Students and Academics of All Countries, Unite! :-)

Zabezpieczanie biur, pomieszczeń i urządzeń.

Rozdział 9 normy PN-ISO/IEC 17799 traktuje o bezpieczeństwie fizycznym i środowiskowym. Chciałbym skupić się na podrozdziale 9.1 – obszary bezpieczne, a dokładniej na podpunkcie 9.1.3 – Zabezpieczanie biur, pomieszczeń i urządzeń.

Dbanie o bezpieczeństwo głównych skupisk gromadzenia, przetwarzania i tworzenia informacji wydawać by się mogło koniecznością bezwzględną. W/w norma traktuje ten temat bardzo skąpo, wymieniając jedynie 4 zalecenia, mające zapewnić bezpieczeństwo w tych krytycznych dla informacji miejscach. Jak jeszcze, Waszym zdaniem, należy uzupełnić listę zaleceń w tej normie?

Czy nie wzbudza w Was wątpliwości punkt c) podrozdziału „wskazówki do wdrożenia” brzmiący: ”zapewnienie, gdzie to możliwe, aby budynki nie zwracały na siebie uwagi, w minimalnym stopniu wskazywały do czego są przeznaczone, wewnątrz lub na zewnątrz nie posiadały oczywistego oznakowania, które wskazywałoby na to, że są w nich przetwarzane informacje”? – mnie w tym miejscu się pytanie – jak to się ma do instytucji, które przetwarzają dane niezwykle cenne a muszą (czy to ze względów marketingowych, logistycznych lub strategicznych) być z łatwością rozpoznawane – mam tu na myśli takie instytucje jak banki, urzędy skarbowe, obiekty obrony narodowej, zakład ubezpieczeń

społecznych czy choćby zwykłe zakłady produkcyjne i inne podmioty gospodarcze – wszędzie tam pojawiają się dane, wymagające szczególnej ochrony. Czy istnieją rozwiązania mogące pogodzić konieczność zapewnienia bezpieczeństwa danych z jawnym, rozpoznawalnym i oczywistym określaniem położenia obiektów, w których te dane są eksploatowane?

Czy inwestowanie w szerokie spektrum zabezpieczeń oraz stosowanie się do wszystkich zaleceń wymienionych w podpunkcie 9.1.3 normy PN-ISO/IEC 17799 może się firmie opłacić? Czy próba zapewnienia ochrony danych na poziomie bliskim absolutnemu poprzez szczególne środki bezpieczeństwa w biurach oraz pomieszczeniach może być zasadna? Jeżeli tak, to w jakich przypadkach? Jakiego rodzaju zagrożenia może generować próba zorganizowania „ochrony doskonałej” danych w w/w sposób?

I na zakończenie - czy w przypadku ochrony biur, pomieszczeń i urządzeń należy położyć nacisk bardziej na rozwiązania mechaniczne (cechujące się prostotą i wygodą obsługi) czy należy przyjąć postawę protechnologiczną i śledzić na bieżąco najnowsze rozwiązania (biorąc pod uwagę idące za tym szkolenia pracowników z zakresu ich obsługi oraz cenę)?

0 members like this

Replies to This Discussion

Permalink Reply by Paweł Grygier on May 19, 2010 at 2:11am

Norma mówiąca o ochronie urządzeń do przetwarzania danych jest może uboga objętościowo, ale traktuje o najważniejszych sprawach, mam na myśli przede wszystkim zalecenie o zabezpieczeniu urządzeń od osób trzecich. Jest to według mnie bardzo przejrzyście i jednoznacznie napisane i nie mam do tego większych zastrzeżeń.
Odpowiadając na drugie pytanie chciałbym zaznaczyć, że wszystkie ważniejsze instytucje, a przede wszystkim banki mają własne centra przechowywania danych umieszczone najczęściej daleko u naszych zachodnich sąsiadów. Takie centra przestrzegają zastrzeżenie "aby budynki nie zwracały na siebie uwagi".

Chciałbym tutaj przywołać bardzo ciekawy artykuł: http://wyborcza.pl/1,75248,2466581.html Jest on z roku 2004, ale dokładnie pokazuje dlaczego dane nie są składowane w Polsce i dlaczego i jak zostały przesłane za granicę. Są w nim również przykłady błędów i przecieków danych do jakich doszło. Między innymi o utraceniu danych kilkuset najbogatszych klientów Banku Pekao - posiadaczy złotych kart MasterCard.

Temat przecieków niestety jest ciągle aktualny. Dane są kuszące dla złodziei, ale również dla terrorystów. Właśnie w obawie przed nimi Unia Europejska wspólnie z USA opracowuje nowe metody aby dane były lepiej zabezpieczone.
Można poczytać o tym w artykule Piotra Twardysko http://www.twojaeuropa.pl/1483/ke-beda-nowe-negocjacje-z-usa-w-spra... Jak myślicie czy jest to potrzebne?

Kończąc swoją wypowiedź chciałem zaznaczyć, że dbający o bezpieczeństwo jest na bieżąco z wszystkimi zagrożeniami oraz wszystkimi środkami przed nimi chroniącymi.

Permalink Reply by Tadeusz Lemańczyk on May 19, 2010 at 9:22am

Wybaczcie, że w związku z zasygnalizowanymi tam ( http://fedcba.ning.com/forum/topics/changes-coming-to-ning-in-july ) cięciami, na zasadzie mniejszego zła, dla zilustrowania swojej wypowiedzi ( http://fedcba.ning.com/xn/detail/2516803:Comment:11096 ) nie posłużę się wideo z odcinka The Unit_S01_E09 ( http://www.imdb.com/title/tt0736986/ ), ale tylko niniejszym JPG.

Na ile wskazówka do wdrożenia 9.1.3c) skłania do korzystania z tego rodzaju przykrywek kamuflujących rzeczywistą działalność niektórych biur, pomieszczeń i urządzeń?

Permalink Reply by Tadeusz Lemańczyk on June 10, 2010 at 8:14am

Dzięki YouTube, poleconemu mi przez Katarzynę Kaczmarek ( http://fedcba.ning.com/xn/detail/2516803:Comment:10973 ), który co prawda automatycznie odrzucił możliwość ulokowania u siebie czegokolwiek spod znaku "Columbo" czy "Burn Notice", ale zaakceptował lokowanie u siebie dla celów dydaktycznych wybranych przeze mnie fragmentów serialu The Unit ( http://www.imdb.com/title/tt0460690/ ), mogę teraz zrealizować swoje pierwotne zamierzenie. Jak widzicie, powyższa grafika jest jedną z pierwszych klatek tego wideo

Permalink Reply by Anna Helwing on November 15, 2010 at 10:40am

Związku z podrozdziałem omawianym w tym temacie: Zab: A.9.1.3 Zabezpieczenie biur, pomieszczeń i urządzeń
Wynika:
"Zabezpieczenie biur, pomieszczeń i urządzeń w strefach bezpieczeństwa
realizowane jest przez stosowanie zabezpieczeń fizycznych i proceduralnych wskazanych w
pkt. Zab:A.9.1.2"
czyli jest związany z Zab: A.9.1.2 Fizyczne zabezpieczenie wejścia
http://fedcba.ning.com/group/bi/forum/topics/nie-wejdziesz?xg_sourc...
Dalej objaśniając:
"W VS DATA funkcjonuje zasada zarządzania kluczami: są pomieszczenia ogólno
dostępne i tzw. strefy bezpieczeństwa (o szczególnym nadzorze), po opuszczeniu
pomieszczeń należy zakodować alarm za pomocą karty dostępu, zamknąć pokój na klucz.
Klucze zapasowe do pomieszczeń w strefach bezpieczeństwa – przechowywane są w
Kasetce metalowej.
W zakresie kluczy do szaf, szafek, szuflad w pomieszczeniach biurowych obowiązuje
indywidualna polityka zarządzania tymi kluczami z zachowaniem zasady, ze ktoś kto nie
powinien mieć do nich dostępu nie wie gdzie są przechowywane. Generalnie na
biurku/szafce nie powinno być nic – prócz aktualnie wykorzystywanych dokumentów i
sprzętu - polityka czystego biurka." - każdy czytając tę normę wie że takie zabezpieczenie jest ważne w zakresie bezpieczeństwa.
Jest to zaznaczone również na tej stronie: http://www.petrosin.pl/bezp_konsulting.html

Lecz uważam, że ta norma powinna być bardziej rozbudowana również w zakresie BHP i nie tylko.

Permalink Reply by Tadeusz Lemańczyk on November 15, 2010 at 11:26am

"Lecz uważam, że ta norma powinna być bardziej rozbudowana również w zakresie BHP i nie tylko" - a można prosić o konkretne argumenty, które by przemawiały za takim rozbudowaniem akurat w ramach tej normy? A może w innych normach jest to już wystarczająco szeroko i dogłębnie potraktowane?

Permalink Reply by Anna Helwing on November 15, 2010 at 12:20pm

Zgadzam się.
Zbyt obszernie stwierdziłam, że powinna być ta norma bardziej rozbudowana, jak nie zauważyłam w następnych podrozdziałach tego rozdziału jest to dokładnie wytłumaczone jak zabezpieczyć takie chociażby urządzenia.

Ale co do ochrony biur, pomieszczeń i urządzeń, to uważam, że możemy skorzystać z śledzenia po przez monitoring, jesli chodzi o zabezpieczenie pomieszczeń.
A biura chronić przez odpowiednie zamki w drzwiach :)
Urządzenia łatwego dostępu przez osoby trzecie powinny być chronione hasłem, typu komputery.
Co do reszty to zgadzam się z moimi poprzednikami.

Permalink Reply by Emil Czaja on April 29, 2011 at 1:01pm

Jeśli chodzi o zabezpieczenie samych budynków, w których znajdują się cenne dane, to uważam, że „kamuflaż” jest w pewnym sensie rozsądnym rozwiązaniem. Nie oznakowywanie lub celowo błędne oznakowywanie takich obiektów nie przyciąga niepotrzebnej uwagi osób mogących mieć cel w dostępie do tajnych informacji. Zresztą wynika to z ewolucji, może nieco prymitywnym, ale częściowo obrazującym tą sytuację przykładem jest świat zwierząt. Najskuteczniejszym sposobem przeżycia, czyli uniknięcia konfrontacji z drapieżnikiem jest maskowanie się. I tak węże wtapiają się w korę drzew, a niektóre ptaki udają martwe. Chodzi o to żeby nie wzbudzać niepotrzebnego zainteresowania. Jeśli jednak chodzi o świat cywilizowany, a dokładniej współczesne państwa demokratyczne nie uważam żeby tego typu rozwiązania były najtrafniejsze. Przede wszystkim nie można dać się zastraszyć i przez to bez przerwy się maskować, a po drugie obywatele mają prawo wiedzieć gdzie znajdują się dane instytucje, nawet z tajnymi informacjami, które często przecież dotyczą zwykłych ludzi. Myślę, że tylko w skrajnych przypadkach należy uciekać się do metody „maskowania”. W każdym innym lepiej skupić się na skutecznej i dobrze zorganizowanej ochronie danych.

Samo zabezpieczenie budynków czy już konkretnych biur w największym stopniu zależy do osób za nie odpowiedzialnych. Na dalszej kolejności są zabezpieczenia mechaniczne i informatyczne. Moim zdaniem kluczem do skutecznego (oczywiście nie w 100%) zabezpieczenia danych jest personel oraz organizacja. Na wstępie trzeba znaleźć grupę osób zaufanych, co jest może nawet najtrudniejszym zadaniem. Dokładnie trzeba prześwietlić ich życiorys, powiązania i umiejętności, a ponadto nieustannie poddawać ich kontroli. Następnie wprowadzić należy system organizacji i zarządzania, który musi być ściśle przestrzegany. Nie może tu być żadnych odstępstw, wyjątków i „przymrużeń oka”. Dopiero do tego systemu należy dostosować zabezpieczenia mechaniczne i informatyczne, które są obsługiwane przez zaufany personel. Do skutecznego funkcjonowania tego systemu niezbędna jest nieustanna kontrola oraz modyfikacja i aktualizacja składowych. Nie daje on gwarancji bezpieczeństwa, bo nic nie jest w stanie jej dać, ale na pewno pozwala na funkcjonowanie obiektów z tajnymi danymi bez ryzyka ciągłego ich wycieku. Oczywiście nie jest to tanie rozwiązanie, więc ważne jest, aby rozbudowę systemu zabezpieczeń dostosować do istotności i tajności informacji, które mają być zabezpieczane.

Permalink Reply by Tadeusz Lemańczyk on April 29, 2011 at 7:28pm

"tylko w skrajnych przypadkach należy uciekać się do metody „maskowania”" - jeden z takich przypadków został właśnie zobrazowany na wideo The Unit_S01_E09 ( http://fedcba.ning.com/video/the-units01e09 ) umieszczonym powyżej i skomentowanym przeze mnie jeszcze jedną "gałązkę drzewka dyskusyjnego" wyżej.

Permalink Reply by Krzysztof Sobiech on May 23, 2011 at 2:39pm

Witam.

Zgadzam się z wypowiedzią Emila. Faktycznie jest tak, że lepszym rozwiązaniem jest nie rzucać się w oczy i nie zwracać niepotrzebnej uwagi, niż dążyć do stanu bezpieczeństwa absolutnego i kolokwialnie mówiąc " być na językach". Prawdą jest także to, że brak specjalnego oznakowania nie powinien skutkować brakiem totalnego zainteresowania i zarazem odsunięciem się na bok, bo przecież nie tędy droga. Każde z rozwiązań ma swoje wady i zalety i nie da się konkretnie określić, który jest lepszy.

Natomiast zaintrygowało mnie zdanie " Na wstępie trzeba znaleźć grupę osób zaufanych, co jest może nawet najtrudniejszym zadaniem. Dokładnie trzeba prześwietlić ich życiorys, powiązania i umiejętności, a ponadto nieustannie poddawać ich kontroli. " Zgodzę się, że znalezienie zaufanego pracownika jest zadaniem najtrudniejszym. Osobiście uważam, że jeżeli miałbym kogoś określić mianem zaufanego pracownika to proces rekrutacji, nawet najbardziej wnikliwy nie jest wystarczający. Najprostszym przykładem potwierdzającym moją wypowiedź jest istota działania agentów incognito. Jak sama nazwa wskazuje, działają oni pod przykrywką, często mają kilka tożsamości. Przykład być może trochę przypominający scenę z filmu, ale życiowy, bo tak naprawdę nie jesteśmy w stanie stwierdzić który ze współpracowników zasługuje na miano zaufanego, a który nie.

Permalink Reply by Łukasz Kiełbasa on May 23, 2011 at 4:06pm

Problem o którym jest tu mowa jest niezwykle istotny z punktu widzenia kradzieży tajnych danych, których ujawnienie jest niebezpieczne bądź szkodliwe. Zatem obecnie mając na myśli przechowywanie danych w systemach komputerowych, uważam iż takie miejsca, główne zbiorowiska komputerów gromadzących dane z poszczególnych placówek, powinny być jak już zostało to dostrzeżone minimalnie zauważalne, by nie powiedzieć niedostrzegalne. Swoją wypowiedź argumentuje tym, że nie powinno być do miejsce wymiany informacji, natomiast jest to miejsce gromadzenia informacji, bardzo cennych danych, które tworzą bazę z większego obszaru funkcjonowania. Dla nas, jako poszczególnych jednostek, łatwe powinno być wyszukanie tych poszczególnych placówek, niż tej głównej siedziby „zbiorowiska danych”.

W kwestii ochrony biur tzn. tych poszczególnych placówek, jak to określiłem w swojej wypowiedzi, to zwróciłbym uwagę na rozwiązania technologiczne, oczywiście te najnowsze. Głównym celem tych działań jest uniemożliwienie dostępu do danych, które chronimy osobom trzecim. Problemy które z tego wynikają tj. cena , szkolenia powinny być dla nas pewnym ogranicznikiem, ale także czynnikiem motywującym wskazującym przed jak ważnym zagadnieniem stoimy. Jeżeli zależy nam na tajności, to powinniśmy podjąć wszelkie środki, na jakie pozwalają nam możliwości. System ochronny powinien umożliwiać, iż dane do których odwołuje się stanowisko komputerowe, powinny być zapisane tylko na głównych serwerach (niekonieczne jest by pozostawały na danym dysku komputera), natomiast dostęp do nich poza godzinami działania danej placówki powinien być uniemożliwiony.

Nie mogę się nie zgodzić, że w polityce ochrony danych, czynnik ludzki jest mniej ważny. Jest to jeden z ważniejszych czynników, które mogą spowodować, że nawet najlepszy system komputerowy, najlepiej zabezpieczony zawiedzie. I co wtedy ? Wtedy mamy problem z wyciekiem informacji, gdzie winny jest człowiek, świadomie bądź nie do końca świadomie przekazuje tajne dane.

Zatem wszystko sprowadza się do jednego, bardzo prostego wniosku. W każdej dziedzinie życia niepowodzenie związane jest z najsłabszym elementem tutaj możemy utożsamiać go ze źródłem utraty tajności danych. Nie ważne jak świetne zastosujemy środki ochrony, ważne jest tak funkcjonuje całość. Wówczas nie jest ważne czy dany budynek jest nieoznakowany.

Permalink Reply by Weronika Otto on May 24, 2011 at 10:09pm

Technologie zabezpieczające dane, pomieszczenia i obiekty są niezwykle kosztowne. Jak, przy niewystarczającej liczbie środków jak wybrać odpowiednie, racjonalne rozwiązanie, które mieściłoby się w obszarze ww. normy?

W tym miejscu chciałabym powołać się na Zarządzenie Wójta Gminy Michałowice:

http://www.wrotamalopolski.pl/NR/rdonlyres/C7D4BFB2-68CA-4BBB-AF9F-...

W tej oto instrukcji postępowania zawarte są proste rozwiązania, które w sposób optymalny zabezpieczają dane przechowywane w obiekcie Gminy Michałowice. Ze względu na charakter działalności i rangę (jest to niewielki obszar 51,27 km² z ok. 7 tys. mieszkańcami) nie stosuje się wysublimowanych, kosztownych rozwiązań zabezpieczających takich jak przenoszenie danych do innego obiektu, który jest „maskowany” oraz nowoczesne technologie. W tym wypadku KLUCZ oraz szczególna uwaga pracowników stanowi jedyne zabezpieczenie.

Nie chciałabym dokonywać oceny tych zabezpieczeń, które na pierwszy rzut oka wydają się być prymitywne. Jak widać zabezpieczenie Urzędu Gminy nie jest pierwszorzędnym wydatkiem mniejszych gmin. Przeglądając Internet łatwo można się przekonać, że wszystkie instrukcje postępowania w przypadku zabezpieczeń wyglądają podobnie.

O zwiększenie ochrony biur poselskich wystąpili polscy politycy, po tragicznym wypadku w łodzi:

http://wiadomosci.onet.pl/raporty/napad-na-biuro-pis/wnioski-o-ochr...

W tym przypadku doświadczyli oni konieczności zabezpieczania danych oraz pomieszczeń. Wniosek ten został rzeczywiście pozytywnie rozpatrzony:

http://www.polskatimes.pl/fakty/374726,poslowie-dostali-pieniadze-n...

Rzekomo Polak mądry po szkodzie, jednak to przysłowie chyba nie jesteśmy w stanie odnieść do naszych polityków.

Permalink Reply by Weronika Otto on May 24, 2011 at 10:36pm

Dodatkowo chciałabym posłużyć się artykułem znalezionym podczas szukania informacji na temat "polityki czystego biurka i ekranu" :

http://www.centrum.bezpieczenstwa.pl/artykuly/BITSR_3_bezpieczenstw...

Opisane metody zabezpieczania obiektów, urządzeń, danych są na tyle przejrzyste i proste, że aż chciałoby się pokusić o przesłanie tego artykułu ww. Urzędom Gmin.