Тематические разделы

темы

Защита физической безопасности

Защита физических активов

Последнее обновление: июль 2022 г.

Физическая безопасность устройств является неотъемлемой составляющей информационной безопасности. Помимо смягчения последствий в случае кражи устройства за счет блокировки экрана и паролей, полного шифрования диска и функции удаленной очистки, прежде всего стоит подумать о том, как предотвратить кражу устройств. Чтобы затруднить кражу устройств, обязательно установите в офисе и/или дома надежные замки (и меняйте их при смене сотрудников). Кроме того, рассмотрите возможность покупки сейфа или запираемого шкафа для ноутбуков, чтобы обеспечить защиту устройств на ночь. Камеры видеонаблюдения существенно подешевели, а простые версии, предназначенные для домашнего использования, стали более общедоступными. Подобные системы камер или датчиков движения, установленные в помещениях, могут обнаруживать и, надеемся, предотвращать физические взломы и кражи. Изучите доступные в вашей стране варианты, обеспечивающие конфиденциальность обязательно выбирайте камеры, поставляемые надежными компаниями, у которых нет стимула передавать данные и информацию потенциальному противнику.

Если риск взлома или обысков в офисе высок, держите наиболее конфиденциальные данные организации в другом месте: либо храните их в облаке (как обсуждалось ранее), либо физически перемещайте в менее уязвимое место. Если на старых устройствах хранится информация, которая больше не используется, подумайте об их очистке – в данном руководстве от Wirecutter детально описан процесс очистки для большинства современных устройств. Если очистка устройств невозможна, их можно уничтожить физически. Самый простой, хотя и не самый экологичный, способ сделать это – разбить устройства и их жесткие диски молотком. Иногда самые старые решения являются наилучшими!

Еще до перехода к указанным техническим процедурам выделите время на создание инвентарного списка всего оборудования в организации. Не имея списка всех устройств, сложнее отследить, что пропало в случае кражи одного из них.

Установка собственной системы безопасности офиса

Если комплексная система безопасности офиса не вписывается в бюджет вашей организации, а вас особенно беспокоит конфиденциальность, попробуйте подойти к решению вопроса творчески, к примеру, воспользуйтесь приложением Guardian проекта Haven, которое уведомляет о потенциальном вторжении в офис. Haven – это приложение для смартфонов, которое может превратить любой телефон Android в датчик движения, звука, вибрации и света. Приложение можно установить на несколько дешевых устройств Android, разместив их в разных точках офиса, чтобы они присылали вам уведомления и фиксировали нежданных посетителей и нежелательных нарушителей. Приложение Haven также может принести пользу в гостиничном номере или квартире, если вы подвергаетесь повышенному риску. Комплексная система безопасности является оптимальным вариантом, но если она не вписывается в бюджет, а вы хотите больше узнать о приложении Haven, перейдите на веб-сайт проекта.

Что нам делать со всей этой бумагой?

Вполне вероятно, что в вашей организации немало информации напечатано на бумаге, записано в блокнотах или нацарапано на стикерах. Часть этой информации может быть особо конфиденциальной: распечатки бюджетов, списки участников, конфиденциальные письма от спонсоров и записи с частных встреч. Необходимо подумать о безопасности и этой информации. Если вам необходимы печатные копии конфиденциальных документов, убедитесь, что они надежно хранятся в запираемом шкафу или другом безопасном месте. Никогда не храните личную или конфиденциальную информацию (включая пароли) на рабочем столе или на маркерной доске. Если вы полагаете, что ваша организация может пострадать от взлома или обысков, храните конфиденциальную информацию в менее уязвимом месте.

По мере возможности постарайтесь избавиться от ненужной информации в бумажном виде. Помните: невозможно украсть то, чего нет. Установите правило организации в отношении владения распечатанными заметками и обязательно забирайте все бумажные заметки у сотрудников, если они решат уйти или будут уволены из организации, точно так же, как если бы вы забрали корпоративный компьютер или телефон. Приобретите качественный шредер для уничтожения конфиденциальных бумажных документов. В конце недели можно устраивать с сотрудниками веселый 15-минутный перерыв и измельчать шредером оставшиеся с предыдущей недели конфиденциальные распечатки или заметки.

Офисная политика

Хотя «офисные» реалии для многих значительно изменились с началом пандемии COVID-19, по-прежнему важно установить четкую политику доступа в офис организации. Такая политика должна отвечать на ключевые вопросы, в том числе кому разрешено находиться в офисе (и когда), кто может получать доступ к каким офисным ресурсам (например, к сети Wi-Fi) и как быть с посетителями.

Простой, но важный вопрос, на который нужно ответить: у кого будут ключи от офиса. Ключи должны быть только у надежных сотрудников, а замки следует менять при увольнении сотрудников и/или на полурегулярной основе. В течение дня все незапертые двери должны постоянно находиться в поле зрения кого-то из проверенных сотрудников организации. Также подумайте, насколько доверительные отношения у организации с вашим арендодателем или клининговым персоналом. Подумайте о том, к какой информации или устройствам могут иметь доступ такие люди, и обеспечьте защиту этих устройств, особенно при отсутствии доверительных отношений. Кто бы ни имел доступ, всегда должно быть доверенное лицо, которое запирает офис и проверяет, что устройства должным образом защищены, прежде чем уйти в конце дня.

Могут ли в офисе находиться посетители? Если да, убедитесь, что у них нет доступа (по крайней мере свободного) к устройствам или конфиденциальным документам на бумажных носителях. Если требуется или предполагается, что у посетителей должен быть доступ к Интернету в офисе, следует настроить «гостевую» сеть, чтобы у них не было возможности отслеживать ваш обычный трафик. Вообще-то только у доверенных сотрудников должен быть доступ к сети и сетевым устройствам, таким как принтеры. Также обычно рекомендуется ввести систему регистрации посетителей, чтобы иметь журнал посещений. 

Цель разработки офисной правила должна состоять в том, чтобы доступ к конфиденциальным устройствам, документам, пространствам и системам был ограничен исключительно доверенными лицами.

Поддержка сотрудников и волонтеров

Угрозы физической безопасности вашей организации могут повлиять и на сотрудников. Как и преследованиям в социальных сетях, угрозам физической безопасности, как правило, чаще подвергаются женщины и маргинализированные группы населения. И речь не только о разбитых окнах и украденных ноутбуках. Запугивание, угрозы и совершение физического или сексуального насилия, домашнее насилие и боязнь нападения могут оказать серьезное негативное влияние на жизнь сотрудников. Для организаций, которые сотрудничают с политически активными женщинами или поддерживают их, полезным ресурсом станет Инструмент планирования безопасности под названием #Думай10, разработанный NDI для защиты тех, кто может подвергаться повышенному личному риску из-за своей деятельности.

Благополучие сотрудников, безусловно, является важным активом для них как личностей, но оно также является важнейшим элементом здоровой и хорошо функционирующей организации. Поэтому подумайте, какие дополнительные ресурсы вы можете предоставить сотрудникам, чтобы обеспечить их защиту и помочь восстановиться в случае физического нападения или цифровой атаки. Как уже упоминалось в настоящем Пособии, это означает как минимум составление списка ресурсов, к которым сотрудники смогут в случае необходимости обратиться за юридической, медицинской, психиатрической и технической помощью. Еще раз: в «Полевом руководстве по борьбе с онлайн-преследованиями» от PEN America изложены идеи о том, каким образом организации могут поддерживать сотрудников во время и после критических ситуаций, а в «Комплексном руководстве по безопасности» от Tactical Tech содержится релевантный контент о типичных реакциях организаций на серьезные угрозы.

безопасное бронирование поездок для организации

Составляя политику в отношении поездок, следует помнить, какая информация подлежит раскрытию при организации или бронировании поездки. Это может быть особенно важно при организации крупных мероприятий, тренингов или конференций, в процессе подготовки которых приходится обрабатывать конфиденциальную информацию от различных сотрудников, партнеров или участников. Тщательно продумайте, каким образом будете безопасно обмениваться и хранить (при необходимости) личную информацию, такую как паспортные данные, маршруты поездок и медицинские записи. В «Рабочей тетради организатора» от Tactical Tech есть отличный рабочий лист, с помощью которого вам будет проще продумать ключевые вопросы, связанные с безопасностью поездок, по этой ссылке.

Обеспечение безопасности во время поездок

Поездки – хоть в другую страну, хоть в соседний городок – зачастую увеличивают физические риски для информационной безопасности. Можно с уверенностью предположить, что на вас и ваши устройства не распространяется право на неприкосновенность при пересечении границ. Поэтому рекомендуется включить в план обеспечения безопасности политику организации в отношении поездок, включающую напоминания о ключевых передовых методах обеспечения безопасности. 

Политика вашей организации в отношении поездок должна включать большую часть информации, описанной в других разделах настоящего Пособия, в том числе принципы безопасной работы в Интернете, методы физической защиты устройств и прочих источников информации, а также напоминание всегда держать их при себе во время поездок. Рекомендуется по возможности не брать с собой носители с конфиденциальной информацией, а просто использовать новый, полностью очищенный компьютер и с него получать доступ к самым необходимым файлам в облаке, а по возвращении домой очистить его.

Помимо подготовки к поездке и минимизации данных, передаваемых во время поездки, существует ряд важных оперативных советов, которые рекомендуется проанализировать и включить в политику организации в отношении поездок.

Рассмотрите возможность выделить определенные ноутбуки или телефоны исключительно для поездок и старайтесь не использовать их для хранения конфиденциальных данных. Если большая часть работы вашей организации выполняется в облаке, то относительно недорогой Chromebook может оказаться подходящим вариантом. Выполняйте сброс до заводских настроек или полностью «очищайте» такие устройства после каждого возвращения, прежде чем подключиться к обычной сети Wi-Fi дома или в офисе.

Проведите инструктаж сотрудников касательно их действий в случае допроса представителями властей или остановки на границе. Подумайте, как ограничить объем информации на руках у командированного, если есть соответствующие опасения, и создайте протоколы регистрации для сотрудников, отправляющихся в уязвимые регионы. Предоставьте сотрудникам контактную информацию и план действий на случай возникновения непредвиденных ситуаций во время поездки. Сюда входит информация о местных больницах, клиниках или аптеках на случай, если им потребуется медицинская помощь во время поездки.

Кроме того, во время поездки сотрудники должны держать все устройства при себе. Например, в автобусе, поезде или самолете ставьте ноутбук у ног (а не кладите на верхнюю полку и не сдавайте в багаж). Не думайте, что гостиничный номер или даже гостиничный сейф – это безопасное место для хранения устройств и предметов, содержащих конфиденциальную информацию. И старайтесь не пользоваться общедоступными USB-портами для зарядки. USB-порты для зарядки в аэропортах, на вокзалах и в транспортных средствах становятся все более распространенным явлением. И это очень удобный способ зарядить устройства. Однако они могут служить вектором для вредоносных программ. Поэтому либо рекомендуйте заряжать устройства традиционным способом через розетку в стене, либо приобретите USB-блокировщики данных, чтобы сотрудники могли безопасно заряжать свои устройства через USB в поездках.

защита физической безопасности

  • Напоминайте сотрудникам о необходимости постоянной физической защиты устройств.
  • Проверьте и обезопасьте все возможные пути проникновения в ваше помещение – двери и окна.
  • Разработайте политику в отношении посетителей и политику доступа.
  • Используйте надежные замки и меняйте их по мере необходимости.
  • Рассмотрите возможность установки камер или другой системы безопасности в офиса.
  • Приобретите и используйте шредер.
    • Выделите время, когда сотрудники будут утилизировать документы, содержащие конфиденциальную информацию.
  • Составьте список местных специалистов, организаций и правоохранительных органов, к которым ваши сотрудники, подвергнувшиеся физическим нападениям или угрозам, смогут в случае необходимости обратиться за юридической, медицинской, психиатрической и технической помощью.
  • Разработайте политику организации в отношении поездок.
  • Убедитесь, что сотрудники знают, что делать при возникновении чрезвычайных ситуаций во время поездки, и объясните им алгоритм действий в случае остановки на границе или контрольно-пропускном пункте.
  • Перед всеми местными, национальными и международными поездками напоминайте сотрудникам о необходимости ограничить количество информации, хранящейся на устройствах.
  • Не забывайте о дополнительных данных, которые создаются и передаются при организации поездок или мероприятий.