2. Как повысить физическую защищенность информации

Содержание

...Loading Table of Contents...

    Вы вложили немало сил в создание надежной "цифровой защиты" вашего компьютера? В одно прекрасное утро вы можете обнаружить, что сам компьютер или информация на нем украдены, потеряны или испорчены в результате серии дурацких случайностей или целенаправленных действий. Неисправная розетка, распахнувшееся из-за порыва ветра окно, пролитый кофе — вот что может стать причиной потери данных и даже всего компьютера. Вам поможет аккуратная оценка рисков, создание безопасной рабочей среды, написание политики безопасности.

    Что вы узнаете из этой главы

    • Больше информации о физических угрозах вашему компьютеру и хранящейся на нем информации
    • Как надежнее защититься от некоторых подобных угроз
    • Как создать безопасную рабочую среду для компьютеров и сетей
    • Что надо учитывать, если хочешь создать план безопасности для компьютеров в офисе

    Введение в физическую безопасность

    Шингаи и Рудо — пожилая пара из Зимбабве. Они много лет помогают ВИЧ-инфицированным получать доступ к необходимым лекарствам. Недавно Шингаи и Рудо обратились за грантом на покупку новых компьютеров и сетевого оборудования для офиса своей организации. Обстановка в Зимбабве неспокойная, как в политическом, так и в бытовом смысле. Донор хочет быть уверен, что оборудование будет в безопасности не только от хакеров и вирусов, но и от конфискации, природных катаклизмов, бросков напряжения в сети и прочих неурядиц. Наши герои обратились к Отто, местному специалисту по компьютерам. Их общая задача — составить план безопасности, который повысит безопасность компьютеров и сетевого оборудования прежде, чем все это будет куплено и установлено.

    Оценка рисков

    Многие организации недооценивают важность безопасности офиса и оборудования. Как правило, у таких организаций нет четкой политики, описывающей действия по защите компьютеров и резервных копий от кражи, погодных катаклизмов, небрежности и прочих физических угроз. Очевидно, что такая политика необходима, но правильно ее составить - не столь простая задача, какой может показаться. Например, многие организации ставят на входные двери надежные, серьезные замки, некоторые вдобавок укрепляют окна. Обращают ли они внимание на число ключей? У кого эти ключи на руках? Если нет, важная информация может оказаться под угрозой.

    Шингаи: - К этой заявке на грант нужно приложить нашу политику безопасности. Достаточно ли она хороша? Что следует в нее включить?

    Отто: - Боюсь, я не могу посоветовать решение для всех случаев жизни в смысле физической безопасности. Хорошая политика всегда зависит от специфики конкретной организации. Впрочем, могу дать общий совет для начала: когда будете работать над такой политикой, проанализируйте свою работу. Подумайте, в чем ваши слабые места и что можно сделать для их укрепления.

    При оценке рисков и уязвимостей нужно рассматривать разные уровни вероятных угроз.

    • Каналы связи. Чем и как вы пользуетесь для передачи информации? Это могут быть, например, бумажные письма, обычные телефонные линии, сотовая связь, электронная почта, сообщения Skype.
    • Как вы храните информацию. Жесткие диски, серверы электронной почты, веб-сайты, USB-флешки, внешние жесткие диски, CD и DVD, мобильные телефоны, бумажные распечатки, записи от руки и так далее.
    • Где (физически) вы храните информацию. В офисе, дома, "где-то в интернете". (В последнем случае может быть не так просто определить физическое местонахождение данных).

    Одна и та же информация может оказаться уязвимой на разных уровнях. Ранее мы говорили о том, как антивирусная программа защищает содержимое USB-флешки от вредоносного кода. Точно так же вы полагаетесь на детально проработанный план безопасности, чтобы защитить свои данные от кражи, потери, уничтожения. Несколько таких планов (например, порядок создания и хранения резервных копий) может оказаться полезным для защиты от цифровых и физических угроз.

    Как лучше носить с собой флешку? Держать при себе, в кармане? Положить в запечатанный пластиковый конверт на дно сумки? Хотя информация на флешке хранится в цифровом виде, вы принимаете решение в области физической безопасности. Политика безопасности зависит от конкретных ситуаций. Одно дело - совершать обычную поездку из дома в офис и обратно, другое - проходить пограничный контроль в аэропорту. Ваши вещи всегда с вами, или кто-то иногда помогает вам их нести? Что если пойдет дождь? Есть множество обстоятельств, которые следует учитывать при принятии подобных решений.

    Защита данных от физических угроз

    Malicious individuals seeking access to your sensitive information represent one important class of physical threat. It would be a mistake to assume that this is the only such threat to the security of your information, but it would be even more shortsighted to ignore it. There are a number of steps you can take to help reduce the risk of physical intrusion. The categories and suggestions below, many of which may apply to your home as well as your office, represent a foundation upon which you should build in accordance with your own particular physical security situation.

    Around the office

    • Get to know your neighbours. Depending on the security climate in your country and in your neighbourhood, one of two things may be possible. Either you can turn them into allies who will help you keep an eye on your office, or you can add them to the list of potential threats that your security plan must address.

    • Review how you protect all of the doors, windows and other points of entry that lead into your office.

    • Consider installing a surveillance camera or a motion-sensor alarm.

    • Try to create a reception area, where visitors can be met before they enter the office, and a meeting room that is separate from your normal work space.

    In the office

    • Protect network cables by running them inside the office.

    • Lock network devices such as servers, routers, switches, hubs and modems into secure rooms or cabinets. An intruder with physical access to such equipment can install malware capable of stealing data in transit or attacking other computers on your network even after he leaves. In some circumstances it may be beneficial to hide servers, computers or other equipment in attics, over a fake ceiling, or even with a neighbor, and use them through wireless connection.

    • If you have a wireless network, it is critical that you secure your access point so that intruders cannot join your network or monitor your traffic. If you are using an insecure wireless network, anyone in your neighbourhood with a laptop becomes a potential intruder. This is an unusual definition of 'physical', but it helps to consider that a malicious individual who can monitor your wireless network has the same access as one who can sneak into your office and connect an ethernet cable. The steps required to secure a wireless network will vary, depending on your access point hardware and software, but they are rarely difficult to follow.

    At your work

    • You should position your computer screen carefully, both on your desk and when you are away from the office, in order to prevent others from reading what is displayed there. In the office, this means considering the location of windows, open doors and the guest waiting area, if you have one.

    • Most desktop computer cases have a slot where you can attach a padlock that will prevent anyone without a key from getting inside. If you have cases like this in the office, you should lock them so that intruders cannot tamper with their internal hardware. You might also consider this feature when purchasing new computers.

    • Use a locking security cable, where possible, to prevent intruders from stealing the computers themselves. This is especially important for laptops and small desktops that could be hidden inside a bag or under a coat.

    • Make sure that, when you restart your computer, it asks you for a password before allowing you to run software and access files. If it does not, you can enable this feature in Windows by clicking on the Start menu, selecting the Control Panel, and double-clicking on User Accounts. In the User Accounts screen, select your own account and click Create a Password. Choose a secure password, as discussed in Chapter 3: How to create and maintain good passwords, enter your password, confirm it, click Create Password and click Yes, Make Private.
    • There are a few settings in your computer's BIOS that are relevant to physical security. First, you should configure your computer so that it will not boot from the USB device, CD-ROM or DVD drives. Second, you should set a password on the BIOS itself, so that an intruder can not simply undo the previous setting. Again, be sure to choose a secure password.
    • If you rely on a secure password database, as discussed in Chapter 3, to store your Windows or BIOS passwords for a particular computer, make sure that you do not keep your only copy of the database on that computer.
    • Get in the habit of locking your account whenever you step away from your computer. On Windows, you can do this quickly by holding down the Windows logo key and pressing the L key. This will only work if you have created a password for your account, as described above.
    • Encrypt sensitive information on computers and storage devices in your office. See Chapter 4: How to protect the sensitive files on your computer for additional details and pointers to the appropriate Hands-on Guides.#

    Rudo: I'm a bit nervous about messing around in BIOS. Can I break my computer if I do something wrong?

    tto: You sure can, at least for a little while. In fact, the settings that you might want to change are pretty simple, but the BIOS screen itself can be a little intimidating, and it is possible to leave your computer temporarily unable to start if you do something wrong. In general, if you're uncomfortable working in BIOS, you should ask someone with more computer experience to help you out.

    Portable devices

    • Keep your laptop, your mobile phone and other portable devices that contain sensitive information with you at all times, especially if you are travelling or staying at a hotel. Travelling with a laptop security cable is a good idea, although it is sometimes difficult to find an appropriate object to which you can attach one. Remember that meal times are often exploited by thieves, many of whom have learnt to check hotel rooms for laptops during hours of the day when they are likely to be unattended.
    • If you have a laptop, tablet or other mobile device, try to avoid putting them on display. There is no need to show thieves that you are carrying such valuable hardware or to show individuals who might want access to your data that your shoulder bag contains a hard drive full of information. Avoid using your portable devices in public areas, and consider carrying your laptop in something that does not look like a laptop bag.

    Maintaining a healthy environment for your computer hardware

    Like many electronic devices, computers are quite sensitive. They do not adapt well to unstable electricity supplies, extreme temperatures, dust, high humidity or mechanical stress. There are a number of things you can do to protect your computers and network equipment from such threats:

    • Electrical problems such as power surges, blackouts and brownouts can cause physical damage to a computer. Irregularities like this can 'crash' your hard drive, damaging the information it contains, or physically harm the electronic components in your computer.

      • If you can afford them, you should install Uninterruptible Power Supplies (UPS') on important computers in your office. A UPS stabilises electricity supply and provides temporary power in the event of a blackout.

      • Even where UPS' are deemed inappropriate or too costly, you can still provide power filters or surge protectors, either of which will help protect you from power surges.

      • Test your electrical network before you connect important equipment to it. Try to use power sockets that have three slots, one of them being a 'ground line', or 'earth'. And, if possible, take a day or two to see how the electrical system in a new office behaves when powering inexpensive devices, such as lamps and fans, before putting your computers at risk.

    • To defend against accidents in general, avoid placing important hardware in passages, reception areas or other easily accessible locations. UPS', power filters, surge protectors, power strips and extension cables, particularly those attached to servers and networking equipment, should be positioned where they will not be switched off by an accidental misstep.

    • If you have access to high-quality computer cables, power strips and extension cables, you should purchase enough to serve your entire office and pick up a few extras. Power strips that fall out of wall sockets, fail to hold plugs securely and spark constantly are more than just annoying. They can be quite damaging to the physical security of any computers attached to them. They can also lead frustrated users to secure their loose computer cables to a sparking power strip with tape, which creates an obvious fire hazard.

    • If you keep any of your computers inside cabinets, make sure they have adequate ventilation, or they might overheat
    • Computer equipment should not be housed near radiators, heating vents, air conditioners or other ductwork

    Послесловие

    Главной проблемой для Шингаи было объяснить сотрудникам своей организации, зачем нужна политика информационной безопасности. Коллеги хмуро переглядывались, вздыхали, жаловались на нехватку времени. По всему было видно, что они согласны — риск существует, но вводить какие-то меры кажется им лишней бюрократией. Положение спасла Рудо, которая с чисто женской интуицией разгадала суть проблемы. Она привела коллегам немало ярких примеров, которые заставили даже самых больших консерваторов согласиться: политика информационной безопасности не только желательна, но и необходима для такой организации, как их группа.

    Шингаи, Рудо и еще двое сотрудников завершили начатый Отто аудит информационной безопасности. Они проанализировали все риски и обнаружили слабые места. В некоторых случаях пришлось буквально следовать советам Отто (например, переставить компьютеры в офисе подальше от батарей и окон, заменить некоторые розетки и др.) Исправляя эти ошибки, они выработали политику информационной безопасности для всех сотрудников организации. Вдобавок они придумали несколько коротких и четких планов действий в проблемных ситуациях:

    • Что делать, если случилась пропажа (утечка) конфиденциальной информации?
    • С кем связываться, если заискрила проводка или сломался кран в умывальнике?
    • Как быть, если утром на вахте не оказалось ключа от офиса?
    • Что предпринимает каждый из сотрудников, если власти нагрянули с обыском?

    Политика информационной безопасности в организации Шингаи и Рудо доступна всем сотрудникам. Иногда (раз в год или реже) она изменяется и дополняется (смотря по ситуации). И уже приносит свои плоды. Стало меньше проблем с оборудованием, потерянных данных, конфликтов между сотрудниками. То, что раньше казалось неотвратимой бедой вроде цунами, сегодня выглядит как предсказуемая неприятность, которую легко избежать, если действовать аккуратно и с умом.

    Что еще почитать