тематичні розділи

теми

Захист фізичної безпеки

Захист фізичних активів

Останнє оновлення: липень 2022 року

Важливою складовою інформаційної безпеки є фізична безпека ваших пристроїв. Окрім пом’якшення наслідків викрадення пристрою за допомогою блокування екрану й паролю, впровадження повного шифрування диска та ввімкнення функцій віддаленого стирання, також слід подумати про те, як уберегти ці пристрої від викрадення. Щоб ускладнити крадіжку, обов’язково встановіть надійні замки (і міняйте їх, коли змінюється персонал) в офісі та/або вдома. Крім того, подумайте про придбання сейфа для ноутбука або шафи, що замикається, щоб захистити пристрої протягом ночі. Камери відеоспостереження стали набагато дешевшими, а прості версії, призначені для домашнього використання, стали широкодоступними. Такі камери або системи датчиків руху в приміщеннях можуть виявляти та, сподіваємося, запобігати фізичним проникненням і крадіжкам. Шукайте варіанти із захистом конфіденційності приватних даних, доступні у вашій країні, і обов’язково вибирайте камери, надані перевіреними компаніями, які не мають стимулів передавати дані й інформацію потенційному супротивнику.

Якщо ризик злому або рейдового нападу на офіс високий, зберігайте найбільш конфіденційні дані організації подалі від офісу, у безпечному хмарному сховищі (що розглядалося вище), або фізично перемістивши їх у маловідоме місце. Якщо на старих пристроях все ще зберігається інформація, але вони більше не використовуються, видаліть її. У цьому посібнику від Wirecutter детально розповідається про те, як це зробити на більшості сучасних пристроїв. Якщо стерти інформацію з ваших пристроїв неможливо, ви також можете їх фізично знищити. Найпростіший, хоч і не найкорисніший для екології, спосіб зробити це — розбити пристрої та їхні жорсткі диски молотком. Іноді найстаріші рішення все ще є найбільш дієвими!

Ще до виконання цих технічних кроків знайдіть час, щоб створити інвентарний перелік всього обладнання організації. Якщо у вас немає переліку всіх ваших пристроїв, важче відстежити, що могло бути втрачено, якщо один із них викрадуть.

Налаштування власної системи безпеки офісу

Якщо повна система безпеки офісу виходить за рамки бюджету вашої організації, і вас особливо турбує конфіденційність, ви можете спробувати креативний варіант, як-от Додаток Haven від Проєкту Guardian, щоб повідомити вас про можливе проникнення в офіс. Haven — це додаток для смартфонів, що може перетворити будь-який телефон Android на детектор руху, звуку, вібрації та світла. Ви можете встановити додаток на кількох дешевих пристроях Android у різних точках офісу, щоб сповіщати вас про несподіваних гостей і небажаних зловмисників і записувати їх. Додаток Haven також може бути корисним для встановлення в готельному номері чи квартирі, якщо ви належите до групи підвищеного ризику. Найкраще мати повну систему безпеки, але якщо вона недоступна і ви хочете дізнатися більше про те, як користуватися додаток Haven, відвідайте веб-сайт проекту.

Що нам робити з усіма цими паперами?

Ймовірно, у вашій організації є багато інформації, надрукованої на папері, записаної в блокнотах або нашкрябаної на листочках. Деякі з цих даних можуть бути дуже конфіденційними: роздруківки бюджетів, списки учасників, конфіденційні листи від донорів і нотатки з приватних зустрічей. Важливо також подумати про безпеку цієї інформації. Якщо вам конче потрібно зберегти друковані копії конфіденційної інформації, переконайтеся, що вона надійно зберігається в закритій шафі або в іншому безпечному місці. Не зберігайте конфіденційну чи секретну інформацію (зокрема паролі) на столі або записаною на дошці. Якщо ви вважаєте, що ваша організація піддається високому ризику злому або рейдерського нападу, зберігайте конфіденційну інформацію в маловідомому місці.

Наскільки це можливо, постарайтеся позбутися непотрібної друкованої інформації. Пам'ятайте: якщо у вас чогось немає, це неможливо вкрасти. Встановіть політику організації щодо права власності на паперові нотатки й обов’язково заберіть паперові нотатки від співробітників, якщо вони вирішать піти з організації або їх звільнять, так само, як ви забираєте комп’ютер або телефон, виданий організацією. Щоб позбутися секретних паперів, придбайте якісний шредер. Наприкінці тижня в якості розваги ви можете зробити 15-хвилинну перерву для співробітників, щоб подрібнити будь-які залишки, конфіденційні роздруківки чи нотатки за попередній тиждень.

Політика щодо офісу

Хоча для багатьох «офісні» реалії суттєво змінилися після початку пандемії COVID-19, для вашої організації все таки важливо встановити чітку політику щодо доступу до офісу. Така політика має відповідати на ключові питання, у тому числі кому дозволено входити в офіс (і коли), хто може отримати доступ і до яких ресурсів офісу (наприклад, мережі WiFi) і що мають право робити гості.

Просте, але важливе питання, на яке потрібно відповісти, — хто отримує ключ від офісу. Лише довірений персонал повинен мати ключі, а замки слід міняти, коли персонал звільняється, та/або на більш-менш регулярній основі. Протягом дня будь-які двері, які залишаються незамкненими, повинні постійно перебувати в полі зору людини, якій довіряють в організації. Також подумайте, чи має організація довірчі стосунки з вашим орендодавцем і прибиральником. Подумайте, до якої інформації чи пристроїв такі люди можуть мати доступ, і переконайтеся, що вони захищені, особливо якщо у вас немає таких довірчих стосунків. Незалежно від того, хто має доступ, завжди слід призначати когось, кому можна довіряти, щоб зачинити офіс і переконатися, що пристрої належним чином захищені перед тим, як персонал покине офіс наприкінці дня.

Чи дозволено гостям заходити в офіс? Якщо так, переконайтеся, що вони не мають доступу (або принаймні доступу без нагляду) до пристроїв або конфіденційних паперових даних. Якщо під час відвідування гості повинні мати доступ до інтернету, слід налаштувати «гостьову» мережу, щоб такі відвідувачі не мали можливості відстежувати ваш робочий трафік. Загалом доступ до мережі та мережевих пристроїв, наприклад принтерів, повинен мати лише довірений персонал. Також доцільно ввести обов’язкову реєстрацію гостей, щоб у вас був журнал відвідувань. 

Коли ви розробляєте політику щодо офісу, метою має бути надання доступу до конфіденційних пристроїв, документів, приміщень і систем лише довіреним людям.

Допоміжний персонал і волонтери

Загрози фізичній безпеці вашої організації також можуть вплинути на ваш персонал. Подібно до переслідувань у соціальних мережах, цих загроз фізичній безпеці часто найбільше зазнають жінки та маргіналізовані спільноти. Йдеться не лише про розбиті вікна та вкрадені ноутбуки. Залякування, погрози та випадки фізичного чи сексуального насильства, побутове насильство та страх нападу можуть мати серйозний негативний вплив на життя співробітників. Для організацій, які працюють із політично активними жінками або підтримують їх Інструмент планування безпеки

від NDI #Think10 є корисним ресурсом для тих, хто може зазнавати підвищеного особистого ризику внаслідок своєї діяльності.

Очевидно, що благополуччя співробітників є важливим активом для них як окремих осіб, але це також важливий елемент здорової та добре функціонуючої організації. З цією метою подумайте, які додаткові ресурси ви можете надати співробітникам, щоб захистити їх і, у разі фізичної чи цифрової атаки, допомогти їм повернутися до норми. Як згадувалося раніше в Довіднику, це означає, щонайменше, розробити перелік ресурсів, до яких ви можете направити персонал для отримання юридичної, медичної, психічної та технічної допомоги, за необхідності. Знову ж таки Практичний посібник щодо переслідування в інтернеті від PEN America містить ідеї щодо того, як організації можуть підтримувати персонал під час та після криз, а Комплексний посібник із безпеки від Tactical Tech містить необхідні відомості про те, як організації зазвичай реагують у часи серйозної загрози.

Безпечне бронювання подорожей для вашої організації

Складаючи політику щодо подорожів, зазначте, яка інформація може бути розкрита під час планування або бронювання подорожі. Це може бути особливо важливо, якщо ви організовуєте великі заходи, тренінги чи конференції, для яких ви обробляєте конфіденційну інформацію від різних співробітників, партнерів або відвідувачів. Книга завдань організаторів від Tactical Tech містить чудовий робочий аркуш, який допоможе вашій організації продумати ключові питання, пов’язані з безпекою подорожів, посилання тут.

Безпека під час подорожі

Подорожі – до іншої країни чи до сусіднього міста – часто посилюють ризики фізичної інформаційної безпеки. Загалом можна з упевненістю припустити, що для вас і ваших пристроїв не має прав на конфіденційність під час перетину кордону. Таким чином, було б гарною ідеєю включити організаційну політику щодо подорожей у ваш план безпеки, що містить нагадування про основні найкращі методи безпеки. 

Політика вашої організації щодо подорожей має включати багато інформації, описаної в інших розділах Довідника, включно з безпечним використанням інтернету, зберіганням пристроїв та інших джерел інформації у фізичній безпеці та тримання їх при собі під час подорожі. Якщо можливо, залиште конфіденційну інформацію та скористайтеся свіжим, начисто стертим диском комп’ютеру, й отримайте доступ до файлів, які вам абсолютно потрібні, із хмарного сховища, а потім зітріть їх, повернувшись додому.

На додаток до підготовки до подорожі та мінімізації даних, що передаються під час подорожі, є кілька важливих операційних рекомендацій, які ви повинні продумати та включити до політики щодо подорожей своєї організації.

Подумайте про те, щоб використовувати для подорожів ноутбуки або телефони, на яких майже немає конфіденційних даних. Якщо більшість роботи вашої організації виконується в хмарному середовищі, відносно недорогий Chromebook може стати хорошим варіантом такого пристрою. Після повернення до заводських налаштувань або «стирання даних» ці пристрої готові до підключення до звичайних мереж WiFi вдома чи в офісі.

Підготуйте персонал до того, що робити, якщо його допитають представники влади або зупинять під час перетину кордону. Подумайте, як можна обмежити кількість інформації, з якою співробітник подорожує, якщо це важливо, і створіть протоколи повідомлення про стан справ для персоналу, який подорожує до ризикових регіонів. Надайте співробітникам контактну інформацію та план дій щодо того, що вони повинні робити, якщо під час поїздки щось піде не так. Це включає інформацію про місцеві лікарні, клініки й аптеки, якщо їм знадобиться медична допомога під час подорожі.

Співробітники також повинні тримати всі пристрої при собі під час подорожі. Наприклад, тримайте ноутбук біля ніг (а не у відділенні над головою чи в зареєстрованому багажі), коли ви знаходитеся в автобусі, поїзді чи літаку. Не вважайте, що готельний номер або навіть готельний сейф є «безпечним місцем» для зберігання конфіденційних пристроїв і предметів. І не довіряйте загальнодоступним зарядним портам USB. USB-порти для зарядки в аеропортах, на вокзалах і у транспортних засобах стають все більш поширеним явищем і дуже зручним способом живлення пристроїв. Однак вони можуть бути також засобами перенесення шкідливих програм. Тому обов’язково заряджайте пристрої традиційним способом через розетку або купуйте блокувальник даних USB, щоб персонал, який подорожує, міг безпечно заряджати пристрої через USB.

Захист вашої фізичної безпеки

  • Нагадайте персоналу про необхідність постійного фізичного захисту пристроїв.
  • Перевірте та захистіть усі шляхи, якими люди можуть проникнути у ваше приміщення – двері та вікна.
  • Розробіть політику для гостей і доступу до офісу.
  • Використовуйте надійні замки та міняйте їх, за необхідності.
  • Розгляньте можливість встановлення камери чи іншої системи безпеки офісу.
  • Встановіть і використовуйте подрібнювач паперу.
    • Виділіть певний час персоналу для утилізації паперових документів, що містять конфіденційну інформацію.
  • Розробіть список місцевих спеціалістів, організацій і правоохоронних органів, з якими ви можете зв’язати своїх співробітників для надання юридичної, медичної та психічної допомоги після фізичних нападів і погроз.
  • Розробіть організаційну політику щодо подорожей.
  • Переконайтесь, що співробітники знають, що робити в екстрених випадках під час подорожі. Зокрема підготуйте персонал до того, що робити в разі затримання на кордоні чи контрольно-пропускному пункті.
  • Перед будь-якими місцевими, національними чи міжнародними поїздками нагадайте персоналу обмежити інформацію, що зберігається на пристроях.
  • Пам’ятайте про додаткові дані, які створюються та передаються під час організації подорожей або заходів.