Системы менеджмента информационной безопасности в организациях электросвязи

Рекомендация ITU-T X.1051.Процессный подход и модель СМИБ телекоммуникаций

(Процессный подход и модель систем менеджмента информационной безопасности телекоммуникаций)

Для организаций электросвязи информация и вспомогательные процессы, устройства, сети и линии электросвязи являются важными активами бизнеса. Для должного управления этими активами бизнеса и для правильного и успешного продолжения бизнеса организаций электросвязи чрезвычайно важно управление информационной безопасностью.

Система менеджмента информационной безопасности (СМИБ) предназначается для обеспечения достаточных и соразмерных средств управления безопасностью, которые адекватно защищают информационные активы и придают уверенность клиентам и деловым партнерам организаций электросвязи, а также другим заинтересованным сторонам электросвязи. Это может служить средством поддержания и улучшения конкурентоспособности, увеличения денежных потоков и доходности, соблюдения правовых норм и улучшения коммерческой репутации.

СМИБ — это часть общей системы менеджмента, основанная на подходе бизнес-риска для установления, реализации, эксплуатации, мониторинга, анализа, обслуживания и усовершенствования информационной безопасности (ИБ).

Для эффективного функционирования организация электросвязи должна определять многие действия и управлять ими. Любое действие, использующее ресурсы и управляемое с целью создать возможность преобразования входных данных в выходные, может рассматриваться как процесс.

Часто выходные данные одного процесса непосредственно образуют входные данные следующего процесса.

Применение системы процессов внутри организации совместно с идентификацией и взаимодействием этих процессов, а также управлением ими может быть названо "подходом, основанным на процессах".

Подход, основанный на процессах, способствует акцентированию внимания его пользователей на важность:

– понимания требований бизнеса к информационной безопасности и необходимости установления политики и целей информационной безопасности;

– реализации и эксплуатации средств управления с точки зрения управления всеми рисками бизнеса организации;

– контроля и анализа рабочих характеристик и эффективности СМИБ;

– постоянного совершенствования, основанного на объективных измерениях.

Модель, известная как модель "Планирование-Работа-Проверка-Действие" (PDCA), может быть применима ко всем процессам СМИБ. На рисунке 3 показано, как использовать СМИБ для введения требований к ИБ и ожиданий организаций электросвязи и заинтересованных сторон, связанных со сферой электросвязи, и как путем необходимых действий и процессов создать выходные продукты информационной безопасности (т. е. управляемую информационную безопасность), которые соответствуют этим требованиям и ожиданиям.

Рисунок 3 - Модель СМИБ

Планирование и установление СМИБ создает политику безопасности, цели, задачи, процессы и процедуры, соответствующие управляемым рискам и улучшенной информационной безопасности, для представления результатов в соответствии с общей политикой и целями организации.

Осуществление, реализация и эксплуатация СМИБ реализует и применяет политику безопасности, средства управления, процессы и процедуры.

Проверка, мониторинг и анализ СМИБ — оценка и, где это применимо, измерение рабочих характеристик процесса, относящегося к политике, целям безопасности и практическому опыту, и представление отчета о результатах в систему управления для анализа.

Действия, поддержка и усовершенствование СМИБ — принятие корректирующих и превентивных действий, основанных на результатах анализа руководством, для достижения непрерывных усовершенствований СМИБ.

Контрольные вопросы

1. Подход на котором должна основываться система менеджмента информационной безопасности связан с учетом рисков основной деятельности организации электросвязи (бизнес-рисков) или только рисков нарушений информационной безопасности?

2. Как реализуется рабочий цикл модели СМИБ: однократно, регулярно через определенные интервалы времени или циклически непрерывно?

3. Что такое управляемая информационная безопасность?

4. Для функционирования СМИБ необходимо чтобы вся деятельность организации электросвязи была формализована на основе процессного подхода или только деятельность по управлению ИБ?

Рекомендация ITU-T X.1051.Процессы СМИБ

(Процессы системы менеджмента информационной безопасности)

Организация должна разрабатывать, реализовывать, поддерживать и непрерывно совершенствовать документированную СМИБ с позиции всей деловой деятельности и риска организации.

Процессы СМИБ.

Создание СМИБ. Организация должна:

– определить область применения СМИБ;

– определить политику СМИБ;

– определить системный подход к определению риска;

– идентифицировать риски;

– количественно определить риски;

– идентифицировать и оценить варианты обработки рисков;

– выбрать цели управления и средства управления для обработки рисков;

– подготовить заявление о применимости;

– получить согласие руководства на предлагаемые остаточные риски и разрешение на реализацию и эксплуатацию СМИБ.

Реализация и эксплуатация СМИБ. Организация должна:

– представить и реализовать план обработки риска;

– реализовать средства управления;

– обеспечить повышение квалификации и информированность персонала;

– управлять эксплуатацией;

– управлять ресурсами;

– реализовать процедуры.

Мониторинг и анализ СМИБ. Организация должна:

– выполнять процедуры мониторинга;

– проводить регулярные анализы;

– анализировать уровень остаточного риска;

– осуществлять внутренний аудит СМИБ;

– предпринять анализ системы руководством;

– регистрировать действия и события, которые могли бы повлиять на рабочие характеристики и эффективность СМИБ.

Поддержание и совершенствование СМИБ. Организация должна:

– реализовывать любые сформулированные усовершенствования СМИБ;

– предпринимать любые сформулированные исправляющие и профилактические действия;

– сообщать их результаты всем заинтересованным сторонам;

– проверять соответствие этих усовершенствований поставленным целям и задачам.

Контрольные вопросы и задания

1. К какой стадии и какому процессу может относиться установка в реальной телекоммуникационной системе программно-аппаратных средств защиты?

2. Какие действия применительно к СМИБ и почему более эффективны: корректирующие или профилактические?

3. Учитывая то, что выходные данные одного процесса непосредственно образуют входные данные следующего процесса, постройте возможную замкнутую модель СМИБ для перечисленных выше процессов для заданной организации.

Система документации. Ответственность руководства, менеджмент ресурсов. Обучение, осознание, компетенция (Рекомендация ITU-T X.1051. Сис-ма док-ции. Отв-сть рук-ва, мен-нт рес-ов. Обучение, осознание, компетенция)

Организация должна иметь систему документации для СМИБ. В этой системе документы должны соответствующим образом защищаться и проверяться. Эта система должна также охватывать любые записи, которые создаются или сохраняются для образования доказательств эффективной работы СМИБ.

Руководство должно представить обоснования его обязательств по созданию, реализации, эксплуатации, контролю, анализу, поддержанию и совершенствованию СМИБ.

Организация должна определять и предоставлять ресурсы, необходимые для:

– создания, реализации, эксплуатации и поддержания СМИБ;

– гарантирования, что процедуры политики информационной безопасности поддерживают требования бизнеса;

– определения правовых и нормативных требований и обязательств по контрактам, а также обращения к ним;

– поддержки достаточной безопасности путем правильного применения всех реализованных средств управления;

– производства, при необходимости, анализов и соответственного реагирования на результаты этих анализов;

– повышения, при необходимости, эффективности СМИБ.

Организации следует обеспечить, чтобы весь персонал, которому назначены обязанности, определенные в СМИБ, являлся компетентным для выполнения требуемых задач. Организации также следует обеспечить, чтобы весь соответствующий персонал осознавал необходимость и важность своих действий по ИБ, а также то, как они могут содействовать обеспечению целей СМИБ.

Контрольные вопросы

1. Что может выступать в качестве обоснований обязательств руководства организации электросвязи по созданию, реализации, эксплуатации, контролю, анализу, поддержанию и совершенствованию СМИБ?

2. Кому и для чего должны представляться обоснования обязательств руководства организации электросвязи по созданию, реализации, эксплуатации, контролю, анализу, поддержанию и совершенствованию СМИБ?

3. Какие ресурсы могут быть необходимы для гарантирования того, что процедуры политики информационной безопасности поддерживают требования бизнеса

Анализ СМИБ, осуществляемый руководством. Внутренний аудит. Усовершенствование СМИБ (Рекомендация ITU-T X.1051. Анализ, осуществляемый руководством. Внутренний аудит. Усовершенствование СМИБ)

Руководство через запланированные периоды времени должно анализировать СМИБ организации, чтобы постоянно гарантировать ее соответствие, достаточность и эффективность. Подробнее эти требования изложены в ГОСТ Р ИСО/МЭК 27001.

Входные данные для анализа руководством должны содержать информацию о:

– результатах аудиторских проверок и анализов СМИБ;

– ответных реакциях заинтересованных сторон;

– методах, изделиях или процедурах, предназначенных для улучшения рабочих характеристик и эффективности СМИБ;

– статусе профилактических и исправляющих действий;

– уязвимостях и угрозах, недостаточно учтенных при предыдущем определении риска;

– мероприятиях, проведенных по результатам предыдущих анализов;

– любых изменениях, которые могли бы повлиять на СМИБ;

– рекомендациях по усовершенствованию.

Выходные данные анализа руководством должны содержать любые решения и действия, относящиеся к:

– повышению эффективности СМИБ;

– изменению процедур, влияющих на информационную безопасность, что необходимо в ответ на внутренние и внешние события, которые могут повлиять на СМИБ;

– потребностям в ресурсах.

Организация должна через запланированные интервалы проводить внутренний аудит СМИБ, чтобы определить цели контроля, средства контроля, процессы и процедуры для СМИБ.

Организация должна непрерывно повышать эффективность СМИБ.

Организация должна предпринимать действия по исключению случаев несоответствия в реализации и функционировании СМИБ, чтобы предотвратить их повторное возникновение.

Организация должна определить действия по защите от будущих несоответствий с целью предотвращения их появления.

Контрольные вопросы

1. Как можно оценить достаточность СМИБ и ее эффективность? В чем могут быть отличия этих показателей?

2. Почему ставятся условия непрерывного повышения эффективности СМИБ и исключения и предотвращения несоответствий СМИБ, но отсутствуют требования к изменению ее достаточности? Необходимы ли такие требования и как они могли бы быть сформулированы?

3. Кто может являться заинтересованными сторонами в эффективном функционировании СМИБ и в чем могут заключаться их ответные реакции?

3.1 Совокупность средств управления информационной безопасностью, ориентированных на требования для электросвязи

Цели управления средствами управления, перечисленными ниже, основаны на содержащихся в ГОСТ Р ИСО/МЭК 17799 и ГОСТ Р ИСО/МЭК 27001 требованиях. Они адаптированы к требованиям электросвязи. Список средств управления является исчерпывающим, но организации следует также рассматривать другие средства управления, описанные в ГОСТ Р ИСО/МЭК 17799 и ГОСТ Р ИСО/МЭК 27001. Цели управления и средства управления выбираются как часть процессов СМИБ, определенных выше.

Рекомендация ITU-T X.1051. Орг. меры без-ти: орг. инфраструктура ИБ, распр. обяз. по обесп. ИБ

(Организационные меры безопасности: организационная инфраструктура ИБ, распределение обязанностей по обеспечению ИБ)

Целью создания организационной инфраструктуры ИБ является управление ИБ в пределах организации электросвязи.

Структуру управления следует создавать так, чтобы она способствовала инициализации и осуществлению контроля за внедрением ИБ в организации электросвязи. Следует создавать соответствующие управляющие советы с участием высшего руководства для утверждения политики ИБ, назначать ответственных лиц в области ИБ, а также осуществлять координацию и внедрение мероприятий по управлению ИБ в организации электросвязи. При необходимости следует предусмотреть наличие специалиста по вопросам ИБ внутри организации электросвязи, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и методов ее оценки, а также с целью адекватного реагирования на инциденты нарушения ИБ. Следует поощрять многопрофильный подход к ИБ, например, путем налаживания сотрудничества между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами и сотрудниками безопасности, а также специалистами в области страхования и управления рисками.

Ответственность за защиту отдельных средств электросвязи и за выполнение конкретных процессов, обеспечивающих безопасность, должна быть четко определена.

Линейные администраторы технического обслуживания сети являются ответственными за обеспечение безопасности каждого коммутатора электросвязи, как определяется конкретной политикой безопасности. Администратор (менеджер) технического обслуживания сети ответственен за:

– обеспечение того, чтобы пользовательские терминалы системы технического обслуживания сети были расположены в закрытой зоне, как описано в политике и процедурах обеспечения физической безопасности;

– обеспечение того, чтобы регистрации пользователей коммутируемого доступа и регистрации идентификаторов пользователей были соответствующим образом установлены и поддерживались;

– обеспечение того, чтобы разрешительные коды службы коммутации центральной станции применялись соответствующим образом;

– поддержку мер безопасности, гарантирующих, что доступ к коммутаторам электросвязи находится под контролем.

Рекомендация ITU-T X.1051. Менеджмент активов. Идентификация активов. Владение активами.

(Менеджмент активов. Ответственность за активы: идентификация активов, владение активами)

Целью является достижение и поддержание защиты активов электросвязи.

Каждый актив должен быть четко идентифицирован; должна быть проведена и поддерживаться инвентаризация всех важных активов.

Организация электросвязи должна идентифицировать все активы и задокументировать важность этих активов.

Должна быть проведена и поддерживаться инвентаризация важных активов, относящихся к каждой организации электросвязи. Существует много типов активов, относящихся к организации электросвязи, в том числе:

– средства коммутации: коммутаторы для телефонной связи, Интернета и подвижной связи, которые управляют информацией маршрутизации, информацией об абонентах, информацией "черных списков", зарегистрированной служебной информацией и т. п.;

– средства передачи: передающие ретрансляционные системы, сетевые кабели;

– эксплуатационные средства: системы управления электросвязью для эксплуатации средств коммутации и передачи, которые содержат эксплуатационную информацию, информацию о повреждениях, информацию о конфигурации, информацию о клиентах, информацию о денежных расчетах, статистическую информацию о трафике и т. п.;

– средства служб электросвязи: информационные службы порталов, службы вызовов в кредит и по предоплате, службы через оператора, служба ADSL, "почтовая" служба, служба построения Web, служба подвижной связи, служба роуминга, служба подвижной "почтовой" связи, службы вызова по номеру/справочная служба и т. п.;

– люди, их квалификация и способности;

– нематериальные средства, такие как репутация и имидж организации.

С целью учета каждый актив должен иметь назначенного владельца.

Термин "владелец" означает лицо или сообщество, которое обладает утвержденной руководством ответственностью за управление услугами электросвязи, техническое обслуживание, использование средств электросвязи и доступ к ним. Термин "владелец" не подразумевает, что данное лицо действительно обладает каким-либо правом собственности на средство. Владение может быть распределено в соответствии с:

– бизнес-процессом;

– определенной совокупностью действий;

– приложением/службой;

– определенным набором данных.

–

Рекомендация ITU-T X.1051. Классиф-я информации. Руков. принципы классиф-ции. Маркировка и обр-ка информации

(Менеджмент активов. Классификация информации: руководящие принципы классификации, маркировка и обработка информации)

Целью классификации является получение информационными активами защиты соответствующего уровня.

Информация и выходные данные из систем, обрабатывающих классифицируемые данные, должны классифицироваться с точки зрения их ценности, конфиденциальности и критичности для организации электросвязи.

Классификация и связанные с ней защитные средства управления для информации должны учитывать потребности бизнеса в информации совместного или ограниченного пользования и последствия для бизнеса, связанные с такими потребностями.

Указания по классификации должны содержать соглашения по начальной классификации и повторной классификации через некоторое время в соответствии с некоторой предварительно определенной методикой.

Классификация информационных активов может быть выполнена с точки зрения их конфиденциальности, целостности и доступности или любого другого критерия, подходящего для выражения потребностей в защите.

Информация, связанная с абонентами и клиентами, должна обрабатываться с учетом ее конфиденциальности. Информация, относящаяся к средствам коммутации и передачи, также должна управляться с учетом ее критичности.

В соответствии со схемой классификации, утвержденной в организации электросвязи, должна быть разработана соответствующая совокупность процедур для маркировки и обработки информации.

Процедуры маркировки информации необходимы для размещения информационных активов в физическом и электронном форматах.

Выходные данные систем, содержащих информацию, которая классифицируется как конфиденциальная или критичная, должны нести соответствующую классификационную метку (на выходе).

Для каждого уровня классификации должны быть определены процедуры обработки, охватывающие безопасную обработку, хранение, передачу, переклассификацию и уничтожение. Сюда должны быть включены также процедуры регистрации любого события, относящегося к безопасности.

Соглашения с другими органами электросвязи, которые содержат положения о совместном использовании информации, должны содержать процедуры для определения классификации такой информации и для опознавания классификационных меток от других органов электросвязи.

Рекомендация ITU-T X.1051. Информ-ие об инц-тах без-сти, информир-ние о проблемах без-сти, инфор-ние о сбоях ПО, обучение на инцидентах

(Вопросы безопасности, связанные с персоналом. Информирование об инцидентах и нарушениях ИБ: информирование об инцидентах безопасности, информирование о проблемах безопасности, информирование о сбоях ПО, обучение на инцидентах)

Целью является минимизация вреда от инцидентов и нарушений безопасности, контроль таких инцидентов и обучение на примере инцидентов.

Об инцидентах безопасности должно быть сообщено как можно быстрее по каналам управления электросвязью.

Об инцидентах безопасности, вызванных различными типами угроз, такими как вирусы, "троянские кони", черви, злонамеренные коды подвижной связи, должно быть немедленно сообщено соответствующим служащим и контрагентам с использованием формальной процедуры извещения.

После извещения об инциденте должна быть правильно выполнена процедура ответа об инциденте.

Для минимизации вреда, наносимого устройствам и службам электросвязи в результате инцидента, должны быть выполнены ответные процессы восстановления. При необходимости, следует также сразу известить об инциденте соответствующих клиентов по прямой электронной почте и/или на домашнюю страницу, предоставляемую организацией электросвязи.

Пользователям информационных служб должна быть направлена просьба обращать внимание и сообщать о любых замеченных подозрительно слабых местах безопасности или об угрозах системам или службам.

Организация электросвязи должна хорошо знать конфигурацию системы и спецификации с точки зрения безопасности и должна проявлять заботу о слабых местах и/или уязвимости системы безопасности.

Если обнаружено слабое место, то о нем следует сообщить соответствующему руководству для поддержания системы в безопасном состоянии.

Должны выполняться процедуры сообщения об отказе программного обеспечения.

Должны выполняться процедуры извещения об отказе программного обеспечения в системе электросвязи. Необходимо предусмотреть следующие действия:

– обращать внимание на признаки проблемы и любые сообщения, появляющиеся в системе управления электросвязью;

– систему электросвязи, если это возможно, следует изолировать, а ее использование прекратить. Надо немедленно проинформировать соответствующее контактное лицо. Если систему надо проверить, то ее следует отсоединить от любой работающей сети электросвязи, прежде чем запустить;

– о событии следует немедленно сообщить менеджеру по информационной безопасности;

– восстановление должно выполняться соответствующим обученным и опытным персоналом.

Должны иметься механизмы, способные оценивать и контролировать типы, количество и стоимость инцидентов и нарушений.

Эту информацию следует использовать для опознавания повторных или сильно влияющих инцидентов или нарушений.

Рекомендация ITU-T X.1051. Периметр физической безопасности, физические средства управления доступом

(Физическая безопасность и защита от окружающей среды. Зоны безопасности: периметр физической безопасности, физические средства управления доступом)

Цель является предотвращение несанкционированного физического доступа, ущерба и воздействий в отношении помещений и безопасности информации организации.

Объект электросвязи должен использовать периметры безопасности (такие ограждения, как стены, контролируемые с помощью карточек проходные или посты с человеком) для защиты зон, в которых размещаются устройства коммутации, передачи, эксплуатации и обработки информации.

По отношению к периметрам физической безопасности должны учитываться и реализовываться, по возможности, следующие руководящие указания:

– периметры безопасности должны быть четко определены, а местоположение и прочность каждого периметра должны зависеть от требований к безопасности средств, находящихся внутри периметра, и результатов определения риска;

– физическая безопасность является ключевой задачей в средствах электросвязи, она должна быть эффективно решена с тщательным соблюдением всех локальных политик безопасности, чтобы гарантировать постоянную защиту корпоративных средств. Если система функционирует неправильно, или политика не соблюдается, то необходимо немедленно решить этот вопрос;

– по периметру здания или территории, содержащих средства обработки информации, должна быть установлена звуковая сигнализация (т. е. не должно быть брешей в периметре или зонах, где мог бы легко произойти прорыв). Внешние стены объекта должны иметь прочную конструкцию, а все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа управляемыми механизмами, например, засовами, тревожной сигнализацией, замками и т. п. Двери и окна должны запираться, а для окон, в особенности расположенных на первом этаже, должна быть предусмотрена необслуживаемая и наружная защита. В особенности надежно такими управляемыми механизмами должны быть защищены периметры базовых станций подвижной связи, которые расположены в отдельных зонах;

– для контроля физического доступа на территорию или в здание должен иметься пост с человеком или другие средства. Доступ на участок или в здания должен быть открыт только уполномоченному персоналу;

– физические барьеры, где это возможно, должны располагаться от пола до потолка, чтобы предотвратить несанкционированный вход и загрязнение из окружающей среды;

– все пожарные двери по периметру безопасности должны быть оборудованы тревожной сигнализацией, контролироваться и запираться при захлопывании;

– должны быть установлены подходящие системы обнаружения вторжения, соответствующие национальным, региональным или международным стандартам. Должен регулярно проверяться охват этими системами всех наружных дверей и доступных окон;

– эксплуатационные центры электросвязи должны быть оборудованы надежными системами обнаружения физического вторжения. Незанятые зоны должны постоянно контролироваться средствами тревожной сигнализации. Должен быть обеспечен также охват других зон, например вычислительных залов или комнат для общения;

– устройства обработки информации, управляемые объектами электросвязи, должны быть физически отделены от устройств обработки, управляемых посторонним объектом;

– устройства, принадлежащие организациям электросвязи, например, передающие устройства, устройства коммутации и инфраструктуры электросвязи, должны быть физически отделены от других устройств, например, устройств клиентов в управляемом центре данных.

Зоны безопасности должны быть защищены с помощью соответствующих средств контроля входа, чтобы гарантировать, что доступ получит только уполномоченный персонал.

Должны учитываться следующие руководящие принципы:

– посетители зон безопасности должны находиться под наблюдением или иметь допуск, а дата и время их прибытия и убытия должны быть записаны. Они должны иметь разрешенный доступ только к конкретным, санкционированным вопросам и должны быть снабжены инструкциями о требованиях к безопасности в данной зоне и о процедурах, проводимых в чрезвычайных ситуациях;

– на посту пропуска информация о других посетителях должна быть защищена. Например, даты и время их прибытия и убытия не должны располагаться в легко просматриваемом месте. Принимающее лицо должно также проверить вещи посетителя на предмет наличия в них опасных объектов;

– доступ в зоны, в которых обрабатывается конфиденциальная информация и в которых находятся устройства обработки информации, должен контролироваться и разрешаться только для уполномоченных лиц. Для разрешения и подтверждения любого доступа должны использоваться средства контроля аутентификации, например, карты управления доступом плюс PIN-код. В особенности, механизмом строгого контроля входа должны быть достаточно защищены рабочие комнаты с работающими средствами;

– контрольный журнал всех доступов должен обрабатываться с соблюдением мер безопасности;

– надо требовать, чтобы весь персонал был одет в некую форму с видимой идентификацией, и должно поощряться выявление несопровождаемых посторонних лиц и лиц, не носящих видимой идентификации;

– персонал вспомогательных служб третьей стороны должен иметь право ограниченного доступа в зоны безопасности или к устройствам обработки конфиденциальной информации только в случаях, когда это требуется. Этот доступ должен быть разрешенным и контролируемым;

– права доступа в зоны безопасности должны регулярно пересматриваться и обновляться;

– оператор электросвязи должен иметь контракт с соответствующей компанией обеспечения безопасности для физической защиты конфиденциальных устройств электросвязи. При обнаружении несанкционированного физического доступа оператор должен немедленно установить контакт со службой обеспечения безопасности по поводу этого инцидента.

Рекомендация ITU-T X.1051. Защита зданий, производственных помещений и оборудования

(Физическая безопасность и защита от окружающей среды. Зоны безопасности: защита зданий, производственных помещений и оборудования)

Организация электросвязи должна проектировать и применять дополнительные меры физической безопасности для защиты офисов, помещений и устройств от порчи, вызываемой пожарами, наводнениями, землетрясениями, взрывами, гражданскими волнениями и другими формами природных или искусственных бедствий.

Должны быть учтены любые угрозы безопасности, исходящие от соседних помещений, например, должны быть учтены: пожар в соседнем здании, протечка воды с крыши или на этажи, расположенные ниже уровня земли, либо произошедший на улице взрыв.

При обеспечении безопасности офисов, помещений и устройств должны быть учтены следующие общие принципы:

– ключевые средства должны быть расположены так, чтобы исключить доступ к ним публики;

– там, где это возможно, здания не должны привлекать внимания, должны иметь минимальную индикацию об их назначении, не иметь слишком явной символики вне или внутри зданий, указывающих на проведение деятельности по обработке информации;

– справочники и внутренние телефонные книги, в которых указывается местоположение устройств, обрабатывающих конфиденциальную информацию, не должны быть легко доступны публике;

– опасные или легко воспламеняющиеся материалы должны храниться в охраняемом месте на безопасном расстоянии от зоны безопасности. Большие запасы материалов, таких как канцелярские товары, не должны храниться в зоне безопасности, если они не требуются;

– запасное оборудование и резервные носители информации должны размещаться на безопасном расстоянии, чтобы избежать порчи от бедствия на главном участке.

Для устройств электросвязи должны учитываться следующие специальные средства:

– обеспечение безопасности центров связи. Для защиты средств связи, таких как устройства коммутации, обеспечивающие электросвязь (называемые далее "центрами связи"), должно выполняться следующее:

- для размещения центров связи должны выбираться твердые участки земли. При необходимости, может быть выбран менее твердый участок, но должны быть приняты достаточные меры, чтобы предупредить неровное оседание;

- для размещения центров связи должны выбираться участки, окружающая среда которых наименее подвержена ущербу от ветра, воды и т. п. При необходимости, может быть выбран менее удовлетворительный участок, но должны быть приняты меры защиты от разрушений, вызываемых ветром, водой и т. п.;

- для размещения центров связи должны выбираться участки, окружающая среда которых наименее подвержена влиянию сильного электромагнитного поля. При необходимости, может быть выбран менее удовлетворительный участок, но должны быть приняты меры для защиты помещений с оборудованием электросвязи при помощи электромагнитных экранов и т. п.;

- для размещения центров связи не следует использовать участки, смежные с сооружениями, в которых хранятся опасные вещества, которые создают опасность взрыва или возгорания;

- здания для центров связи должны иметь сейсмостойкую конструкцию;

- здания для центров связи должны иметь огнеупорную или огнестойкую конструкцию;

- здания для центров связи должны иметь требуемую конструктивную прочность в части нагрузки на пол;

- в центрах связи везде, где это необходимо, должна быть установлена автоматическая пожарная сигнализация;

- в центрах связи везде, где это необходимо, должны быть установлены огнетушители;

– обеспечение безопасности помещения с оборудованием электросвязи. Для защиты помещения, в котором установлены средства связи, обеспечивающие электросвязь (называемого далее "помещением с оборудованием электросвязи"), должны учитываться следующие средства управления:

- помещение с оборудованием электросвязи должно располагаться там, где наименее возможны внешние воздействия, такие как природные бедствия;

- помещение с оборудованием электросвязи должно располагаться там, где наименее возможно вторжение неуполномоченного персонала. Это не обязательно, если принимаются достаточные меры, чтобы предотвратить подобные вторжения;

- помещение с оборудованием электросвязи должно располагаться там, где наименее возможны наводнения. Если это помещение должно располагаться там, где наводнения возможны, то должны быть приняты необходимые меры, такие как подъем уровня пола, установление преград для проникновения воды или установка специальных устройств для дренажа воды;

- помещение с оборудованием электросвязи должно располагаться там, где наименее возможен ущерб от сильного электромагнитного поля. Если это помещение должно находиться там, где электромагнитное поле возможно, то оно должно быть защищено электромагнитным экраном или как-нибудь иначе;

- важные устройства должны быть размещены в особом помещении с оборудованием электросвязи, имеющим двери достаточной прочности;

- должны быть приняты меры по предотвращению обрушения и падения материалов, используемых для полов, стен, потолков и т. п., при землетрясениях с нормальной, предсказуемой амплитудой;

- материалы, используемые для полов, стен, потолков и т. п., должны быть невоспламеняющимися или огнестойкими;

- должны быть приняты меры, позволяющие справиться со статическим электричеством;

- если средства электропитания установлены в помещении с оборудованием электросвязи, то должны быть приняты необходимые меры по предотвращению помех от электромагнитного поля;

- в помещениях с оборудованием электросвязи должны быть спроектированы сквозные отверстия для проверки распространения огня;

- при необходимости, должны быть приняты меры по защите помещения с хранилищем данных и сейфа с данными от электромагнитного воздействия;

- при необходимости, должны быть приняты меры по обеспечению огнестойкости помещения с хранилищем данных и выделенного склада;

- везде, где необходимо, в помещении с оборудованием электросвязи, в помещении с оборудованием кондиционирования воздуха и т. п. должна быть установлена автоматическая пожарная сигнализация;

- везде, где необходимо, в помещении с оборудованием электросвязи, в помещении с оборудованием кондиционирования воздуха и т. п. должны быть установлены огнетушители;

- в помещении с оборудованием электросвязи должно производиться необходимое кондиционирование воздуха;

- кондиционирование воздуха в помещении с оборудованием электросвязи, в котором располагаются важные устройства, должно осуществляться системой, отделенной от той, которая делает это в офисах и других помещениях. Это может быть необязательным, если приняты достаточные меры для должного кондиционирования воздуха в помещении с оборудованием электросвязи;

- в управляемом центре данных информ