Опубликован: 12.11.2012 | Доступ: свободный | Студентов: 1829 / 318 | Длительность: 18:27:00
Лекция 14:

Домен "Эксплуатация и сопровождение": процессы, отвечающие за управление данными, физической безопасностью и эксплуатацией систем

< Лекция 13 || Лекция 14: 123 || Лекция 15 >

14.2. DS 12. Управление физической безопасностью и защитой от воздействия окружающей среды

Защита компьютерного оборудования и персонала требует хорошего планирования и организации физических объектов. Процесс управления физической средой включает в себя определение физических требований, выбор подходящих объектов, проектирование эффективных процессов мониторинга внешних факторов и управление физическим доступом. Эффективное управление физической безопасностью и защитой от воздействия окружающей среды сокращает перебои в работе организации, вызванные физическими угрозами, связанными с компьютерным оборудованием и персоналом (рис.14.3).

Процесс "Управление физической безопасностью и защитой от воздействия окружающей среды"

Рис. 14.3. Процесс "Управление физической безопасностью и защитой от воздействия окружающей среды"

Управление процессом

Управление физической безопасностью и защитой от воздействия окружающей среды. удовлетворяет следующим бизнес требованиям к ИТ

защита компьютерных активов и корпоративных данных и минимизация риска сбоев в работе организации.

сосредоточено на

обеспечении и поддержке подходящих физических условий для защиты ИТ-активов от несанкционированного доступа, ущерба или кражи.

достигается с помощью

  • Внедрения показателей физической безопасности.
  • Выбора и управления объектами (зданиями и сооружениями).

результаты оцениваются с помощью следующих показателей

  • Количество простоев, вызванных инцидентами в физической среде.
  • Число инцидентов, вызванных нарушениями требований физической безопасности или ошибками.
  • Регулярность анализа и оценки физических рисков.

В таблице 14.5 представлена информация, необходимая для процесса и ее источники.

Таблица 14.5.
Источник Входящая информация
PO 2 Утвержденная классификация данных
PO 9 Оценка рисков
AI 3 Требования по физическим условиям

В таблице 14.6 приведены результаты процесса и то, куда они должны поступить.

Таблица 14.6.
Результаты В процессы
Отчеты об эффективности процессов ME 1

Таблица 14.7 содержит таблицу ОУКИ для процесса, а таблица 14.8 – цели и показатели.

Таблица 14.7.
Действия\Функции Президент Финансовый директор Высшее руководство Директор по ИТ Владелец бизнес-процесса Руководитель эксплуатации системы Главный архитектор ИТ-системы Руководитель разработок Руководитель администрации ИТ Руководитель проектного офиса Аудит, риски, безопасность
Определить требуемый уровень физической защиты К У/О К К
Выбрать и утвердить помещения (центра обработки данных, офиса и т.д.) И К К К К У/О К К К К
Внедрить показатели оценки физической среды И У/О И И К
Управлять физической средой У/О К
Определить и внедрить процедуры авторизации и поддержки физического доступа К И У/О И И И К
Таблица 14.8.
Цели Показатели
ИТ:
  • убедиться в том, что ИТ-услуги и инфраструктура способны быть устойчивыми и восстанавливаться от сбоев, вызванными ошибками, преднамеренной атакой или чрезвычайной ситуацией
  • убедиться в том, что критичная и конфиденциальная информация защищена от тех, кто не имеет прав доступа к ней
  • обеспечить минимум последствий сбоя или изменения в ИТ-услугах для бизнеса
  • вести учет и осуществлять защиту всех ИТ-активов
  • количество простоев, вызванных инцидентами в физической среде
  • число случаев ущерба, причиненного физической средой
  • число нарушений в области безопасности, вызванных инцидентами в физической среде
Процесса:
  • обеспечить и поддерживать приемлемую физическую среду для ИТ-инфраструктуры и ресурсов
  • запретить физический доступ тем, кто в нем не нуждается
  • число инцидентов, вызванных нарушением физической безопасности и ошибками
  • число случаев неавторизованного доступа к компьютерным ресурсам
Действия:
  • внедрение показателей оценки физической безопасности
  • строгий отбор и управление объектами
  • регулярность тренингов персонала по вопросам техники безопасности
  • доля персонала, прошедшая тренинги по вопросам техники безопасности
  • регулярность анализа и оценки рисков, связанных с физической безопасностью и средой

Цели контроля

  • DS 12.1. Выбор места и проектирование

    Определить и выбрать помещения для размещения ИТ-оборудования, которое должно осуществлять поддержку технологической стратегии, связанной с корпоративной стратегией. Выбор и проектирование помещений должно учитывать риски, связанные с природными и антропогенными чрезвычайными ситуациями, при соблюдении соответствующего законодательства и регулирующих требований, в частности, по технике безопасности и охране здоровья.

  • DS 12.2. Показатели физической безопасности

    Определить и внедрить показатели физической безопасности, соответствующие бизнес требованиям к безопасности места и физическим активам. Показатели физической безопасности должны быть применимы для оценки эффективного предотвращения, выявления и минимизации рисков, связанных с кражей, тепловым воздействием, пожаром, задымлением, затоплением, вибрацией, актами терроризма, вандализма, перебоями в подаче напряжения, воздействием химических или взрывчатых веществ.

  • DS 12.3. Физический доступ

    Определить и реализовать на практике процедуры предоставления, ограничения и прекращение доступа в помещения, здания и территории в соответствии с бизнес потребностями, включая действия при чрезвычайных ситуациях. Доступ в помещения, здания и территории должен быть обоснован, разрешен, учтен и подвергнут проверке. Это относится ко всем лицам, входящим в помещения, включая персонал, временный персонал, клиентов, поставщиков, посетителей или любых других представителей третьей стороны.

  • DS 12.4. Защита от факторов окружающей среды

    Спланировать и реализовать на практике меры по защите от факторов окружающей среды. Установить специализированное оборудование и устройства по мониторингу и контролю среды.

  • DS 12.5. Управление физическими объектами

    Управлять объектами, включая энергетическое и коммуникационное оборудование, в соответствии с законодательством и регулирующими нормами, техническими и бизнес требованиями, спецификациями поставщиков, руководящими указаниями по технике безопасности и охране здоровья.

Даже если у Вас самое надежное оборудование в мире, если оно не обеспечено стабильной электроэнергией или должным охлаждением, оно будет работать плохо. Отсюда возникает необходимость в обеспечении защиты от факторов окружающей среды (температуры, влажности и даже огня). В рамках процесса необходимо рассмотреть следующие вопросы:

  • физическое место для расположения оборудования. Места должно быть достаточно не только для имеющегося оборудования, но и для расширения в будущем;
  • физическое место для сотрудников ИТ, которые занимаются сопровождением. Так как в данном случае дело касается людей, а не оборудования, окружающая обстановка должна быть комфортна в точки зрения человеческих потребностей. Например, комфортная температура и устранение шума от техники. Здесь также необходимо учитывать требования санитарных норм;
  • электроэнергия. Электрообеспечение оборудования должно быть стабильным;
  • система охлаждения;
  • влажность. Необходимо соблюдать допустимые пределы влажности, чтобы оборудование не вышло из строя.

Второе задача процесса – обеспечение физической безопасности, то есть защита от несанкционированного доступа к оборудованию и данным. Для предотвращения:

  • ограничение физического доступа. Например, сервера могут располагаться в выделенном помещении с электронными идентификаторами для входа;
  • охрана;
  • видеонаблюдение;
  • и т.п.

Помимо этого в задачу обеспечения физической безопасности входит защита от естественных угроз:

  • землетрясение: постарайтесь расположить дата-центр вдали от зон с сейсмической активностью;
  • наводнение: постарайтесь не располагать дата-центр на первых этажах и в подвалах;
  • пожар: используйте датчики дыма или температурные датчики для быстрого обнаружения угрозы. Сюда также входит разработка плана эвакуации, размещение пожаротушитилей в здании и т.п.
  • утечка воды: утечка воды возможна от системы кондиционирования, помещений сверху (туалет или кухня). Старайтесь не располагать дата-центр вблизи от возможных источников воды;
  • и т.п.
< Лекция 13 || Лекция 14: 123 || Лекция 15 >
Максим Цапко
Максим Цапко

Я наконец закончил курс "Управление ИТ-проектами". Как получить документ об окончании курса.

Дмитрий Лобанов
Дмитрий Лобанов

Управление ИТ на основе COBIT 4.1

: в перечне литературы, п.15 - отсутствует документ по ссылке https://www.rusonyx.ru/support/agreements/

Алексей Янов
Алексей Янов
Россия, Москва, МГТУ им Н.Э.Баумана, 2002
Сергей Уткин
Сергей Уткин
Россия