Организационные и физические защитные меры

Источники дополнительной информации о категориях защитных мер приведены в таблицах 8.1.1-8.1.7.

 

Таблица 8.1.1 - Политика и управление безопасностью ИТ

 

Категории защитных мер	Источники дополнительной информации о категориях защитных мер
	Разделы и пункты [1]	Разделы и пункты [3]	Разделы и пункты [4]	Разделы и пункты [5]	Разделы и пункты [6]	Разделы и пункты [7]	Разделы и пункты [8]	Разделы и пункты [9]
1 Политика обеспечения безопасности ИТ организации	3.1	-	1.1, 1.2	5.1	6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1		-	5.1, 5.2
2 Политика обеспечения безопасности системы ИТ	-	-	1.1, 1.2	5.2, 5.3	6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1		-	5.2, 5.3
3 Управление безопасностью ИТ	4.1.1, 4.1.2	-	1.1, 1.2		6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1		2.1
4 Распределение ответственности и полномочий	4.1.3	-	1.3	2.4, 2.5, 3	6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1		2.1	2.4, 2.5, 3
5 Организация безопасности ИТ	4.1	-	1.2	3.5	-		2.2	3.5
6 Идентификация и определение стоимости активов		-	2.2	7.1	-	5.6, 7.1	5.1	7.1
7 Одобрение систем ИТ	4.1.4	-	-			-	6.7	8, 9

 

Таблица 8.1.2 - Проверка соответствия безопасности установленным требованиям

 

Категории защитных мер	Источники дополнительной информации о категориях защитных мер
	Разделы и пункты [1]	Разделы и пункты [3]	Разделы и пункты [4]	Разделы и пункты [5]	Разделы и пункты [6]	Разделы и пункты [7]	Разделы и пункты [8]	Разделы и пункты [9]
1 Соответствие политики обеспечения безопасности ИТ защитным мерам	12.2	-	1.2	10.2.3	-	10.2	7.1, 7.2	9.4, 10.2.3
2 Соответствие законодательным и обязательным требованиям	12.1	-	3.1, 3.2	6.3, 10.2.3	6.3.1	8.18, 10.2	8.1	1.5, 2.9, 6.3, 10.2.3

 

Таблица 8.1.3 - Обработка инцидента

 

Категории защитных мер	Источники дополнительной информации о категориях защитных мер
	Разделы и пункты [1]	Разделы и пункты [3]	Разделы и пункты [4]	Разделы и пункты [5]	Разделы и пункты [6]	Разделы и пункты [7]	Разделы и пункты [8]	Разделы и пункты [9]
1 Отчет об инциденте безопасности	6.3.1	-	М2		-	10.4	-
2 Сообщение о слабых местах при обеспечении безопасности	6.3.2	-	М2		-	10.4	-
3 Сообщение о нарушениях в работе ПО	6.3.3	-	М2		-	10.4	-
4 Управление в случае возникновения инцидента	8.1.3	-	М2		-	10.4	-	18.1.3

 

Таблица 8.1.4 – Персонал

 

Категории защитных мер	Источники дополнительной информации о категориях защитных мер
	Разделы и пункты [1]	Разделы и пункты [3]	Разделы и пункты [4]	Разделы и пункты [5]	Разделы и пункты [6]	Разделы и пункты [7]	Разделы и пункты [8]	Разделы и пункты [9]
1 Защитные меры для штатного или временного персонала	6.1	-	3.2, М3	10.1	6.3,9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9	9.2	4.1, 2.2	10.1
2 Защитные меры для персонала, нанятого по контракту	6.1	-	-	10.3	6.3.9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9	9.2	4.1, 2.2	10.3
3 Обучение и осведомленность о мерах безопасности	6.2	-	1.2, М3	13, 10.1.4	6.3.9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9	9.1	4.2, 2.2	13, 10.1.4
4 Процесс обеспечения исполнительской дисциплины	6.3.4	-	3.2, М3	-	6.3.9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9	9.2.6	2.2.1	13.1

 

Таблица 8.1.5 - Эксплуатационные вопросы

 

Категории защитных мер	Источники дополнительной информации о категориях защитных мер
	Разделы и пункты [1]	Разделы и пункты [3]	Разделы и пункты [4]	Разделы и пункты [5]	Разделы и пункты [6]	Разделы и пункты [7]	Разделы и пункты [8]	Разделы и пункты [9]
1 Управление конфигурацией и изменениями	8.1, 10.5	-	-	14.3, 8.4.1	-	7.4		14.3, 8.4.1, 8.4.4
2 Управление резервами	8.2.1	-	-	-	-	-	-	-
3 Документация	8.1.1, 8.6.3	-	М2	14.6	-	8.4.6, 8.5.7, 8.7	-	14.6
4 Техническое обслуживание	7.2.4	-	М2	14.7	6.3.6, 7.3 6, 8.3.6, 9.3.6, 10.3.6, 11.3.6	8.1.4, 8.10.5, 10.1	6.5	14.7
5 Мониторинг изменений, связанных с безопасностью	-	-	1.2	7.3.3	-	7.4, 8.1.3, 8.2.5, 8.3.7	6.7	7.3.3, 8.4.4
6 Записи аудита и регистрация	8.4	-	М2		-	7.3, 8.1.8, 8.2.10, 8.9.5	6.7	(18)
7 Тестирование ИБ	-	-	М2	8.4.3	-	8.3.5	6.7, 3	8.4.3
8 Управление носителями информации	8.6	-	8, М2	14.5	6.3.5, 7.3.5, 8.3.5, 9.3.5, 10.3.5, 11.3 5	8.4-8.14		14.5
9 Обеспечение стирания памяти	-	-	М4	-	-	8.1.9	6.3, 5	14.5.7
10 Распределение ответственности и полномочий	8.1.4	-	М2	-	-	-	-	10.1.1
11 Корректное использование программного обеспечения	12.1.2	-	М2	-	6.3.8, 7.3.8, 8.3.8, 9.3.8, 10.3.8, 11.3.8	8.3	6.3	14.2
12 Управление изменениями программного обеспечения	10.5.1, 10.5.3	-	М2	-	6.3.8, 7.3.8, 8.3.8, 9.3.8, 10.3.8, 11.3.8	8.3.7	6.3	8.4.4, 14.2

 

Таблица 8.1.6 - Планирование непрерывности бизнеса

 

Категории защитных мер	Источники дополнительной информации о категориях защитных мер
	Разделы и пункты [1]	Разделы и пункты [3]	Разделы и пункты [4]	Разделы и пункты [5]	Разделы и пункты [6]	Разделы и пункты [7]	Разделы и пункты [8]	Разделы и пункты [9]
1 Стратегия непрерывности бизнеса	11.1.1, 11.1.2	-	3.3, М6	10.2, 11.3, 11.4	6.3.3, 7.3.3, 8.3.3, 9.3,3, 10.3.3, 11.3.3	8.1.7, 8.4.5, 8.5.5, 8.6.5, 8.7.5, 8.8.3, 8.19	7.3, 7.4, 7.5	11.2, 11.3, 11.4
2 План непрерывности бизнеса	11.1.3, 11.1.4	-	3.3, М6	11.5	6.3.3, 7.3.3, 8.3.3, 9.3.3, 10.3.3, 11.3.3		-	11.5
3 Проверка и актуализация плана непрерывности бизнеса	11.1.5	-	3.3, М6	11.6	6.3.3, 7.3.3, 8.3.3, 9.3.3, 10.3.3, 11.3.3		-	11.6
4 Дублирование	8.4.1	-	3.4	14.4	6.3.2.4, 7.3.2.4, 8.3.2.4, 9.3.2.4, 10.3.2.4, 11.3.2.4		7.1, 7.2	14.4

 

Таблица 8.1.7 - Физическая безопасность

 

Категории защитных мер	Источники дополнительной информации о категориях защитных мер
	Разделы и пункты [1]	Разделы и пункты [3]	Разделы и пункты [4]	Разделы и пункты [5]	Разделы и пункты [6]	Разделы и пункты [7]	Разделы и пункты [8]	Разделы и пункты [9]
1 Материальная защита	7.1	-	4.1, 4.3, М1	15.1	6.3.1.2, 7.3.1.2, 8.3.1.2, 9.3.1.2, 10.3.1.2, 11.3.1.2	8.1.1, 8.6.2, 8.9.1	3.1, 3.4, 4	15.1
2 Противопожарная защита	7.2.1	-	-	15.2	6.3.1.4, 7.3.1.4, 8.3.1.4, 9.3.1.4, 10.3.1.4, 11.3.1.4	8.1.1, 8.6.2, 8.9.1	3.1, 3.2, 7.5	15.2
3 Защита от воды/других жидкостей	7.2.1	-	М2	15.5	6.3.1.4, 7.3.1.4, 8.3.1.4, 9.3.1.4, 10.3.1.4, 11.3.1.4	8.1.1, 8.6.2, 8.9.1	7.5	15.5
4 Защита от стихийных бедствий	7.2.1	-	М2	15.4	6.3.1.4, 7.3.1.4, 8.3.1.4, 9.3.1.4, 10.3.1.4, 11.3.1.4	8.1.1, 8.6.2, 8.9.1	7.5	15.4
5 Защита от хищения	7.1	-	1.2	15.1	6.3.1.3, 7.3.1.3, 8.3.1.3, 9.3.1.3, 10.3.1.3, 11.3.1.3	8.1.1, 8.6.2, 8.9.1	3.3, 3.4, 4	15.1
6 Энергоснабжение и вентиляция	7.2.2	-	М2	15.6	6.3.4, 7.3.4, 8.3.4, 9.3.4, 10.3.4, 11.3.4	8.1.1, 8.6.2, 8.9.1	3.2, 7.3	15.6
7 Прокладка кабелей	7.2.3	-	4.2, М1	-	-	8.1.1, 8.6.2, 8.9.1	8.2	15, 15.1, 15.7

 

Политика и управление безопасностью ИТ

Данная категория защитных мер содержит все защитные меры, имеющие отношение к управлению безопасностью ИТ, планированию деятельности, распределению полномочий и ответственности по этим процессам, а также все другие необходимые действия. Эти защитные меры описаны в ИСО/МЭК 13335-1 и ИСО/МЭК ТО 13335-3. Целью этих защитных мер является достижение необходимого уровня безопасности организации. Ниже перечислены защитные меры в этой области:

1 Политика обеспечения безопасности ИТ организации

Организация должна разработать документированную процедуру, содержащую правила, директивы и установленный порядок действий управления, защиты и распределения активов организации. В документированной процедуре должны быть установлены потребности организации в документах по политике обеспечения безопасности систем ИТ и их содержание и управление.

2 Политика обеспечения безопасности системы ИТ

Для каждой системы ИТ следует разработать политику безопасности системы ИТ, содержащей описание защитных мер, подлежащих реализации на месте.

3 Управление безопасностью ИТ

Управление безопасностью ИТ следует сформулировать и скоординировать внутри организации в зависимости от ее размера, например путем учреждения комитета по безопасности ИТ и назначения лица (уполномоченного по безопасности ИТ), ответственного за безопасность каждой системы ИТ.

4 Распределение ответственности и полномочий

Распределение ответственности и полномочий по обеспечению безопасности ИТ организации должно проводиться и быть задокументировано в соответствии с политикой обеспечения безопасности ИТ и политикой обеспечения безопасности систем ИТ.

5 Организация безопасности ИТ

Для оказания поддержки в области обеспечения безопасности организация должна обеспечить безопасность ИТ всех своих бизнес-процессов (например закупки, взаимодействия с другими организациями).

6 Идентификация и определение стоимости активов

Все активы организации по каждой системе ИТ должны быть идентифицированы, стоимость активов должна быть оценена.

7 Одобрение систем ИТ

Системы ИТ следует одобрять в соответствии с политикой обеспечения безопасности ИТ. Целью процесса одобрения должно быть обеспечение внедрения защитных мер, гарантирующих необходимый уровень безопасности. Следует учитывать то, что система ИТ может включать в себя сети и основные линии связи.

8.1.2 Проверка соответствия безопасности установленным требованиям

Для организации важно обеспечивать соответствие необходимых защитных мер соответствующим законодательным и обязательным требованиям и политике организации в данной области. Это связано с тем, что любая защита, правило и политика работают только в случае, если их соблюдают пользователи и им соответствуют сами системы. К этой категории относятся следующие защитные меры:

1 Соответствие политики обеспечения безопасности ИТ защитным мерам

Организация должна проводить через запланированные интервалы времени проверки всех установленных защитных мер, перечисленных в политике обеспечения безопасности ИТ организации и систем ИТ, а также в другой взаимосвязанной документации организации, например в процедурах обеспечения безопасности работы и планах действий в непредвиденных ситуациях на соответствие корректности и эффективности их использования (включая конечного пользователя). В случае необходимости защитные меры должны проходить испытания.

2 Соответствие законодательным и обязательным требованиям

Организация должна проводить проверку соответствия системы ИТ установленным законодательным и обязательным требованиям стран(ы), в которых (ой) расположена система ИТ. В случае, если такие требования существуют, то они должны включать в себя обязательные требования по охране авторских прав и конфиденциальности информации, защите от копирования программного обеспечения, защите записей организации и защите от неправильного использования систем ИТ и другие (например по применению криптографии).

Обработка инцидента

Персонал организации должен понимать необходимость отчетов об инцидентах безопасности, включая нарушения правильного функционирования программного обеспечения и случаи неустойчивой работы системы. Для этого в организации должна быть разработана соответствующая схема передачи сообщений. Обработка инцидента включает в себя:

1 Отчет об инциденте безопасности

Отчет об инциденте является обязанностью каждого сотрудника. Инциденты и сбои могут быть также идентифицированы и зарегистрированы с помощью инструментальных средств. Для повышения эффективности деятельности при инциденте должна быть разработана схема передачи отчетов и места их приема в организации.

2 Отчет о слабых местах при обеспечении безопасности

Если пользователи замечают какие-либо недостатки, имеющие отношение к обеспечению безопасности, то они обязаны как можно быстрее доложить об этом ответственному лицу.

3 Отчет о нарушениях в работе программного обеспечения

Если пользователи замечают какие-либо нарушения в работе программного обеспечения, связанного с безопасностью, то они обязаны как можно быстрее доложить об этом ответственному лицу.

4 Управление в случае возникновения инцидента

Процесс управления должен обеспечивать безопасность от инцидентов, их обнаружение, оповещение и соответствующую реакцию на инцидент. Организация должна проводить сбор и оценку информации об инцидентах во избежание их повторного возникновения, а также для сокращения ущерба.

Персонал

Защитные меры в этой категории должны снижать риски безопасности в результате ошибок или преднамеренного или непреднамеренного нарушения правил безопасности персоналом (штатным или нанятым по контракту). К этой категории относятся следующие защитные меры:

1 Защитные меры для штатного или временного персонала

Все сотрудники должны понимать свою роль и обязанности относительно безопасности. Организация должна определить и документировать процедуры, касающиеся безопасности, которые должны соблюдаться персоналом. При найме персонала на работу он должен подлежать проверке и, в случае необходимости, с персоналом должно быть подписано соглашение о соблюдении правил конфиденциальности.

2 Защитные меры для персонала, нанятого по контракту

Организация должна контролировать персонал, работающий по контракту (например уборщицы или технический персонал), а так же любого другого посетителя. Персонал, нанятый по контракту на длительное время, должен подписать обязательство о соблюдении правил конфиденциальности, прежде чем он получит доступ (физически или логически) к системам ИТ организации.

3 Обучение и осведомленность о мерах безопасности

С персоналом, который использует, разрабатывает, поддерживает в рабочем состоянии и имеет доступ к оборудованию ИТ, должен регулярно проводиться инструктаж по вопросам обеспечения безопасности. Персонал должен обеспечиваться соответствующими материалами. Это позволяет обеспечить осведомленность персонала о важности коммерческой информации, соответствующих угрозах, уязвимостях и риске и, следовательно, понимание необходимости защитных мер. Организация должна обучать пользователей правильному использованию средств ИТ во избежание ошибок. Для ответственного персонала, например специалистов по безопасности ИТ, администраторов, отвечающих за обеспечение безопасности, может потребоваться специальное обучение.

4 Процесс обеспечения исполнительской дисциплины

Персонал организации должен понимать последствия (намеренного или непреднамеренного) нарушения политики обеспечения безопасности ИТ организации или соглашения о соблюдении конфиденциальности.

8.1.5 Эксплуатационные вопросы

Целью защитных мер этой категории является поддержание в рабочем состоянии процедур по обеспечению безопасности, правильного и надежного функционирования оборудования ИТ и связанных с ним систем. Большинство из этих защитных мер могут быть реализованы путем внедрения организационных процедур. Эксплуатационные защитные меры должны быть совмещены с другими видами защиты, например физической и технической. К этой категории относятся следующие защитные меры:

1 Управление конфигурацией и изменениями

Управление конфигурацией является процессом отслеживания изменений в системах ИТ. При этом главная задача обеспечения безопасности организации включает в себя обеспечение эффективности защитных мер и совокупной безопасности при изменениях в системах ИТ. Управление изменениями может способствовать идентификации новых форм применения защитных мер по обеспечению безопасности при изменениях в системах ИТ.

2 Управление резервами

Организация должна управлять резервами для предупреждения возникновения сбоев из-за недостатка ресурсов. При оценке резервов, необходимых для системы ИТ, должны учитываться будущие и текущие требования к резервам.

3 Документация

Все аспекты операций и конфигураций ИТ должны быть задокументированы для обеспечения их непрерывности и последовательности. Безопасность системы ИТ должна быть оформлена документально в политике обеспечения безопасности ИТ, в документации, регламентирующей операционные процедуры безопасности, отчетах и планах по бизнес-стратегии организации. Эта документация должна быть актуализирована и доступна уполномоченному персоналу.

4 Техническое обслуживание

Организация должна проводить техническое обслуживание оборудования ИТ для обеспечения его постоянной надежности, доступности и целостности. Требования по обеспечению безопасности, которые должны соблюдать подрядчики при выполнении технического обслуживания, должны быть документально оформлены и записаны в соответствующих контрактах. Техническое обслуживание должно проводиться в соответствии с контрактом с привлечением квалифицированного персонала.

5 Мониторинг изменений, связанных с безопасностью

Организация должна проводить мониторинг изменений воздействий, угроз, уязвимостей и риска, а также связанных с ними характеристик безопасности. Мониторинг должен включать в себя существующие и новые аспекты. Организация должна проводить мониторинг окружающей среды, в которой расположена система ИТ.

6 Записи аудита и регистрация

Аудиторские и регистрирующие способности серверов (регистрация записей аудита и анализ средств), сетей (аудит аппаратно-программных средств межсетевой защиты и маршрутов) и приложений (аудиторские средства систем передачи сообщений или обработка транзакций) должны использоваться для записи подробностей событий, относящихся к обеспечению безопасности. Эти события включают в себя легко опознаваемые несанкционированные или ошибочные события и подробности очевидных нормальных событий, которые могут потребоваться для дальнейшего анализа. Записи аудита и журналы регистрации должны регулярно анализироваться для обнаружения несанкционированной деятельности и принятия соответствующих корректирующих мер. События, зарегистрированные в журналах, должны также анализироваться на повторяемость аналогичных событий, которые указывают на присутствие уязвимостей или угроз, против которых еще не приняты адекватные защитные меры. Такой анализ может выявлять шаблоны в очевидных несвязанных событиях, которые позволяют идентифицировать лиц, занимающихся несанкционированной деятельностью, или определять основные причины проблем, связанных с безопасностью.

Примечание - В настоящем стандарте термины "аудиторские способности" систем и приложений, и "регистрирующие способности" применяются в одном и том же смысле. В то время подобные способности могут быть использованы для поддержки проведения более широких финансовых аудитов.

7 Тестирование безопасности

Организация должна проводить тестирование безопасности для обеспечения безопасного функционирования всего оборудования ИТ и связанных с ним компонентов программного обеспечения. Должна проводиться проверка соответствия требованиям, установленным в политике обеспечения безопасности системы ИТ и планах проведения тестирования (испытаний), а также установлены критерии, позволяющие демонстрировать достижение необходимого уровня безопасности.

8 Управление носителями информации

Управление носителями информации включает в себя разнообразные защитные меры, обеспечивающие защиту (физическую и в окружающей среде), а также возможность подотчетности дискет, дисков, выводов на печать и в другую среду передачи информации. Управление может включать маркировку, регистрацию, верификацию целостности, защиту физического доступа, защиту от воздействия окружающей среды, процесс передачи и безопасное уничтожение носителей информации.

9 Обеспечение стирания памяти

Конфиденциальность ранее записанной в запоминающем устройстве информации должна быть сохранена, даже если эта информация больше не требуется. Должно быть обеспечено стирание или физическая перезапись файлов, содержащих конфиденциальный материал, или они должны быть уничтожены другим способом, так как функция стирания не всегда гарантирует полное уничтожение информации. Средства для полного и безопасного стирания, одобренные ответственным персоналом (например, специалистом по безопасности), должны быть предоставлены в распоряжение пользователей.

10 Распределение ответственности и полномочий

Для минимизации риска и возможности для злоупотребления полномочиями, организация должна распределить ответственность и полномочия. В частности должны быть разделены обязанности и функции, которые в комбинации могут привести к обходу защитных мер или аудитов или чрезмерному преимуществу для работника.

11 Корректное использование программного обеспечения

Организация должна обеспечивать невозможность несанкционированного повторного копирования печатных материалов и выполнение лицензионных соглашений в отношении прав собственника программного обеспечения.

12 Управление изменениями программного обеспечения

Организация должна управлять изменениями программного обеспечения для поддержания его целостности в случае внесения изменений (управление изменениями программного обеспечения должно применяться только к программному обеспечению, в то время как управление конфигурацией и изменениями, описанное в соответствующей категории обеспечения безопасности, должно применяться к системам ИТ и их окружению в целом). Должны быть установлены процедуры управления изменениями программного обеспечения, которые предусматривают управление всеми изменениями и обеспечивают поддержание безопасности всего процесса. К ним относится санкционированное разрешение на изменения, рассмотрение вопросов безопасности для принятия промежуточных решений и проверка безопасности на конечной стадии.

Планирование непрерывности бизнеса

Для обеспечения защиты основных бизнес-процессов организации от воздействия серьезных отказов или бедствий и сведения к минимуму ущерба, нанесенного такими событиями, организация должна разработать эффективную стратегию непрерывности бизнеса, включая планы и стратегию действий в чрезвычайной ситуации и восстановления после бедствия. К этой категории относятся следующие защитные меры:

1 Стратегия непрерывности бизнеса

Организация должна разработать и документально оформить стратегию непрерывности бизнеса, включая план действий в чрезвычайной ситуации и восстановление после бедствий, в отношении рассматриваемой системы ИТ на основе потенциальных идентифицированных неблагоприятных воздействий на бизнес вследствие неготовности к работе, модификации или разрушения системы ИТ.

2 План непрерывности бизнеса

На основе стратегии непрерывности бизнеса организация должна разработать и документально оформить планы непрерывности бизнеса в случае возникновения чрезвычайной ситуации и восстановления после бедствия.

3 Проверка и актуализация плана непрерывности бизнеса

Прежде чем принять план непрерывности бизнеса, организация должна тщательно проверить его эффективность в обстоятельствах реальной жизни и довести его до сведения ответственного персонала. Так как планы непрерывности бизнеса могут быстро устаревать, организация должна проводить их периодическую актуализацию. Стратегия непрерывности бизнеса должна совершенствоваться по мере необходимости.

4 Дублирование

Организация должна дублировать все важные файлы и другие информационные данные бизнеса, программы и документацию важных систем. Периодичность дублирования должна быть установлена в зависимости отважности информации и в соответствии с планом непрерывности бизнеса. Резервные копии должны храниться в безопасном месте и отдельно друг от друга, а восстановленные копии - периодически проверяться на достоверность.

Физическая безопасность

Защитные меры в этой области связаны с физической защитой. Их следует рассматривать совместно с идентификацией окружающей среды (см. 7.2). Нижеизложенные защитные меры должны применяться к зданиям, зонам безопасности, местам размещения ЭВМ и офисным помещениям. Выбор защитных мер зависит от рассматриваемой части здания. К этой категории относятся следующие защитные меры:

1 Материальная защита

Физические защитные меры, применяемые для защиты здания, включают в себя заборы, управление физическим доступом (пропускные пункты), прочные стены, двери и окна. Зоны безопасности в пределах здания должны быть защищены от несанкционированного проникновения с помощью управления физическим доступом, охраны и т.д. Зоны безопасности могут быть необходимы для оборудования ИТ, например, серверов, связанного с ними программного обеспечения и данных, поддерживающих важные виды коммерческой деятельности организации. Доступ в такие зоны безопасности должен быть ограничен минимальным числом необходимого персонала, подробное описание доступа должно быть зарегистрировано. Все диагностическое и контрольное оборудование должно храниться в безопасном месте и его использование должно держаться под строгим контролем.

2 Противопожарная защита

Оборудование и прилегающая территория, включая доступ к ним, должны быть защищены от распространения огня из какого-либо места в здании или соседних строений. Опасность возникновения и распространения пожара вблизи помещений и/или зон, содержащих оборудование, должна быть сведена к минимуму. Организация должна обеспечить защиту от пожаров, возникающих в пределах и/или затрагивающих помещения/зоны, содержащие основное оборудование. Защитные меры должны предусматривать обнаружение огня и дыма, охранную сигнализацию и подавление очага возгорания. Следует также учитывать, что противопожарная защита может не вызвать повреждения систем ИТ от воды или других средств тушения.

3 Защита от воды/других жидкостей

Организация не должна размещать основные (значимые) средства в зоне возможного затопления, утечки воды или другой жидкости. Должна быть предусмотрена соответствующая защита в случае возникновения угрозы затопления.

4 Защита от стихийных бедствий

Здания, содержащие важное оборудование, должны быть защищены от удара молнии и оснащено защитой от грозового разряда. Защита от стихийных бедствий может быть достигнута за счет размещения оборудования в зонах, где стихийные бедствия маловероятны, а также применения стратегического и текущего планирования.

5 Защита от хищения

Для обеспечения управления уровнями запасов все части оборудования должны быть однозначно идентифицированы и подлежать инвентарному учету. Персонал охраны и администраторы должны проверять выносимые без разрешения из помещений/зон или здания оборудование или ресурсы. Организация должна обеспечить защиту конфиденциальности информации и прав собственности на программное обеспечение, находящихся на портативных носителях (например, съемных и сменных дисках, флэш-накопителях, оптических дисках, гибких дисках и др.).

6 Энергоснабжение и вентиляция

Все оборудование ИТ должно быть защищено (при необходимости) от внезапного отключения электричества. Должен быть предусмотрен соответствующий альтернативный источник энергоснабжения и бесперебойного питания. Другой целью обеспечения безопасности является поддержание допустимой температуры и влажности.

7 Прокладка кабелей

Силовые и коммуникационные кабели, осуществляющие передачу данных или поддержку служб ИТ, должны быть защищены от перехвата информации, повреждения и перегрузки. Проложенные кабели должны быть защищены от случайного или преднамеренного повреждения.

При планировании кабелей должны учитываться перспективные разработки. В оправданных случаях кабели должны быть защищены от возможного подслушивания.