботочні кабелі розміщуються в різних пакетах і прокладаються в металевих коробах або трубах, не утворюючи петель та замкнутих контурів.
Головні розподільні електрощити, джерело безперебійного живлення та апаратура автоматичного включення резерву розміщуються у спеціалізованому приміщенні з обмеженим доступом.
Безпека кабелів
Кабелі електроживлення, аналогового та цифрового зв'язку, що використовуються в обчислювальній мережі, повинні бути захищені від фізичних пошкоджень або крадіжки та забезпечувати необхідний рівень конфіденційності, цілісності та доступності інформації, що передається.
Силові та слаботочні кабелі повинні розміщуватися в різних пакетах і прокладатися в металевих коробах або трубах, не утворюючи петель та замкнутих контурів. Телекомунікаційні кабелі повинні захищатись від прослуховування. Лінії зв'язку, що проходять через території третіх сторін (мережа постачальників послуг зв'язку, Інтернет тощо) повинні мати надійний захист.
Кліматичні умови
У приміщеннях, в яких знаходяться інформаційні активи, повинні забезпечуватися відповідні кліматичні умови: температура, вологість, статична електрика відповідно до рекомендацій виробників обладнання. У таких приміщеннях має бути заборонено куріння, вживання їжі та напоїв.
Приміщення ЦОД обладнано системою автоматичного кондиціювання повітря.
Параметри кліматичних умов (температура, вологість тощо) повинні періодично вимірюватися для моніторингу та забезпечення справної роботи засобів кліматичного контролю: приладів кондиціювання, опалення тощо.
7. Контроль фізичного доступу
Зони обмеженого доступу
Територія приміщень Компанії поділяються на такі зони безпеки за категоріями фізичного доступу:
- Зона службового доступу
- Зона клієнтського доступу
- Зона обмеженого доступу
Вхід у зони службового доступу повинен дозволятись лише працівникам, а відвідувачам та/або клієнтам у зони клієнтського доступу лише у супроводі відповідального співробітника Компанії.
Приміщення, де розміщуються критичні інформаційні активи, наприклад серверні приміщення або комутаційні кімнати, кімнати співробітників, є зонами обмеженого доступу.
Вхід до зони обмеженого доступу повинен дозволятись лише працівникам, яким він необхідний для здійснення службових обов'язків.
Зони службового та обмеженого доступу є основою побудови та виконання контролю фізичного доступу та можуть бути обмеженими стінами та дверима із замками або контрольно-пропускними пунктами.
Відповідальним за вибір та застосування засобів контролю фізичного доступу в зонах службового та обмеженого доступу є КІБ. Вибір таких контролів має здійснюватися залежно від критичності інформаційних активів, які у цих зонах.
Відповідальність за визначення процедур фізичного доступу
КІБ відповідає за розробку необхідних політик та процедур фізичного доступу до приміщень, на території яких знаходяться інформаційні активи, а також за інформування працівників про відповідні процедури з фізичної безпеки.
Контроль доступу до приміщень
Фізичний доступ до приміщень повинен надаватися відповідно до службових обов'язків.
Знаходження відвідувачів та/або клієнтів на території Компанії можливе лише у супроводі співробітника Компанії.
Навантаження/вивантаження/прийом товарів, обладнання та необхідних господарських товарів відбувається суворо відповідно до плану адміністративного департаменту та у супроводі співробітників Компанії.
Проведення профілактичних, монтажних або інших технічних робіт підрядними організаціями має виконуватися лише у присутності відповідного співробітника Компанії, який контролює хід виконання робіт.
Моніторинг зон обмеженого доступу
Повинний здійснюватися постійний моніторинг входу до приміщень, у яких розташовані чутливі чи критичні інформаційні активи. Моніторинг повинен здійснюватися з використанням одного з таких заходів безпеки: системи відеоспостереження, системи охоронної сигналізації або їх поєднання. Вибір заходів безпеки має базуватися на критичності інформаційних активів. Відповідальним за вибір заходів безпеки є КІБ.
Права фізичного доступу повинні переглядатися не рідше одного разу на 6 місяців.
8. Контроль переміщення обладнання
Встановлення нового обладнання у зонах службового та обмеженого доступу має відбуватися у присутності відповідального працівника.
Комп'ютерне обладнання, програмне забезпечення та інформація у будь-якому вигляді не повинні виноситися з приміщень Компанії, якщо немає дозволу власника відповідного інформаційного активу, тобто керівника підрозділу, якому належить актив.
Усі переміщення інформаційних активів мають реєструватись у відповідному порядку.
Працівникам не дозволяється переміщати обладнання (робочі станції, сервери, мережні пристрої тощо), якщо на це немає дозволу адміністратора ІС.
Інформаційні активи, що виносяться із приміщень Компанії, не повинні дозволяти візуальну ідентифікацію активу.
Використане обладнання не утилізується та не ремонтується співробітниками компанії, а віддається на склад на безпечне зберігання.
9. Безпека робочих місць
Персоналу та третім сторонам дозволяється перебувати у приміщеннях Компанії у робочі години: з 08:00 до 20:00 у робочі дні з понеділка по п'ятницю та з 9-30 до 18-30 у суботу та неділю. В решту часу лише за письмовим дозволом керівників компанії.
Персоналу та третім сторонам дозволяється перебувати у приміщеннях Компанії у позаурочні години та вихідні дні, на підставі погодження керівника відповідного підрозділу та погодження керівництвом Компанії.
Чутлива інформація не повинна бути видимою на екранах дисплеїв стороннім особам. Робочі станції повинні бути встановлені таким чином, щоб зображення моніторів не було видно з вікна приміщень.
Усі носії інформації та документи, що містять критичні дані, повинні зберігатися в замкнутих ящиках та шафах для забезпечення їх безпеки у позаурочний годинник.
Документи, які містять критичні дані, під час роботи з ними не повинні залишатися без нагляду працівника. Знімні диски та інші накопичувачі заборонено використовувати співробітниками компанії.
Користувачі не повинні залишати не заблокованими сеанси в інформаційних системах (робочих станціях, серверах, терміналах тощо) без нагляду.
Усі носії, які містять чутливу або критичну інформацію, повинні фізично знищуватися наприкінці терміну їх використання шляхом передачі на захищене зберігання до технічного департаменту Каманії для подальшої утилізації. Процедура фізичного знищення повинна забезпечувати неможливість відтворення даних із цих носіїв.
10. Перегляд документа
Перегляд Політики відбувається за потребою, але не рідше одного разу на рік від дати затвердження.