1 / 33

INFORMAČNÁ BEZPEČNOSŤ 6

INFORMAČNÁ BEZPEČNOSŤ 6. RNDr. Eva KOSTRECOVÁ, PhD . FYZICKÁ BEZPEČNOSŤ A BEZPEČNOSŤ PROSTREDIA. Obsah prednášky: Režimová bezpečnosť a chránené priestory Bezpečnosť a ochrana zariadení Interné smernice a všeobecné opatrenia. ÚVOD.

evanthe
Download Presentation

INFORMAČNÁ BEZPEČNOSŤ 6

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. INFORMAČNÁ BEZPEČNOSŤ 6 RNDr. Eva KOSTRECOVÁ, PhD.

  2. FYZICKÁ BEZPEČNOSŤ A BEZPEČNOSŤ PROSTREDIA Obsah prednášky: • Režimová bezpečnosť a chránené priestory • Bezpečnosť a ochrana zariadení • Interné smernice a všeobecné opatrenia

  3. ÚVOD Snahou každej spoločnosti, ktorej záleží na informačnej bezpečnosti, je zabrániť: • neautorizovanému prístupu, poškodeniu a ohrozeniu jej priestorov, • poškodeniu informačných aktív a prerušeniu aktivít spoločnosti, • zneužitiu informácií a krádeži prostriedkov spracúvajúcich dáta a informácie. Prostriedky spracovávajúce dáta a informácie by mali byť umiestnené v chránených priestoroch s primeranou režimovou ochranou, bezpečnostnými bariérami a riadením vstupu. Režimová, fyzická a objektová bezpečnosť musí byť natoľko účinná, aby zabránila neoprávneným zamestnancom, návštevníkom alebo zmluvným partnerom odcudziť, odstrániť, inštalovať alebo modifikovať dôležité aktíva.

  4. DEFINÍCIA FYZICKEJ BEZPEČNOSTI Pod fyzickou bezpečnosťou rozumieme systém opatrení slúžiaci na ochranu aktív spoločnosti pred nepovolanými osobami a pred neoprávnenou manipuláciou s nimi v objektoch a chránených priestoroch spoločnosti. Ochrana aktív, objektov a chránených priestorov sa zabezpečuje: • režimovými opatreniami, • mechanickými zábrannými prostriedkami, • technickými zabezpečovacími prostriedkami, • fyzickou ochranou, • a vzájomnou kombináciou vyššie uvedených prostriedkov a opatrení.

  5. DEFINÍCIA REŽIMOVEJ BEZPEČNOSTI Pod režimovou bezpečnosťou rozumieme súhrn organizačných a administratívnych opatrení, príkazov a nariadení, ktoré stanovujú podmienky pre vstup, pohyb a činnosti osôb vo vymedzených priestoroch. Podmienkou správne fungujúcej režimovej bezpečnosti je jednotná a presná dokumentácia. Bezpečnostné požiadavky na úroveň režimových opatrení musia byť definované v prípade: • zriadenia objektu, • zmeny účelu objektu, • zásadnej zmeny bezpečnostných opatrení.

  6. RIADENIE REŽIMOVEJ BEZPEČNOSTI V spoločnosti je obvykle metodicky riadená režimová bezpečnosť v nasledujúcich oblastiach: • ochrana majetku a osôb, • identifikácia a autentizácia osôb, riadenie vstupu osôb do objektov a priestorov, • pohyb osôb v objektoch, priestoroch a zónach, • určenie vjazdu motorových vozidiel do objektov a priestorov, • stanovenie chránených priestorov a bezpečnostných zón, • stanovenie režimových pracovísk, • preprava cenín a iných hodnôt, • požiarna ochrana. Režimová bezpečnosť musí byť rozpracovaná do procedúr. Pri vypracovávaní týchto procedúr je dôležité, aby miera obmedzení a zákazov neprekročila istú hranicu, za ktorou sa stáva aj pre zamestnancov spoločnosti prekážkou v plnení ich pracovných úloh. Potom sa takéto režimové opatrenia nedodržiavajú a nespĺňajú bezpečnostné požiadavky.

  7. ZAVEDENIE REŽIMOVÝCH OPATRENÍ A KONTROLA ICH DODRŽIAVANIA Cieľom zavedenia režimových opatrení je ochrana aktív spoločnosti. Pri navrhovaní, schvaľovaní a následnom zavedení týchto režimových opatrení musí byť akceptovaná zásada efektívneho vynakladania finančných prostriedkov a dosiahnutia maximálneho účinku. Implementácia režimových opatrení nesmie ochromiť alebo zastaviť funkčnosť chránených systémov. Pre každé režimové bezpečnostné opatrenie musí byť stanovený bezpečnostný mechanizmus a jeho dodržiavanie. Kontrola dodržiavania bezpečnostných opatrení sa musí vykonávať na všetkých úrovniach riadenia.

  8. IDENTIFIKÁCIA A AUTENTIZÁCIAPRI VSTUPE DO OBJEKTOV A CHRÁNENÝCH PRIESTOROV Za účelom sledovania pohybu osôb, automobilov, zariadení a iných materiálov je nutné vykonávať: • identifikáciu a autentizáciu osôb vstupujúcich do objektov spoločnosti, • identifikáciu a autentizáciu motorových vozidiel vstupujúcich do priestorov spoločnosti, • identifikáciu a autentizáciu zariadení a vecí vynášaných z objektov spoločnosti, • evidenciu vstupov osôb, • evidenciu motorových vozidiel. Pre toto režimové opatrenie je potrebné vypracovať interný pokyn, ktorý by mal obsahovať: • typy identifikačných dokladov, ktorými sa majú preukazovať zamestnanci, klienti, návštenvíci a osoby tretích strán, • postup vydávania identifikačných dokladov, • postup vykonávania identifikácie osôb a motorových vozidiel, ich kontrola a evidencia.

  9. RIADENIE PRÍSTUPU OSÔB DO OBJEKTOVA CHRÁNENÝCH PRIESTOROV Prístup osôb do objektov, chránených priestorov, zón a miestností musí byť zabezpečený režimovými opatreniami. Tieto režimové opatrenia sú podporené ďalšími mechanickými, technickými a fyzickými opatreniami. Proces riadenia prístupu osôb do objektov pozostáva z: • klasifikácie priestorov do bezpečnostných zón, • určenia skupín osôb s možným prístupom do jednotlivých chránených priestorov, • rozhodovania o prístupoch, • mechanického zabezpečenia prístupov, • technického zabezpečenia prístupov, • fyzického zabezpečenia prístupov, • identifikácie a autentizácie, • kontroly.

  10. RIADENIE PRÍSTUPU OSÔB DO OBJEKTOVA CHRÁNENÝCH PRIESTOROV /2 Zákazníci, zamestnanci dodávateľských firiem a návštevníci, ktorí vstupujú do objektov spoločnosti sa musia prihlásiť na vrátnici. Tieto osoby budú v objektoch spoločnosti sprevádzané jej zamestnancom, s ktorým majú rokovanie, pracovné povinnosti, alebo ktorého prišli navštíviť. Prístup návštev a zamestnancov externých firiem do chránených priestorov a bezpečnostných zón podlieha špeciálnym režimovým opatreniam, napríklad vydaním písomného súhlasu garanta predmetného aktíva. Strážna služba vedie evidenciu o návštevách. V evidencii musí byť uvedený dátum, čas, účel a identifikačné údaje vstupujúcich osôb a vozidiel a tiež záznam o ich odchode.

  11. RIADENIE PRÍSTUPU DOPRAVNÝCH PROSTRIEDKOV DO OBJEKTOV V objektoch spoločnosti so zvýšenou ochranou nesmú parkovať súkromné motorové vozidlá. Služobné motorové vozidlá musia mať jasné identifikačné označenie a povolenie vjazdu do objektu. Vjazd pre motorové vozidlá musí byť mechanicky zabezpečený, aby nemohli autá voľne vojsť ani opustiť objekt. Identifikácia môže byť vykonávaná technickými prostriedkami alebo strážnou službou. Pri vjazde a výjazde motorového vozidla musia byť skontrolované aj prepravované osoby a prepravovaný náklad. O všetkých vjazdoch a výjazdoch sa musí viesť evidencia. Ak sa vykonáva identifikácia a kontrola technickými prostriedkami, potom sa táto evidencia vedie v elektronickej podobe. Prevenciu proti krádeži alebo poškodeniu vozidiel zamestnancov, klientov alebo iných osôb zabezpečí strážna služba monitorovaním parkovacích priestorov kamerami. Rovnako je nutné kamerami monitorovať aj miesta pre nakladanie a vykladanie tovaru. Najdôležitejšiou úlohou strážnej služby je identifikovať podozrivú aktivitu a v prípade výskytu incidentu, poskytnúť informácie útvaru bezpečnosti a polícii.

  12. RIADENIE DODÁVKY ZARIADENÍ A VECÍ DO OBJEKTOV A CHRÁNENÝCH PRIESTOROV Pre vnášanie a vynášanie zariadení a vecí do objektov a z objektov musia byť spracované režimové opatrenia. Tieto opatrenia slúžia najmä na ochranu majetku pri zariaďovaní nových priestorov, technologických priestorov, pri sťahovaní priestorov, pri rekonštrukcii priestorov a pri opravách zariadení. Na tieto účely musia byť vypracované pokyny, ktoré stanovia postup, aké náležitosti musia byť dodržané pri vynášaní zariadení a vecí. Musí byť vyplnený doklad obsahujúci základné identifikačné údaje o zariadení alebo veci, dôvod prečo sa vec vynáša, údaje o osobe, ktorá môže tento úkon vykonať. Tento doklad a vynášanú vec alebo zariadenie skontroluje strážna služba a vykoná o tom záznam.

  13. FYZICKÁ KONTROLA PRÍSTUPU Chránené priestory by mali byť chránené primeranou fyzickou kontrolou prístupu, aby sa zabezpečilo, že vstúpiť môžu len autorizované osoby. Fyzickú kontrolu prístupu musia vykonávať vyškolení zamestnanci, príslušníci ozbrojených zborov alebo zamestnanci súkromných bezpečnostných služieb. Fyzická kontrola prístupu osôb sa vykonáva iba v obsluhovaných objektoch. Ak takýto objekt nie je strážený strážnou službou, musí byť určený spôsob fyzickej kontroly povereným zamestnancom spoločnosti, ktorý urobí identifikáciu a zaevidovanie osôb. Na autorizáciu a validáciu všetkých prístupov by sa mali používať autentizačné bezpečnostné mechanizmy (čipová karta, magnetická karta, PIN kód).

  14. FYZICKÁ KONTROLA PRÍSTUPU /2 Fyzickú kontrolu zamestnancov vykonávajú členovia strážnej služby na základe identifikačných zamestnaneckých preukazov alebo vstupových kariet. Fyzická kontrola cudzích osôb je vykonávaná tak, že členovia strážnej služby identifikujú osobu vstupujúcu do objektu na základe platného dokladu totožnosti. Majú právo skontrolovať aj prenášanú batožinu. O vstupoch osôb vedú evidenciu. Evidencia musí obsahovať: • identifikačné údaje osoby, • čas príchodu a odchodu, • účel vstupu, • pracovisko, na ktoré osoba išla.

  15. TECHNICKÁ KONTROLA PRÍSTUPU Technická kontrola pre riadenie prístupu do objektov, priestorov a zón by mala byť tvorená nasledujúcimi technickými prostriedkami: • mechanickými zábrannými prostriedkami, • elektrickými zámkovými zariadeniami a systémami pre zabezpečenie vstupov do objektov, • zariadeniami a systémami slúžiacimi na identifikáciu a autentizáciu osôb, • zariadeniami poplachového systému na hlásenie narušenia, • kódovými prepúšťacími zámkami, • špeciálnymi zariadeniami priemyselnej televízie, • detektormi látok alebo zariadeniami slúžiacimi na vyhľadávanie kovov, • zariadeniami proti pasívnemu a aktívnemu odpočúvaniu. Tieto technické prostriedky spolu s režimovými opatreniami tvoria technickú kontrolu prístupu.

  16. MECHANICKÉ ZÁBRANNÉ PROSTRIEDKY Mechanické zábranné prostriedky sú nevyhnutnou súčasťou mechanizmov technickej bezpečnosti. Konštrukčne a mechanicky zabraňujú neoprávnenému vniknutiu do objektu, sú prostriedkami osobnej ochrany a ochrany dôležitých aktív. Delia sa na: • mechanické zábrany exteriérové, • mechanické zábrany interiérové.

  17. MECHANICKÉ ZÁBRANY EXTERIÉROVÉ • mreža (dvere a okná), • poklop s bezpečným uzatváracím systémom, • bezpečnostná fólia, • oplotenie pozemku (budova, parkovisko), • závora, • zámok (bezpečnostný zámok a kovanie, visiaci zámok s ochrannou oceľovou manžetou), • dekoračné prvky (veľkoobjemové kvetináče).

  18. MECHANICKÉ ZÁBRANY INTERIÉROVÉ • zámok (bezpečnostný zámok a kovanie, visiaci zámok s ochrannou oceľovou manžetou), • turniket, • zábradlie, • mreža, • bezpečnostné dvere (pancierové, protipožiarne), • trezor.

  19. STRÁŽNA SLUŽBA Strážna služba je neoddeliteľnou a nezanedbateľnou zložkou bezpečnostného systému. Zamestnanci strážnej služby musia byť odborne spôsobilí a odborne a metodicky vyškolení na prácu v tejto oblasti. V spojení s mechanizmami technickej bezpečnosti musia byť schopní procedurálne riešiť bezpečnostné incidenty.

  20. KĽÚČOVÝ REŽIM Kľúčový režim je režimové opatrenie, ktoré riadi a vymedzuje pravidlá pre používanie kľúčov na vstup do objektov, chránených priestorov, zón a iných úschovných miest. Kľúčový režim musí obsahovať: • zoznam všetkých miestností a vstupov s pridelenými kľúčmi, • zoznam osôb oprávnených preberať kľúče, • zoznam náhradných kľúčov a oprávnených osôb preberať tieto kľúče, • spôsob vydávania kľúčov, • identifikáciu oprávnených osôb, • vedenie presnej evidencie vydávania kľúčov, s presným časom, dátumom a preberajúcou osobou, • záznam o navrátení kľúčov,

  21. KĽÚČOVÝ REŽIM /2 • odkladanie a ukladanie kľúčov, • všetky zmeny týkajúce sa oprávnených osôb a kľúčov, • nahlasovanie straty kľúčov, • uloženie kľúčov od pokladní a trezorov, • prideľovanie kľúčov upratovacej službe, • kontrolu používania a prideľovania kľúčov.

  22. BEZPEČNOSŤ KANCELÁRIÍ, PRIESTOROV A ZARIADENÍ Výber a konštrukcia chránených kancelárií, miestností a zariadení by mali brať do úvahy možnosť poškodenia požiarom, zatopením, explóziou, občianskymi nepokojmi a inými formami prírodných alebo ľudsky zavinených havárií. Mali by sa vziať do úvahy aj relevantné zdravotné a bezpečnostné predpisy a nasledujúce opatrenia: • dvere a okná by mali byť uzamknuté a mala by sa zvážiť ajvonkajšia ochrana okien, najmä na prízemí, • mali by byť nainštalované a pravidelne testované systémy na detekciu votrelcov, ktoré by pokrývali všetky vonkajšie dvere a dosiahnuteľné okná. Pokrytie by malo byť zabezpečené aj v počítačových a komunikačných miestnostiach. Nevyužívané priestory by mali byť chránené alarmom,

  23. BEZPEČNOSŤ KANCELÁRIÍ, PRIESTOROV A ZARIADENÍ /2 • zariadenia na spracovanie informácií spravované organizáciou, by mali byť fyzicky oddelené od tých, ktoré sú spravované tretími stranami, • podporné vybavenie (kopírky, faxy) by malo byť vhodne umiestnenév chránenom priestore, aby sa zamedzilo požiadavkám o prístup, prostredníctvom ktorého by mohlo prísť k zneužitiu informácií, • adresáre a interné telefónne zoznamy identifikujúce miesta zariadení spracujúcich citlivé informácie, by nemali byť v čitateľnej podobe dostupné verejnosti, • nebezpečné alebo horľavé materiály by mali byť uložené bezpečne, v bezpečnej vzdialenosti od chráneného priestoru. • zariadenia IS používané na obnovu a zálohové médiá, by mali byť umiestnené v bezpečnej vzdialenosti, aby sa zabránilo ich poškodeniu haváriou na hlavnom pracovisku.

  24. BEZPEČNOSŤ KÁBLOVÝCH ROZVODOV Komunikačné rozvody a káble (počítačové a telekomunikačné siete) musia byť chránené pred poškodením, zničením a zneužitím. Pre bezpečnosť káblových rozvodov je potrebné: • používanie materiálov odolných voči odpočúvaniu (tienenie, optické káble), • používanie nehorľavých materiálov, • vedenie káblov pod povrchom (v omietkach, podhľadoch, podlahách, v zemi) alebo v ochranných lištách, • blokovanie neaktívnych (nepoužívaných) komponentov (zástrčky rozvodov), • používanie ochranných krytov v miestach ukončenia a prepájania káblov (rozvodné skrine telekomunikačných a počítačových sietí).

  25. BEZPEČNÉ KRYTY ZARIADENÍ Citlivé zariadenia umiestnené v budovách (rozvody počítačových a telekomunikačných sietí, ich aktívne prvky, dôležité servery, dôležité riadiace počítače, dôležité pracovné stanice a iné zariadenia) musia byť chránené krytom, ktorý zamedzí nepovolenému prístupu a ochráni pred hrozbami okolia. Kryty musia mať nasledujúce vlastnosti: • zamykanie na kľúč, • robustná konštrukcia z nehorľavých materiálov, • odolnosť voči hrozbám okolia - dym, prach, voda, para, vibrácie, elektromagnetická radiácia, a to v závislosti na type prostredia a chránenom komponente.

  26. POŽIARNA BEZPEČNOSTNÁ POLITIKA Požiarna bezpečnostná politika sa riadi platným zákonom ochrane proti požiarom č. 314/2001 Z. z. Obsahom požiarnej bezpečnostnej politiky sú nasledujúce opatrenia, ktoré slúžia na požiarnu prevenciu a na zníženie rizika vzniku požiaru: • klasifikácia priestorov a zón, • požiarny štatút, požiarne poriadky pracovísk, požiarne poplachové smernice, • požiarne evakuačné plány, požiarne knihy, požiarne značenie, • vybavenie systémami technickej bezpečnosti a ďalšími mechanickými pomôckami, • analýza požiarnych rizík v objektoch, • vzdelávací proces zamestnancov a požiarnych technikov, • protipožiarne hliadky, • cvičné požiarne poplachy.

  27. DETEKCIA POŽIARU Zabránenie vzniku a rozšíreniu požiaru musí byť zabezpečené skorou detekciou vznikajúceho požiaru a správnou a rýchlou reakciou na vzniknutú situáciu. Pre tento účel musí byť spracovaný presný postup pri reakcii na požiar. S týmto postupom musia byť oboznámení a poučení všetci zamestnanci. V prípade signalizácie požiaru signalizáciou EPS alebo iným spôsobom vykoná strážna služba alebo zamestnanec poverený prijímať hlásenia nasledujúce úkony: • okamžite preverí pravdivosť hlásenia na mieste, odkiaľ bol hlásený, v prípade falošného poplachu: • vyrozumie útvar bezpečnosti,

  28. DETEKCIA POŽIARU /2 v prípade skutočného poplachu: • zistí rozsah požiaru, • aktivizuje do činnosti požiarne hliadky, hlási požiar zásahovej jednotke a riadi sa požiarno-poplachovou smernicou objektu, • snaží sa oheň zlikvidovať vlastnými silami a ručnými hasiacimi prístrojmi, • umožní prístup zásahovej jednotke do objektu, • zamedzí vstup nepovolaným osobám, • napomáha pri evakuácii osôb a materiálu podľa požiarno-evakuačného plánu objektu, • oznámi vzniknutú situáciu polícii a zodpovednému vedúcemu. Falošný poplach je považovaný za bezpečnostný incident a musí byť vyšetrený.

  29. REVÍZIE ZARIADENÍ POŽIARNEJ OCHRANY V rámci požiarnej bezpečnosti je povinnosťou zabezpečovať vykonávanie revízií na zariadeniach požiarnej ochrany. Revízie sa musia vykonávať v súlade s vyhláškami a slovenskými technickými normami v nimi predpísaných periodických cykloch a rozsahoch. Pre požiarnu bezpečnosť je potrebné vykonávať revízie: • stabilných a polostabilných hasiacich zariadení, • ručných hasiacich prístrojov, • elektrickej požiarnej signalizácie, • komínov, • plynových kotolní a ostatných kotolní, • plynových zariadení, • hydrantov.

  30. NÁHRADNÉ ZDROJE ELEKTRICKEJ ENERGIE Dôležité komponenty komunikačných a informačných systémov musia byť chránené pred výpadkom elektrického napájania dostatočne výkonným záložným zdrojom elektrického napájania. Záložné generátory je potrebné použiť v prípadoch, keď plány kontinuity vyžadujú nepretržité poskytovanie služieb aj počas dlhodobého výpadku elektrického napájania.

  31. DETEKCIA PLYNU, DETEKCIA VODYA KLIMATIZÁCIA Vo vytipovaných chránených priestoroch, kde môže dôjsť k nepozorovateľnému úniku plynu je potrebné inštalovať systém detekcie plynu alebo špeciálne detektory úniku plynu pripojené na  systém elektrickej požiarnej signalizácie. Vybrané priestory spoločnosti je potrebné pred zaplavením chrániť systémom detekcie vody. Dôležité komponenty informačných systémov budú umiestnené v klimatizovaných priestoroch tak, aby bola zabezpečená ich bezporuchová prevádzka.

  32. OCHRANA PROTI PREPÄTIU, ELEKTROSTATICKÝM A ELEKTRICKÝM VÝBOJOM Dôležité aktíva a komponenty komunikačných a informačných systémov budú chránené pred poškodením elektrostatickým výbojom, elektrickým výbojom alebo zvýšenou hladinou napájacieho napätia.

  33. PORUCHOVÉ A NÚDZOVÉ OSVETLENIE V prípade výpadku elektrického napájania musia byť dôležité priestory a únikové cesty osvetlené poruchovým alebo núdzovým osvetlením. Poruchové osvetlenie nastáva pri vzniku výpadku napätia a pre uskutočnenie najnevyhnutnejších prác s dokončením pracovnej činnosti. Núdzové osvetlenie sa zapína v prípade výpadku hlavného napájania a vyznačuje cesty úniku pracovníkov alebo ostatných užívateľov osvetľovaného priestoru.

More Related