Домен "Эксплуатация и сопровождение": процессы, отвечающие за управление данными, физической безопасностью и эксплуатацией систем

14.2. DS 12. Управление физической безопасностью и защитой от воздействия окружающей среды

Защита компьютерного оборудования и персонала требует хорошего планирования и организации физических объектов. Процесс управления физической средой включает в себя определение физических требований, выбор подходящих объектов, проектирование эффективных процессов мониторинга внешних факторов и управление физическим доступом. Эффективное управление физической безопасностью и защитой от воздействия окружающей среды сокращает перебои в работе организации, вызванные физическими угрозами, связанными с компьютерным оборудованием и персоналом (рис.14.3).

Рис. 14.3. Процесс "Управление физической безопасностью и защитой от воздействия окружающей среды"

Управление процессом

Управление физической безопасностью и защитой от воздействия окружающей среды. удовлетворяет следующим бизнес требованиям к ИТ

защита компьютерных активов и корпоративных данных и минимизация риска сбоев в работе организации.

сосредоточено на

обеспечении и поддержке подходящих физических условий для защиты ИТ-активов от несанкционированного доступа, ущерба или кражи.

достигается с помощью

• Внедрения показателей физической безопасности.
• Выбора и управления объектами (зданиями и сооружениями).

результаты оцениваются с помощью следующих показателей

• Количество простоев, вызванных инцидентами в физической среде.
• Число инцидентов, вызванных нарушениями требований физической безопасности или ошибками.
• Регулярность анализа и оценки физических рисков.

В таблице 14.5 представлена информация, необходимая для процесса и ее источники.

В таблице 14.6 приведены результаты процесса и то, куда они должны поступить.

Таблица 14.7 содержит таблицу ОУКИ для процесса, а таблица 14.8 – цели и показатели.

Цели контроля

• DS 12.1. Выбор места и проектирование

  Определить и выбрать помещения для размещения ИТ-оборудования, которое должно осуществлять поддержку технологической стратегии, связанной с корпоративной стратегией. Выбор и проектирование помещений должно учитывать риски, связанные с природными и антропогенными чрезвычайными ситуациями, при соблюдении соответствующего законодательства и регулирующих требований, в частности, по технике безопасности и охране здоровья.
• DS 12.2. Показатели физической безопасности

  Определить и внедрить показатели физической безопасности, соответствующие бизнес требованиям к безопасности места и физическим активам. Показатели физической безопасности должны быть применимы для оценки эффективного предотвращения, выявления и минимизации рисков, связанных с кражей, тепловым воздействием, пожаром, задымлением, затоплением, вибрацией, актами терроризма, вандализма, перебоями в подаче напряжения, воздействием химических или взрывчатых веществ.
• DS 12.3. Физический доступ

  Определить и реализовать на практике процедуры предоставления, ограничения и прекращение доступа в помещения, здания и территории в соответствии с бизнес потребностями, включая действия при чрезвычайных ситуациях. Доступ в помещения, здания и территории должен быть обоснован, разрешен, учтен и подвергнут проверке. Это относится ко всем лицам, входящим в помещения, включая персонал, временный персонал, клиентов, поставщиков, посетителей или любых других представителей третьей стороны.
• DS 12.4. Защита от факторов окружающей среды

  Спланировать и реализовать на практике меры по защите от факторов окружающей среды. Установить специализированное оборудование и устройства по мониторингу и контролю среды.
• DS 12.5. Управление физическими объектами

  Управлять объектами, включая энергетическое и коммуникационное оборудование, в соответствии с законодательством и регулирующими нормами, техническими и бизнес требованиями, спецификациями поставщиков, руководящими указаниями по технике безопасности и охране здоровья.

Даже если у Вас самое надежное оборудование в мире, если оно не обеспечено стабильной электроэнергией или должным охлаждением, оно будет работать плохо. Отсюда возникает необходимость в обеспечении защиты от факторов окружающей среды (температуры, влажности и даже огня). В рамках процесса необходимо рассмотреть следующие вопросы:

• физическое место для расположения оборудования. Места должно быть достаточно не только для имеющегося оборудования, но и для расширения в будущем;
• физическое место для сотрудников ИТ, которые занимаются сопровождением. Так как в данном случае дело касается людей, а не оборудования, окружающая обстановка должна быть комфортна в точки зрения человеческих потребностей. Например, комфортная температура и устранение шума от техники. Здесь также необходимо учитывать требования санитарных норм;
• электроэнергия. Электрообеспечение оборудования должно быть стабильным;
• система охлаждения;
• влажность. Необходимо соблюдать допустимые пределы влажности, чтобы оборудование не вышло из строя.

Второе задача процесса – обеспечение физической безопасности, то есть защита от несанкционированного доступа к оборудованию и данным. Для предотвращения:

• ограничение физического доступа. Например, сервера могут располагаться в выделенном помещении с электронными идентификаторами для входа;
• охрана;
• видеонаблюдение;
• и т.п.

Помимо этого в задачу обеспечения физической безопасности входит защита от естественных угроз:

• землетрясение: постарайтесь расположить дата-центр вдали от зон с сейсмической активностью;
• наводнение: постарайтесь не располагать дата-центр на первых этажах и в подвалах;
• пожар: используйте датчики дыма или температурные датчики для быстрого обнаружения угрозы. Сюда также входит разработка плана эвакуации, размещение пожаротушитилей в здании и т.п.
• утечка воды: утечка воды возможна от системы кондиционирования, помещений сверху (туалет или кухня). Старайтесь не располагать дата-центр вблизи от возможных источников воды;
• и т.п.