Fyzická bezpečnosť
Ivan Oravec, Jozef Stanko 1
Osnova Motivácia Riadenie bezpečnosti Prehľad základných prvkov fyzickej bezpečnosti Všeobecné opatrenia Mechanické zábranné prostriedky Technické zabezpečovacie prostriedky Podporná infraštruktúra Fyzická bezpečnosť dátových centier Mobilná a vzdialená práca Legislatíva v oblasti FOB Príklady konkrétnych riešení Záver 2
Motivácia (1/2) Existuje 100% bezpečnosť? • „Jediný relatívne 100% bezpečný počítačový systém je PC, ktoré je uzamknuté v miestnosti, odpojené od všetkých ostatných zariadení a sietí a je vypnuté. Navyše ešte aj strážené jednotkou dobre vycvičených vojakov.“ • Samozrejme takéto zariadenie nie je možné použiť v každodennej praxi.
• Najslabším článkom býva spravidla „ľudský faktor“, preto sme povinní primerane chrániť všetky aktíva, ktoré sú pod našou kontrolou. • Je dôležité aby sme si uvedomovali, že ochrana informácií, s ktorými pracujeme patrí medzi naše základné pracovné povinnosti.
• Všetko ostatné sa z uvedeného dôvodu nedá považovať za bezpečné a preto je potrebné riešiť Informačnú bezpečnosť, najmä na úrovni používateľov systémov.
3
Motivácia (2/2) Čo vlastne chránime? • Fyzické aktíva (hardvér, komunikačné prostriedky, výrobné prostriedky, budovy,..) • Informácie/dáta (Know-how) • Softvér • Ľudia • Reputácia Prečo to chránime? • Predstavujú pre nás hodnotu, ich zneužitie, odcudzenie, alebo znehodnotenie je kritickým incidentom a stratou tejto našej hodnoty. • To čo dnes vyzerá ako nevinný incident, môže v spojení s inými drobnými incidentmi spôsobiť stratu zisku/reputácie/know-how
Ako to chránime? • Riadením IB vo všetkých jej oblastiach, pre účely tejto prezentácie najmä použitím prostriedkov fyzickej ochrany v rámci chráneného objektu a priestoru
4
RIADENIE BEZPEČNOSTI
Riadenie bezpečnosti (1/3) Ochrana prístupu – identifikácia a autentifikácia a kontrola prístupu používateľa ku zdrojom • Čo osoba vie, • Čo osoba má, • Čo osoba je. Ciele fyzickej ochrany IKT • Zabezpečenie prístupu do priestorov kde sa nachádzajú IKT len oprávneným osobám • Zabezpečenie voči neoprávnenej činnosti • Minimalizácia rizika nepredvídaného útoku • Minimalizácia strát a obnova v prípade, že dôjde k incidentu Základné požiadavky na prostredie • Ľudia potrebujú pracovné podmienky nezlučiteľné s tými, ktoré sú vhodné pre IKT • Ochrana najmä voči nasledovným typom hrozieb: • prírodné vplyvy, poruchy infraštruktúry, zemetrasenie, technické poruchy, úder bleskom/anomálie v prísune elektrickej energie, sabotáž, úmyselné poškodenie, krádež
6
Riadenie bezpečnosti (2/3) Oblasť fyzickej bezpečnosti je jednou zo základných oblastí riadenia IB. • Vyžaduje formálny a systematický prístup. Zanedbanie riadenia v ktorejkoľvek oblasti • fatálne následky na bezpečnosť samotných aktív z pohľadu narušenia ich základných aspektov, ktorými sú ich integrita, dostupnosť a dôvernosť. Vyváženie jednotlivých oblastí riadenia navzájom • vzhľadom na povahu a citlivosť chránených aktív a typ, štruktúru a dislokáciu organizácie.
7
Riadenie bezpečnosti (3/3) • Poznanie problematiky v oblasti fyzickej bezpečnosti je nutným, avšak nie postačujúcim predpokladom úspešného riadenia IB v rámci organizácie a eliminácie možných hrozieb a zraniteľností. • Väčšina používateľov si pod pojmom „fyzická bezpečnosť“ predstaví najmä ochranu objektov alebo špecifických priestorov „strážnou“ (bezpečnostnou) službou, alebo inou ozbrojenou zložkou. – vzhľadom na zvýšené finančné náklady sa používa len na ochranu objektov alebo priestorov, v ktorých sa nachádzajú skutočne citlivé aktíva. 8
PREHĽAD ZÁKLADNÝCH PRVKOV FYZICKEJ BEZPEČNOSTI
Prehľad základných prvkov fyzickej bezpečnosti (1/3) Súhrn opatrení na priame zabezpečenie objektu vytvorením systému zábran, prekonanie ktorých vyžaduje určitý čas, použitie nástrojov a prostriedkov, zručnosť páchateľa a pod. Mechanické zábranné prostriedky (MZP) • „klasická ochrana“ -„pasívna bezpečnosť“. • ploty, brány, bariéry, steny, dvere, okná, trezory (úschovné objekty), zámky, bezpečnostné osvetlenie. • bezpečnostné triedy odolnosti MZP, kategória náradia, odporový čas. • celok je len tak bezpečný, ako bezpečný je jeho najslabší článok.
10
Prehľad základných prvkov fyzickej bezpečnosti (2/3) Technické zabezpečovacie prostriedky (TZP) • monitory pohybu, monitory požiaru, protipožiarne zariadenia, bezpečnostné kamery, detekčné systémy, EPS • výstup môže byť vyvedený do centrály súkromnej bezpečnostnej služby, alebo na iný pult centralizovanej ochrany, spravovaný napr. policajným zborom, takže v tomto prípade ide o akýsi kompromis medzi efektivitou ochrany (reakčným časom fyzickej ochrany v prípade narušenia objektu) a nákladmi vynaloženými na samotnú ochranu. Podporná infraštruktúra • dvojité podlahy , klimatizácia, UPS, dvojité napájanie , chladenie a konektivita. • Podmienky na prevádzku IKT nezlučiteľné s podmienkami pre človeka: ide najmä o teplotu, vlhkosť a tlak prostredia ale aj o problém so statickou energiou, prípadne potrebou záložného napájania. 11
Prehľad základných prvkov fyzickej bezpečnosti (3/3) Podporná infraštruktúra • dvojité podlahy , klimatizácia, UPS, dvojité napájanie , chladenie a konektivita.
• Podmienky na prevádzku IKT nezlučiteľné s podmienkami pre človeka: ide najmä o teplotu, vlhkosť a tlak prostredia ale aj o problém so statickou energiou, prípadne potrebou záložného napájania. • Ochrana proti požiaru, záplavám, zatopeniu z interných rozvodov vody, prípadne kúrenia alebo požiarneho systému, rušenie, vytrhnutie alebo preseknutie káblov, mechanické poškodenie zariadení a pod.
12
Chránený objekt a chránený priestor Bezpečnostný perimeter • je ohraničený mechanickými zábrannými prostriedkami pod kontrolou snímačov (detektorov) elektrického zabezpečovacieho systému (EZS). Chránený objekt • budova alebo iný stavebne alebo inak ohraničený priestor, ktorý je záujmom ochrany. • Ochraňujeme všetky aktíva: nielen IKT, výrobné priestory, tlačené dokumenty, know-how, reputáciu apod. - ale predovšetkým ľudí. Chránený priestor • je stavebne alebo inak ohraničený priestor vo vnútri objektu, ktorý je záujmom ochrany. 13
Umiestňovanie a prístup k IKT Umiestňovanie IKT • V priestore ohraničenom bezpečnostným perimetrom • Zóny a úrovne • Zóna je plošné rozdeľovanie chránených priestorov
Prístup k IKT • Akcia vstupu dovnútra alebo výstupu von zo zabezpečovaného a ovládaného priestoru • Prístup verejnosti limitovaný tak, aby nedošlo k narušeniu chránenej zóny • Prístup údržby a zodpovedných osôb, ktoré majú zodpovednosť za službu v strážených objektoch a po vyhlásení poplachu za prijatie príslušných opatrení • Prístup externých špecialistov - ich prístup kontroluje a je časovo a zónovo limitovaný v rámci opatrení režimovej ochrany
14
VŠEOBECNÉ OPATRENIA
Všeobecné opatrenia (1/2) Všeobecné opatrenia na ochranu dôvernosti informácií • Fyzické riadenie prístupu • „Čistý stôl“ a „Čistá obrazovka“ Práca mimo priestorov organizácie, bezpečnosť zariadení mimo priestorov organizácie • Notebook v exponovanom prostredí pripevnený o pevný predmet káblovým zámkom • Šifrovanie dát na pevnom disku a prenosných médiach • Ochrana a zabezpečenie „chytrých“ telefónov
16
Všeobecné opatrenia (2/2) Cieľ: Zabezpečiť príslušné aktíva z pohľadu ich neoprávneného odpozorovania. Elektromagnetické vyžarovanie (EMV) • kompromitujúce vyžarovanie, ktoré ak je zachytené a analyzované, prezradí vysielanú, prijímanú alebo iným spôsobom spracovávanú informáciu • väčší kontrolovateľný priestor, priestor v podzemných podlažiach, obklopený ďalšími stenami, bez stavebných otvorov, steny väčšej hrúbky, resp. viacero stien za sebou z kari rohože s menšími okami „Shoulder surfing“ Odradenie páchateľa – „fake it till you make it“ (Falošné kamery,...) A tiež: Bezpečnostné osvetlenie • s odradzujúcim účinkom proti potenciálnemu narušiteľovi, najmä ochrana perimetra.
17
Všeobecné opatrenia (2/2) Cieľ: Zabezpečiť príslušné aktíva z pohľadu ich neoprávneného odpozorovania. Elektromagnetické vyžarovanie (EMV) • kompromitujúce vyžarovanie, ktoré ak je zachytené a analyzované, prezradí vysielanú, prijímanú alebo iným spôsobom spracovávanú informáciu • väčší kontrolovateľný priestor, priestor v podzemných podlažiach, obklopený ďalšími stenami, bez stavebných otvorov, steny väčšej hrúbky, resp. viacero stien za sebou z kari rohože s menšími okami „Shoulder surfing“ Odradenie páchateľa – „fake it till you make it“ (Falošné kamery,...) A tiež: Bezpečnostné osvetlenie • s odradzujúcim účinkom proti potenciálnemu narušiteľovi, najmä ochrana perimetra.
18
MECHANICKÉ ZÁBRANNÉ PROSTRIEDKY
Bariéry • Za základný mechanický zabezpečovací prostriedok obvodovej ochrany môžeme považovať tzv. bariéry: – s nízkou pasívnou bezpečnosťou - v podstate iba ohraničujú priestorovo územie, a tým chránia pred nežiaducim vstupom, sú to v podstate ploty z rôznych materiálov, – so zvýšenou pasívnou bezpečnosťou - bariéry používané k obvodovej ochrane objektov, spravidla ide o pevné oplotenie špeciálnej konštrukcie alebo mobilné cievkové bariéry, – so zaručenou pasívnou bezpečnosťou - bariéry používané k obvodovej ochrane objektov s vysokým stupňom rizika, môže ísť o oplotenie špeciálnej konštrukcie až do výšky 5 m. •
Oplotenie: – napríklad z betónových alebo iných pevných tvárnic vystužených oceľovými sieťami alebo prútmi, prípadne zo zváraného pletiva, doplnené ochranou v jeho vrchnej časti v podobe ostnatého, či „žiletkového“ drôtu.
20
Stavebné prvky budov (1/2) • Podľa použitého stavebného materiálu sa vo vzťahu k mechanickej odolnosti rozlišujú: – ľahké stavby, ktorých pasívna bezpečnosť je veľmi nízka (patria sem napr. sádro-kartónové priečky a výplne, vlnité a profilové plechy, murované priečky z dutých tehál, priečkové betónové steny bez výstuže, pórobetónové murivo a pod.), – pevné stavebné konštrukcie, ktoré zabezpečujú, vzhľadom na použité stavebné materiály a dosahovanú hrúbku (napr. oceľové výstuže), veľkú škálu mechanickej odolnosti, a tým aj požadovanú pasívnu bezpečnosť.
21
Stavebné prvky budov (2/2) • Pre zvýšenie bezpečnosti môže byť do konštrukcie, najmä vnútorných priečok, vložená vrstva oceľového plechu, ktorá ak je potrebné dosiahnuť vyššiu triedu bezpečnosti môže byť ešte posilnená vloženými tenkostennými profilmi. • je dôležitá aj kvalita a mechanické zabezpečenie a odolnosť spomenutých otvorových výplní, ako sú najmä dvere, zárubne, okná, balkónové dvere, rôzne druhy vetracích otvorov, mreže, rolety, okenice, bezpečnostné fólie, vrstvené sklo a pod. • Bezpečnosť týchto dverí je založená spravidla na bezpečnostných zárubniach, závesoch dverí, viacbodovom uzamykaní a vnútornej bezpečnostnej štruktúre. 22
Bezpečnostné zámky a systémy • Bezpečnostné zámky a systémy tvoria najmä zámky dverí, okenné zámky, elektronické zámky, zámky bezpečnostných uzamykacích systémov (úschovných objektov, bezpečnostných schránok, klietok a pod.). • implementácia vhodných ochranných prvkov a technológií, ktoré dokážu zabezpečiť odolnosť zámku najmä proti vyhmatnutiu, proti odvŕtaniu, proti použitiu nedeštruktívnej dynamickej (tzv. “bump-key”) metódy, prípadne voči iným špeciálnym technikám. Cieľom týchto opatrení je, aby sa zámok dal otvoriť len s použitím príslušného kľúča, alebo odpovedajúceho kódu v prípade použitia elektronického zámku.
23
Elektronický zámok • Elektronický zámok je elektronické zariadenie využívané namiesto mechanických zámkov. • Môže slúžiť nie len pre zamykanie a odomykanie trezorov, ale napríklad aj budov, prístrojov a zariadení, prípadne na umožnenie prístupu do počítača. Podobne ako mechanický zámok aj elektrický zámok sa skladá zo zámku (z čítacej a vyhodnocovacej jednotky) a elektronického kľúča. • Niekedy sa používa aj kombinácia elektronický kľúč v mechanickom kľúči (automobil), alebo ovládanie jedného zámku dvoma spôsobmi (vstupná brána v paneláku sa otvára elektronickým kľúčom, ale aj mechanickým – pre jeho energetickú nezávislosť).
24
Bezpečnostné uzamykacie systémy (1/2) • Pod bezpečnostnými uzamykacími systémami rozumieme najmä trezory, stabilné komorové trezory, bezpečnostné schránky, bezpečnostné kufríky, bezpečnostné klietky a iné špeciálne zariadenia, ktoré umožňujú uzamknúť predmet, ktorý majú chrániť, napr. káble na uzamknutie prenosných počítačov a pod. • Stabilné komorové trezory - sú úschovné objekty, ktoré sú pevnými stavebnými celkami budov a doplnené špeciálne konštrukčne riešenými trezorovými dverami, majú veľmi vysokú mechanickú odolnosť a prielomová odolnosť týchto trezorov je zhodná s parametrami stien, podlahy a stropov 25
Bezpečnostné uzamykacie systémy (2/2) • Mobilné trezory skriňového typu - sú druhom úschovných objektov, ktoré predstavujú veľké množstvo rôznych trezorov, pokladní, sejfov alebo skriňových trezorov • vstavané trezory sú spravidla jednoplášťové trezory určené na zamurovanie, • skriňové trezory sú používané predovšetkým v bankovníctve, sú konštruované ako viacplášťové so železobetónovou výplňou. • U trezorov s vyšším stupňom bezpečnosti (napr. pancierové pokladne) je do výplne vkladaný liatinový pancier, prípadne žiaruvzdorná alebo medená doska. 26
TECHNICKÉ ZABEZPEČOVACIE PROSTRIEDKY
Elektrický zabezpečovací systém (1/4) • Elektrický zabezpečovací systém je poplachový systém pre detekciu a indikáciu prítomnosti, vstupu alebo pokusu o vstup narušiteľa do strážených objektov. • Základnú zostavu EZS tvorí: ústredňa, jeden alebo viacej detektorov, jedno alebo viacej signalizačných zariadení prípadne poplachových prenosových systémov, jedno alebo viacej napájacích zariadení, ktoré môžu byť kombinované s inými komponentmi EZS alebo sú realizované samostatne.
28
Elektrický zabezpečovací systém (2/4) • Ústredňa EZS je zariadenie pre príjem, spracovanie, ovládanie, indikáciu a inicializáciu následného prenosu informácií. • Často má inteligentný spôsob komunikácie medzi snímačom a ústredňou, t.j. je pravidelne kontrolovaná dostupnosť a neporušenosť snímača, pri rádiovom prenose môže byť sledované prípadné rušenie a samotná komunikácia býva spravidla šifrovaná. • Všetky druhy snímačov, magnetických kontaktov a tlačidiel, môžu byť paralelne pripojené a súčasne sledované pomocou dvojvodičového vedenia vrátane ich okamžitého stavu i ochrany proti sabotáži. Môže tiež umožňovať programovanie a archivovanie dát prostredníctvom počítača.
29
Elektrický zabezpečovací systém (3/4) • Pasívne infračervené (PIR) detektory - sú snímače, ktoré vytvárajú poplachový stav ako odozvu na zmenu úrovne snímaného infračerveného žiarenia spôsobenú osobami pohybujúcimi sa v snímanom priestore. • Infračervená závora - je také detekčné zariadenie, ktoré vytvára poplachový stav ako odozvu na prerušenie lúča infračerveného žiarenia medzi vysielačom a prijímačom. • Detektory pohybu založené na inej technológii: – dopplerovský ultrazvukový – detektor, ktorý vytvára poplachový stav ako odozvu na frekvenčný posun ultrazvukového žiarenia od pohybujúcej sa osoby, – dopplerovský mikrovlnný – detektor, ktorý vytvára poplachový stav ako odozvu na frekvenčný posun mikrovlnného žiarenia po odraze od pohybujúcej sa osoby,
30
Elektrický zabezpečovací systém (4/4) • Ďalšie špeciálne druhy detektorov: – zahŕňajú napr. deštrukčné detektory, ktoré sú schopné podľa svojich konštrukčných vlastností alebo spôsobu inštalácie iba jednorazovej detekcie. – pasívny detektor rozbitia skla - je detektor so snímacím prvkom pripevneným na povrchu sklenej tabule, ktorý deteguje otrasové vlny šíriace sa sklom od momentu rozbitia,
31
Elektrická požiarna signalizácia (2/2) • Elektrická požiarna signalizácia (EPS) je súbor hlásičov požiaru, ústrední EPS a doplňujúcich zariadení EPS, vytvárajúci systém, ktorý slúži na preventívnu ochranu objektov pred požiarmi tak, že akusticky a opticky signalizuje vznik a miesto požiaru. EPS samočinne alebo prostredníctvom ľudského činiteľa urýchľuje odovzdávanie informácií o požiari osobám, určeným na vykonávanie hasiaceho zásahu.
32
Elektrická požiarna signalizácia (2/2) • Základná zostava EPS pozostáva z hlásičov požiaru, hlásičových liniek, ústrední EPS, signalizačných liniek a doplňujúcich zariadení (signalizačné zariadenia, zariadenia diaľkového prenosu informácií, ovládacie jednotky, napájacie zariadenie a pod.). Elektrická požiarna signalizácia musí identifikovať najmenej jeden fyzikálny jav alebo chemický jav spôsobený požiarom v stráženom priestore, akusticky alebo opticky signalizovať poplach v stráženom priestore a ovládať zariadenia, ktoré sú na ňu napojené. 33
Kamerové systémy (1/2) • Kamerová zostava v rámci uzatvoreného televízneho okruhu (tzv. CCTV - Closed Circuit Television – uzavretý televízny okruh) je systém určený na video kontrolu, resp. monitorovanie chránených priestorov a objektov. • Videozáznam sa spravidla nahráva aby umožňoval aj spätnú možnosť, kontroly, resp. zistenie podrobností o incidente.
34
Kamerové systémy (2/2) • Kľúčovou vlastnosťou týchto systémov ja najmä citlivosť a rozlíšenie použitých kamier, resp. príslušných snímačov. • V praxi sa používa veľa typov snímačov založených na rôznych technológiách, ktoré umožňujú snímanie aj pri zhoršených podmienkach viditeľnosti, prípadne sa používajú v kombinácii s prisvietením, či už vo viditeľnom alebo infračervenom spektre.
35
Zariadenia na fyzické ničenie dátových nosičov (1/3)
• Pri spracovaní a následnej potrebe zničenia citlivých dát je potrebné použiť zariadenie na fyzické ničenie dátových nosičov. Uvedená požiadavka je napr. definovaná aj zákonom č. 395/2002 Z. z. o archívoch a registratúrach. Na tento účel sú určené špeciálne zariadenia, ktorých efektivita je klasifikovaná podľa citlivosti údajov nachádzajúcich sa na príslušných nosičoch, ktoré sa majú zničiť.
36
Zariadenia na fyzické ničenie dátových nosičov (2/3)
• Dnes už existujú samostatné špeciálne skartovacie zariadenia v závislosti na type média, ktoré sa ma zničiť. • Bežné skartovacie stroje skartujú spôsobom, ktorý postačuje potrebám bežných užívateľov. Pokiaľ je citlivosť informácii vyššia je potrebné použiť už také zariadenie, ktoré zabezpečuje, že bežnými prostriedkami nie je možné skartovaný materiál zostaviť do čitateľnej podoby.
37
Zariadenia na fyzické ničenie dátových nosičov (3/3)
• Pre potreby vysokého zabezpečenia sa používajú zariadenia, kde skartovaný materiál môže byť čiastočne zostaviteľný len s použitím špičkových technológií. Samozrejme sú k dispozícii aj zariadenia, kde skartovaný materiál je stopercentne nezostaviteľný.
38
PODPORNÁ INFRAŠTRUKTÚRA
Podporná infraštruktúra (1/3) • Prvky podpornej infraštruktúry nezabezpečujú IKT z pohľadu ochrany proti úmyselnému narušeniu prípadným útočníkom. Môžu však minimalizovať vplyv hrozieb neúmyselného charakteru, ako napr. neúmyselné zakopnutie a vytrhnutie dátových káblov alebo káblov napájania, a určite minimalizujú hrozby týkajúce sa prírodných vplyv a rôznych porúch IKT, spôsobených neprimeranými podmienkami (napr. nevhodná teplota, vlhkosť, alebo statická energia, prípadne rušenie). 40
Podporná infraštruktúra (2/3) • Základné prvky podpornej infraštruktúry tvoria najmä: – – – –
dvojité podlahy alebo podlahy s antistatickou úpravou, serverová klimatizácia a tzv. studené a teplé uličky, záložne zdroje napájania a generátory, vedenia dátových káblov a káblov napájania a dátové rozvádzače.
41
Podporná infraštruktúra (3/3) • Studené a teplé uličky: vzduch ohriaty servermi je nasávaný zo zadnej strany rackov späť do klimatizácie.
42
Záložné zdroje a generátory (1/2) • sú zariadenia obsahujúce najmä riadiacu jednotku a batériu, a ktoré chránia IKT v prípade výpadku hlavného napájania. UPS môže zároveň plniť aj funkciu prepäťovej ochrany. • Záložný zdroj, v prípade výpadku hlavného napájania, okamžite zabezpečí dodávku elektrickej energie z vnútorných batérií.
43
Záložné zdroje a generátory (2/2) • Okrem „klasických“ IKT zariadení ako sú napr. servery a sieťové zariadenia sa dnes používa veľa zariadení, ktoré si z hľadiska nepretržitej prevádzky taktiež vyžadujú zálohovanie proti výpadku prúdu. Ide o zariadenia, ktoré môžu byť dôležitou súčasťou systému fyzickej ochrany, takže by sme na ne nemali zabúdať pri výpočte potrebnej kapacity UPS.
44
FYZICKÁ BEZPEČNOSŤ DÁTOVÝCH CENTIER
Fyzická bezpečnosť dátových centier (1/2) Tier 1 - Základný: dostupnosť 99.671% • Náchylné na poruchy pri plánovanej aj neplánovanej aktivite • Jednocestné napájanie elektrickou energiou a jeden prívod chladenia, žiadna redundancia • Môže, ale nemusí mať dvojitú podlahu, UPS, alebo diesel generátor • Implementácia trvá tri mesiace • Súhrnný ročný výpadok 28.8 hodiny • Musí byť úplne vypnutý pri preventívnej údržbe Tier 2 - Redundantné časti: dostupnosť 99.741% • Menej náchylné na poruchy pri plánovanej a neplánovanej aktivite • Jednocestné napájanie elektrickou energiou a jeden prívod chladenia, obsahuje redundantné komponenty • Zahŕňa dvojitú podlahu, UPS aj diesel generátor • Implementácia trvá 3-6 mesiacov • Súhrnný ročný výpadok 22 hodín • Údržba prívodu elektrickej energie a ostatných častí infraštruktúry vyžaduje vypnutie 46
Fyzická bezpečnosť dátových centier (2/2) Tier 3 - Paralelne servisovateľný: dostupnosť 99.982% • Plánované aktivity bez prerušenia služby. Neplánované aktivity stále spôsobujú výpadok • Viaccestné napájanie elektrickou energiou a viaccestný prívod chladenia, obsahuje redundantné komponenty, • Implementácia trvá 15-20 mesiacov • Súhrnný ročný výpadok 1.6 hodiny • Zahŕňa dvojitú podlahu, redundanciu dostatočnú na to, aby bolo možné prepnúť prevádzku na jednu časť, kým sa realizuje údržba na druhej časti Tier 4 - Tolerancia voči poruchám: dostupnosť 99.995% • Plánované aktivity bez prerušenia služby a dátové centrum dokáže prekonať najmenej jeden kritický incident • Viaccestné aktívne napájanie elektrickou energiou a viaccestný prívod chladenia, obsahuje redundantné komponenty • Implementácia trvá 15-20 mesiacov • Súhrnný ročný výpadok 0.4 hodiny 47
MOBILNÁ A VZDIALENÁ PRÁCA
Mobilná a vzdialená práca (1/4) • v rámci fyzickej bezpečnosti je potrebné riešiť aj spôsoby a podmienky pre mobilnú a vzdialenú prácu a s tým spojené problémy ochrany IKT, a v nich nachádzajúcich sa dátových aktív, aj mimo chránených priestorov konkrétnej organizácie. • Smartfóny a tablety používané v priestoroch, ale aj mimo priestorov organizácie je nutné riadiť. • Evidencia IKT: detekcia, evidencia, reportovanie prítomnosti „cudzích“ mobilných zariadení v internej sieti – detaily zariadenia: IMEI (international mobile equipment identity), verzia OS, SIM karta a detaily o nej, bluetooth nastavenia, roamingové nastavenia, ostatné parametre.
49
Mobilná a vzdialená práca (1/4) • Konfiguračný manažment: – Doručenie sieťových konfigurácií, emailových konfigurácií, VPN nastavení na mobilné zariadenie z centrálneho servera. – Zariadenie chránené voči zásahu tretej strany (útočníka, ...) – Súlad s politikou bezpečnosti. – Minimálna/žiadna interakcia používateľa, napr. aj pri konfigurácii Exchange email a online kalendára.
• Manažment aplikácií: • Prehľad o inštalovaných aplikáciách (verzie, veľkosti) 50
Mobilná a vzdialená práca (1/4) • Manažment bezpečnosti: – Zabraňovanie inštalácii nových aplikácií z neoverených zdrojov (prevencia malware, spyware, vírusov) – Zabraňovanie používania konkrétnych aplikácií (Youtube, Facebook, kamera) – „Blacklisting“ inštalácie aplikácií, report – Nastavovanie automatického zámku klávesnice, uplatňovanie heslovej politiky – Vymazávanie dát na diaľku (v prípade krádeže, alebo incidentu potenciálne vedúcemu k zneužitiu dát – ukončenie pracovnoprávneho vzťahu, atď.) 51
Mobilná a vzdialená práca (1/4) • Ochrana dát a zálohovanie: – Vymazanie alebo deaktivácia (lock) zariadenia v prípade krádeže. – Zálohovanie dát na regulárnej báze pomocou šifrovanej session. – Migrácia dát a konfigurácií odzálohovaných na vzdialenú lokalitu do nového zariadenia.
• Detekcia „jailbreakovaného“ zariadenia: – Reportovanie jailbreaknutého zariadenia, detailov týkajúcich sa verzie OS, inštalovaných aplikácií apod.
52
LEGISLATÍVA V OBLASTI FOB
Legislatíva z oblasti fyzickej bezpečnosti Zákon o ISVS • zákon č. 275/2006 Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov Štandardy minimálneho technického zabezpečenia pre ISVS • Výnos MFSR č. 312/2010 o štandardoch pre ISVS - §34 Fyzická bezpečnosť a bezpečnosť prostredia Pre oblasť ochrany utajovaných skutočností: • zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností v znení neskorších predpisov • Vyhláška NBÚ č. 336/2004 Z.z. o fyzickej bezpečnosti a objektovej bezpečnosti • Vyhláška NBÚ č. 337/2004 Z.z. podrobnosti o certifikácii mechanických zábranných prostriedkov a technických zabezpečovacích prostriedkov • Vyhláška NBÚ č. 314/2006 Z.z. ktorou sa mení a dopĺňa predošlý 337/2004 Z.z. • Vyhláška NBÚ č. 315/2006 Z.z. ktorou sa mení a dopĺňa vyhláška Vyhláška NBÚ č. 336/2004 • Vyhláška NBÚ č. 479/2011 Z.z. ktorou sa mení a dopĺňa 337/2004 Z. z.
54
PRÍKLADY KONKRÉTNYCH RIEŠENÍ
Príklady – plot okolo areálu
56
Príklady – bariéra na oddelenie od chodby
57
Príklady – bezpečnostný sadrokartón
58
Príklady – kari rohož
59
Príklady – hlásič požiaru, ústredňa EZS
60
Príklady – oznamovacie tlačidlo,
61
Príklady – kamerový systém
62
Príklady – nakladacia rampa
63
Príklady – dvojitá podlaha
64
Príklady – káble pod dvojitou podlahou
65
Príklady – káble pod dištančnou podlahou
66
Príklady – diesel agregát
67
Príklady – napájanie sálu
68
Príklady – UPS
69
Príklady – sála DC
70
Čo povedať na záver? Čo zostáva povedať? • FOB operuje s ochranou pred nepredvídateľnými rizikami súvisiacimi s prírodnými vplyvmi ako sú zemetrasenie a záplava až po krádež hmotného majetku a vážne kriminálne činy • S širokou paletou hrozieb sa musí rátať pri aplikovaní princípov riadenia fyzickej bezpečnosti podľa platných štandardov, noriem a metodických usmernení • Dopady pri nedostatočnej implementácii opatrení fyzickej bezpečnosti sa môžu týkať poškodenia renomé organizácie a môžu sa násobiť s nemenej významnými stratami ako je finančná strata súvisiaca s narušením integrity objektu • Chránime predovšetkým dôležité aktíva organizácie a bránime sa ňou proti hrozbe potenciálneho zneužitia citlivých informácií, informačných a fyzických aktív Priestor na otázky: • Aké sú vaše skúsenosti s aplikovaním bezpečnostných opatrení? • Čo by ste vyzdvihli ako pozitívum a čo naopak zmenili? • Iné???
71
