Физическая информационная безопасность

Общая основа физической и информационной безопасности

Физическая информационная безопасность является пересечением или общей основой между физической безопасностью и информационной безопасностью . Она в первую очередь касается защиты материальных информационных активов, таких как компьютерные системы и носители информации, от физических угроз реального мира, таких как несанкционированный физический доступ, кража, пожар и наводнение. Обычно она включает в себя физические средства контроля, такие как защитные барьеры и замки, источники бесперебойного питания и измельчители. Средства контроля информационной безопасности в физическом домене дополняют средства в логическом домене (например, шифрование), а также процедурные или административные средства контроля (например, осведомленность об информационной безопасности и соответствие политикам и законам).

Фон

Активы по своей сути ценны, но при этом уязвимы для самых разных угроз, как злонамеренных (например, кража, поджог), так и случайных/естественных (например, потеря имущества, лесной пожар). Если угрозы материализуются и используют эти уязвимости, вызывая инциденты, то, скорее всего, возникнут неблагоприятные последствия для организаций или лиц, которые законно владеют и используют активы, от незначительных до разрушительных по своему эффекту. Средства контроля безопасности предназначены для снижения вероятности или частоты возникновения и/или серьезности последствий, возникающих в результате инцидентов, тем самым защищая стоимость активов.

Физическая безопасность подразумевает использование таких средств контроля, как детекторы дыма, пожарная сигнализация и огнетушители, а также соответствующих законов, правил, политик и процедур, касающихся их использования. Такие барьеры, как заборы, стены и двери, являются очевидными средствами контроля физической безопасности, предназначенными для сдерживания или предотвращения несанкционированного физического доступа в контролируемую зону, например, в дом или офис. Рвы и зубчатые стены средневековых замков являются классическими примерами средств контроля физического доступа, как и банковские хранилища и сейфы.

Средства контроля информационной безопасности защищают ценность информационных активов, в частности, самой информации (т. е. нематериального информационного содержания, данных, интеллектуальной собственности, знаний и т. д.), а также компьютерного и телекоммуникационного оборудования, носителей информации (включая документы и цифровые носители), кабелей и других материальных активов, связанных с информацией (например, блоков питания компьютеров). Корпоративная мантра «Наши люди — наши самые большие активы» буквально верна в том смысле, что так называемые работники умственного труда считаются чрезвычайно ценными, возможно, незаменимыми информационными активами. Поэтому меры по охране труда и технике безопасности и даже медицинская практика также могут быть классифицированы как физические средства контроля информационной безопасности, поскольку они защищают людей от травм, болезней и смерти. Эта точка зрения иллюстрирует повсеместность и ценность информации. Современное человеческое общество в значительной степени зависит от информации, а информация имеет важность и ценность на более глубоком, более фундаментальном уровне. В принципе, субклеточные биохимические механизмы, которые поддерживают точность репликации ДНК, могут быть даже классифицированы как жизненно важные средства контроля информационной безопасности, учитывая, что гены — это «информация жизни».

Злонамеренные субъекты, которые могут извлечь выгоду из физического доступа к информационным активам, включают компьютерных взломщиков , корпоративных шпионов и мошенников. Ценность информационных активов очевидна в случае, скажем, украденных ноутбуков или серверов, которые можно продать за наличные, но содержание информации часто гораздо более ценно, например, ключи шифрования или пароли (используемые для получения доступа к другим системам и информации), коммерческие тайны и другая интеллектуальная собственность (по своей сути ценные или ценные из-за коммерческих преимуществ, которые они предоставляют), а также номера кредитных карт (используемые для совершения мошенничества с персональными данными и дальнейшей кражи). Кроме того, потеря, кража или повреждение компьютерных систем, а также перебои в подаче питания, механические/электронные сбои и другие физические инциденты не позволяют использовать их, что обычно приводит к сбоям и косвенным расходам или убыткам. Несанкционированное раскрытие конфиденциальной информации и даже принудительная угроза такого раскрытия могут нанести ущерб, как мы видели во взломе Sony Pictures Entertainment в конце 2014 года и в многочисленных инцидентах нарушения конфиденциальности. Даже при отсутствии доказательств того, что раскрытая личная информация фактически была использована, сам факт того, что она больше не защищена и не находится под контролем ее законных владельцев, сам по себе является потенциально вредным воздействием на конфиденциальность. Значительных штрафов, негативного публичного/репутационного ущерба и других штрафов за несоблюдение и последствий, вытекающих из серьезных нарушений конфиденциальности, лучше избегать, независимо от причины!

Примеры физических атак с целью получения информации

Существует несколько способов получения информации посредством физических атак или эксплуатации. Несколько примеров описаны ниже.

Дайвинг в мусорном контейнере

Поиск в мусорном контейнере — это практика поиска в мусоре в надежде найти что-то ценное, например, информацию, небрежно выброшенную на бумаге, компьютерных дисках или другом оборудовании.

Открытый доступ

Иногда злоумышленники просто входят в здание и забирают необходимую им информацию. ^[1] Часто при использовании этой стратегии злоумышленник маскируется под кого-то, кто находится в данной ситуации. Он может выдать себя за сотрудника копировального центра, забрать документ с чьего-то стола, скопировать документ, заменить оригинал и уйти с скопированным документом. Лица, притворяющиеся работниками службы технического обслуживания здания, могут получить доступ к другим закрытым пространствам. ^[2]^[3] Они могут выйти из здания с мусорным мешком, содержащим конфиденциальные документы, неся портативные устройства или носители информации, которые были оставлены на столах, или, возможно, просто запомнив пароль на стикере, приклеенном к экрану чьего-то компьютера, или окликнуть коллегу через открытый офис.

Примеры физического контроля безопасности информации

Измельчение бумажных документов перед их утилизацией может предотвратить непреднамеренную утечку информации . Цифровые данные могут быть зашифрованы или надежно стерты .

Офисы могут потребовать от посетителей предъявить действительные удостоверения личности или действительные ключи доступа. Офисным работникам может потребоваться соблюдать политику «чистого стола», защищая документы и другие носители информации (включая портативные ИТ-устройства), убирая их с глаз долой (например, в запертые ящики, картотечные шкафы, сейфы или банковское хранилище ). Работникам может потребоваться запомнить свои пароли или использовать менеджер паролей вместо того, чтобы записывать пароли на бумаге.

Компьютеры уязвимы к отключениям питания, случайным отключениям, разряженным батареям, провалам напряжения, скачкам напряжения, электрическим помехам и сбоям в работе электроники. Физические средства контроля информационной безопасности для устранения связанных рисков включают: предохранители, бесперебойные источники питания с резервным питанием от батарей, электрогенераторы, резервные источники питания и кабели, предупреждающие знаки «Не снимать» на вилках, сетевые фильтры, мониторинг качества электроэнергии, запасные батареи, профессиональное проектирование и монтаж цепей питания, а также регулярные проверки/испытания и профилактическое обслуживание .

Смотрите также

Ссылки

^ Granger, Sarah (2001-12-18). "Основы социальной инженерии, часть I: Тактика хакеров". Security Focus . Получено 27-08-2006 .
^ «Четверо мужчин арестованы за проникновение на государственную собственность под ложным предлогом с целью совершения тяжкого преступления». Министерство юстиции США (пресс-релиз). ФБР — отделение в Новом Орлеане. 26 января 2010 г. Получено 3 октября 2010 г.
^ "Четверо мужчин признали себя виновными во проникновении на территорию федеральной собственности под ложным предлогом. Ворвались в офис сенатора Мэри Лэндриу, чтобы тайно записывать разговоры сотрудников офиса". Пресс-релиз Министерства юстиции . ФБР - Новоорлеанское отделение. 26 мая 2010 г. Архивировано из оригинала 31 мая 2010 г. Получено 3 октября 2010 г.

Внешние ссылки

Основы социальной инженерии

[1] Granger, Sarah (2001-12-18). "Основы социальной инженерии, часть I: Тактика хакеров". Security Focus . Получено 27-08-2006 .

[four_men-2] «Четверо мужчин арестованы за проникновение на государственную собственность под ложным предлогом с целью совершения тяжкого преступления». Министерство юстиции США (пресс-релиз). ФБР — отделение в Новом Орлеане. 26 января 2010 г. Получено 3 октября 2010 г.

[The_FBI_-_New_Orleans_Division-3] "Четверо мужчин признали себя виновными во проникновении на территорию федеральной собственности под ложным предлогом. Ворвались в офис сенатора Мэри Лэндриу, чтобы тайно записывать разговоры сотрудников офиса". Пресс-релиз Министерства юстиции . ФБР - Новоорлеанское отделение. 26 мая 2010 г. Архивировано из оригинала 31 мая 2010 г. Получено 3 октября 2010 г.