Sécurité physique


Protection de l'environnement physique est un défi, mais les normes sont créées pour aider à cet effort. ISACA cadre COBIT couvre les domaines de la sélection du site, la sécurité physique, contrôle d'accès physique, la protection contre les facteurs environnementaux et la bonne gestion d'une usine. Cet objectif sera de fournir une liste d'articles que vous devriez considérer lorsque vous exécutez un environnement de test à un emplacement physique. Ne oubliez pas, vous devez être préoccupé par les problèmes qui existent en dehors du centre de données.

La belle photo de centre de données est de jaxmac de Flickr.com.




Normes et matériaux de référence

  • DCID 6/9 de sécurité physique
    Directeur de la sécurité physique directives Central Intelligence. Il comprend une liste de contrôle.
  • ISACA COBIT 4.1
    COBIT contribue à combler les écarts entre les besoins de l'entreprise, les besoins de contrôle et de problèmes techniques. Ce est un modèle de contrôle pour répondre aux besoins du gouvernement et se assurer de l'intégrité des systèmes d'information et d'informations. DS12 section couvre la physique
  • ISO 17799 et 27002
    problèmes de sécurité informatique sont abordées dans la norme ISO 17799 qui a été récemment rebaptisé 27002 à respecter leurs conventions de nommage. Malheureusement, il semble que cette norme ne est pas mis à disposition gratuitement.
  • Vitrine
    Ressources de sécurité physiques Liens
  • Liste de contrôle de la sécurité physique USDA
    Apprenez comment audit détaillé USDA obtient!

Emplacement, emplacement, emplacement - Sélection du site physique

Ce est une bonne idée de connaître les risques qui existent en raison de l'endroit où il ya un bâtiment et de ses environs. Activités à proximité de sociétés peuvent affecter vos opérations?

Utilisez Google Earth ou une inspection pour savoir.

  • Où sont les lignes de faille plus près? Les tremblements de terre sont jamais frappé le site?
  • La position dans une zone inondable. Qu'en est-il de la zone inondable de 100 ans.
  • Qu'en est-il la fréquence de mauvais temps? Tornades possibles, la foudre ou des ouragans fréquents?
  • Autres activités locales peuvent affecter les opérations, par exemple, un stade à proximité pourrait affecter votre voiture.

    Pourrait un accident dans une de ces sociétés provoquer l'évacuation de votre entreprise?

  • Ne oubliez pas un seul endroit est un point unique de défaillance. Constituent des ressources essentielles de sauvegarde dans un emplacement séparé qui ne serait pas frappé géographique si une grosse catastrophe se est produite sur le site principal?
  • Dans quelle mesure est la position des services d'urgence (pompiers, hôpital, police)?

Accès physique - Qui peut obtenir et comment? Comment savez-vous? Vous pouvez l'essayer.

Le premier endroit à commencer par la sécurité physique est de voir qui peut obtenir l'accès au bâtiment et il le fait en effectuant une inspection.

L'accès à la/des données contrôlée du bâtiment?

  • A le contrôle d'accès offre une capacité de suivi (verrouillage PIN, cartes à puce, biométrie) l'accès?
  • La commande peut être contournée, par exemple, une personne entre dans le code d'une deuxième personne qui suit la première personne à l'intérieur?
  • Toutes les entrées sont commandées par le même mécanisme? Quelles méthodes pourraient être utilisées pour contourner ce dispositif?
  • Si l'accès Master Key existe, le client sait que tout le monde a accès à la clé?
  • La surveillance vidéo est en place? Pas de clé maître surveillance vidéo, l'accès ne sera pas enregistré. Nous devons savoir qui a eu accès à la propriété se ils seront recueillies preuves médico-légales. Toutes les entrées sont contrôlées par vidéo? Les clés peuvent fournir un moyen d'éviter la surveillance vidéo, si tous les points d'accès ne sont pas surveillées.
  • L'accès des visiteurs enregistré? Les stocks sont nécessaires pour l'accès par les visiteurs et l'entretien?
  • Et «tous les accès à l'information contrôlée par un groupe extérieur pour les personnes qui accèdent au centre de données? La séparation des tâches est un concept clé de la sécurité.
  • Les citoyens étrangers et le personnel? Vérifications des antécédents vastes sont effectuées sur ces employés? Savoir qui a un accès physique est souvent nécessaire pour les marchés publics.
  • Il ya des fenêtres dans le centre de données qui sont accessibles à partir des zones non contrôlées? Ce est le verre de sécurité utilisé pour les fenêtres? Les poignées sont à portée de main si une fenêtre est compromise? Sont des fenêtres (stores, rideaux, etc.) couverts? Découvrez ce qui est matériel. fenêtre de Surf.
  • Un intrus peut accéder au centre de données de sous le plancher? Un intrus peut accéder au centre de données du plafond? Il ya des lacunes sous la porte. Un article DarkReading noter que tube en cuivre, 1/4 de pouce peut être moulé pour se adapter sous une porte et utilisé pour déplacer la poignée de l'intérieur.
  • Charnières sont interne ou externe au centre de données? Peut être coché les charnières et la porte enlevés?
  • Le centre de données d'une installation partagée? Armoires de verrouillage sont utilisés? Le fournisseur de journal de tous les centre d'accès?
  • Comment est hors heures d'accès physique et a suivi l'évolution de sa sécurité de l'Etat pendant la journée?

Équipement - Inventaire et configuration

Savez-vous où votre matériel est? Les ressources matérielles sont contrôlés par un système de surveillance des stocks? dispositifs de médias sont activés sur le serveur qui pourrait permettre à des données à prendre?

  • Des processus sont en place pour contrôler l'ajout et la suppression de l'équipement? La gestion des stocks est cruciale.
  • Systèmes ne contiennent pas de ports (USB, Firewire) ou des dispositifs qui peuvent être utilisés pour les médias créés (USB, DVD/RW) et le transfert de données?
  • Les lecteurs sont effacés avant que l'équipement est retiré? Ce est le même processus utilisé en cas de panne et doit être remplacé auprès de fournisseurs?
  • Le matériau a été mis en place sur le site et dans une position à l'extérieur? Les sauvegardes sont chiffrées? Les sauvegardes sont transportés hors site sécurisé? Accès aux supports de sauvegarde surveillée?

Problèmes de l'environnement

  • Humidité et les contrôles de température sont en place? Ce est un système de basculement en place? Sont utilisés des détecteurs de fumée? Sont sur le plafond? Sont sous le plancher?
  • Si le système de suppression est un système d'irrigation, sont des feuilles de plastique à l'intérieur du centre qui pourraient être utilisés pour protéger les équipements si quelqu'un était au centre des données lorsque le système déclenché?
  • Il ya des extincteurs? Sont du type approprié? Sont-ils expirent? Extincteur Position indicateurs (signes) sont visibles?
  • Quel est le volume de carburant dans le centre de données? Si un incendie a commencé en ces matières peuvent aggraver la situation. Vous avez peut-être pas un feu de contrôle résultant dans un ordre d'arrêt du centre de données ou d'un bâtiment?
  • Sont des capteurs d'eau un poste de garde de l'inondation de niveaux d'eau élevés ou des unités HVAC hyperactive?
  • UPS sont utilisés? Combien de temps peut apporter un soutien? Ils comprennent des alarmes pour quand la batterie tombe en panne? Combien de fois le système est testé et les données sont enregistrées?
  • Il ya des générateurs de secours? Combien de temps vous générateurs peuvent apporter un soutien? Les générateurs sont dans une cage? Il ya eu une série de vols liés à des criminels qui volent le cuivre et d'autres métaux précieux.
  • Il ya d'autres façons de quelqu'un pour enlever les dispositifs critiques de puissance (boîtes de commutation, etc.) qui peuvent être en dehors du centre de données?
  • Ce est la parole de centre de données d'un assez haut?
  • Est-systèmes de gestion de câbles utilisés dans le rack et sous le plancher.

La chose la plus importante à retenir

Les employés sont un atout majeur, garder vos données de centres de sécurité.

Sécurité - Les employés sont un atout important de l'entreprise.

Ce pourrait être la fermeture de l'usine pour non-respect de la santé et de la sécurité?

  • Ce est un système de gestion des câbles et fils sont pendait ou courir sur le plancher?
  • Dispose d'un éclairage d'urgence existe dans le cas de perte de puissance?
  • Les sorties sont clairement et correctement marqués?
  • Quitte libres de toute obstruction? Notez les combustibles question ci-dessus.
  • Quel est le niveau de bruit dans le centre de données? Si elle dépasse la norme OSHA 1910,95, les signaux sont envoyés aux entrées?
  • A les commutateurs coupées du centre d'urgence disponibles? Il ya commutateurs toutes les sorties? Ils sont clairement marqués et le type qui empêche accidentelle tombé?

Facilities Management - Cobit 4.1 nous rappelle de ce problème.

La gestion est critique parce que nous pouvons prévenir les interruptions en cochant activités sur place.

  1. Gérer les services CVC/AC. Savent quand ils vont venir, le suivi de leurs visites et de veiller à l'entretien préventif est à jour.
  2. Tous les travaux de construction doit être planifiée, enregistrées et contrôlées.
  3. Tous les accès du fournisseur devrait être contrôlée et planifiée.
  4. Le leadership exige la sécurité des employés et de la formation en matière de sécurité?

considérations externes

Si vous avez déjà un centre de données est nécessaire de considérer les influences externes, dont certains que vous pouvez contrôler.

  • Ce est le centre de données la construction anonyme? Il ya des signes que le centre de données est sur le site? Considérez si l'anonymat renforce la sécurité du centre de données.
  • Ce est le bâtiment partagé avec d'autres entreprises? Comment gérez-vous bien les risques?
  • Quelle est la distance du centre de données par les services d'urgence? Ce est le bâtiment facilement accessible? en ce qui concerne le centre de données?
  • Quel est le taux de criminalité dans tout l'emplacement du centre de données?
  • Il ya un éclairage extérieur adéquat et la surveillance pour prévenir le crime?

Autres préoccupations

  • Ce est une assurance en place pour couvrir les pertes d'équipement? La politique exige des contrôles environnementaux ci-dessus?
  • Ce est une liste d'appel du personel qui doivent répondre aux problèmes de sécurité physique maintenue?

Prévention ingénierie sociale - protéger les renseignements

Assurez-vous que vous avez les contrôles en place pour prévenir des attaques d'ingénierie sociale.

  • Déchiquetez les documents sur place ou à louer pour ce service.
  • Ne pas publier des annuaires téléphoniques pour votre site Web qui est à la disposition du public.
  • Sachez que lorsque vous publiez des possibilités d'emploi, il est plus susceptible de révéler des informations sur les technologies utilisées par la société en énumérant les compétences requises pour un poste.

Ressources de sécurité physique sur Amazon

Les changements dans le paysage des menaces - les temps changent

Les nouvelles activités sont en cours qui pourrait nécessiter des contrôles supplémentaires si le risque est considéré comme valide.

  • Vol à main armée Data Center
    Les voleurs se faisant passer pour des agents de police ont volé plus de 4 millions de dollars en équipement d'un centre de données de Verizon Business au nord de Londres (Data Center Knowledge).
  • Vol US Armed
    Dans l'incident le plus récent, "au moins deux intrus masqués sont entrés dans la suite après la coupe dans les murs renforcés avec une scie électrique", selon une lettre de fonctionnaires envoyés aux clients de Host CI. "Pendant le vol, gestionnaire de nuit du CI Host était la répétition
  • voleurs de cuivre
    Je suis votre CVC et générateurs extérieur de la cage et surveillés?

Permettez-moi de savoir si quelque chose d'autre doit être ajoutée.

(0)
(0)

Commentaires - 0

Sans commentaires

Ajouter un commentaire

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caractères restants: 3000
captcha