Fizička sigurnost informacijskog sustava

Fizička sigurnost uključuje mjere kojima je cilj spriječiti neovlašten pristup resursima ili informacijskim sustavima. Definira smjernice za dizajniranje strukture otporne na razne zlonamjerne aktivnosti ili nepredviđene nesreće. One mogu biti pasivne, tj. namijenjene za provođenje kroz okoliš i arhitekturu ili aktivne, tj. zahtijevaju uporabu raznih sustava i tehnika.

Općenito, osnovna uloga svih mjera je osiguravanje da samo autorizirane osobe imaju pristup imovini i informacijskom sustavu. Mogu se promatrati kroz tri aspekta:

  1. fizički – mjere za zaštitu imovine,
  2. tehnički – mjere za zaštitu usluga i elemenata koji služe kao podrška informacijskim tehnologijama,
  3. operacijski – mjere koje se provode prije izvođenja neke operacije.

Procjena fizičke sigurnosti je periodičan proces koji se provodi kako bi se ustanovila uspostavljena razina fizičke sigurnosti. Proces uključuje planiranje procjene, otkrivanje potrebnih informacija, testiranje otpornosti sustava te stvaranje izvještaja.

Postoje razne prijetnje fizičkoj sigurnosti jednog informacijskog sustava koje mogu ostaviti ozbiljne posljedice i nanijeti velike štete. Jedna od skupina prijetnji su prirodne nepogode poput potresa, vulkana, uragana, požara, poplava i sl.  Ipak, mnogo značajnije su prijetnje koje uzrokuju sami ljudi svojom nepažnjom, neposlušnošću te namjerom za sabotažu ili krađu. Posebne opasnosti prijete od napada socijalnim inženjeringom koji se zasnivaju na osnovnim ljudskim ranjivostima. Obično se izvode oponašanjem, lažnim predstavljanjem, izvlačenjem informacija i sl., a cilj im je dobiti pristup informacijskom sustavu. Među ostalim prijetnjama javljaju se još nepravilna podjela odgovornosti, opasnosti od eksplozija, mogućnost gubitka napajanja i dr. Istraživanja pokazuju da su ljudske pogreške gotovo glavni uzrok gubitku podataka, ali ne mogu se zanemariti ni gubici koji su rezultat prirodnih nepogoda.

Adekvatnom zaštitom informacijskog sustava moguće je umanjiti štetu te omogućiti brže vraćanje sustava u rad. Prvi korak zaštite uključuje osiguravanje okoline objekta postavljanjem ograda, uređivanjem okoliša te postavljanjem nadzornih kamera. Recepcija također predstavlja jednu od točaka koju treba osigurati na pravilan način. Prema tome, potrebno je urediti prostor kako bi se odvojio dio za zaposlenike od dijela za posjetitelje. Razina zaštite unutrašnjosti objekta ovisi o namjeni pojedine prostorije, a može se provoditi postavljanjem raznih uređaja za nadzor i upozoravanje te provođenjem odgovarajuće kontrole pristupa. Posebnu pozornost treba obratiti na zaštitu opreme poput poslužitelja, osobnih računala, telefona i ostalih uređaja. Zaštita poslužitelja definira njihovo fizičko odvajanje u posebne prostorije te postavljanje na način da se onemogući pomicanje i premještanje. Osobna računala nije moguće izdvojiti u odvojene prostorije pa se na njih primjenjuju posebne mjere zaštite. One uključuju primjenu uređaja za zaključavanje ili ormarića za pohranu koji sprečavaju krađu. Potrebno je, također, paziti na prikladan raspored zaposlenika te spriječiti uporabu istog medija za pohranu podataka od strane svih zaposlenika. Prema rezultatima anketa, vidljivo je da organizacije obično provode mjere identifikacije posjetitelja, dok su potreba za detekcijom eksploziva i metala obično zanemarene.

Provođenje opisanih mjera zaštite olakšano je primjenom raznih elemenata za postizanje fizičke sigurnosti. U tu skupinu spadaju alarmni sustavi zaduženi za detekciju provala, požara, prirodnih nepogoda i sl., te generiranje zvučnog i/ili vizualnog signala upozorenja. Adekvatna rasvjeta također često pogoduje sprječavanju pokušaja izvođenja kriminalnih radnji jer se podiže osjećaj da bi se djelo moglo lako detektirati. Osim spomenutog, postavljanje zaštitara na ulaze i ključna mjesta dodatno osigurava zaštitu osoblja i imovine neke organizacije. Posebno važnu ulogu imaju uređaji koji omogućuju nadzor s udaljenih mjesta, tj. CCTV (eng. Closed-circuit television) kamere. Radi se o posebnoj vrsti kamera koje služe za prijenos signala na određeni broj monitora na manjoj udaljenosti. Kako bi se omogućilo nadziranje s većih udaljenosti, mogu se iskoristiti IP (eng. Internet protocol) kamere. Još jedan od elemenata za postizanje sigurnosti čine sustavi za kontrolu pristupa poput pametnih kartica te uređaja zasnovanih na biometrici. Kontrolu pristupa moguće je dodatno poboljšati uporabom mehaničkih ili elektroničkih lokota za zaključavanje prostorija. Razvijeni su i posebni sustavi za zaključavanje opreme poput sustava „Kensington Security Slot“ koji služi za povezivanje uređaja s nekim nepomičnim predmetom. Postoje i posebni držači za prijenosna računala s funkcijom zaključavanja te posebni ormarići za njihovu sigurnu pohranu nakon uporabe. Ukoliko se uvedenim mjerama ipak ne uspije spriječiti napadače u pokušajima krađe opreme, moguće je primijeniti i sustave za detekciju i otkrivanje lokacije ukradenih uređaja.

Izradu dokumenta "Fizička sigurnost informacijskog sustava" financirao je Nacionalni CERT, i možete ga pročitati na službenim stranicama CERT-a.