Физическая информационная безопасность

Физическая информационная безопасность — это пересечение или точка соприкосновения между физической безопасностью и информационной безопасностью . В первую очередь это касается защиты материальных информационных активов, таких как компьютерные системы и носители данных, от физических угроз реального мира, таких как несанкционированный физический доступ, кража, пожар и наводнение. Обычно это включает в себя физические средства контроля, такие как защитные барьеры и замки, источники бесперебойного питания и измельчители. Средства контроля информационной безопасности в физическом домене дополняют меры в логическом домене (например, шифрование), а также процедурные или административные средства контроля (например, осведомленность об информационной безопасности и соблюдение политик и законов).

Предыстория [ править ]

Активы ценны по своей сути, но при этом уязвимы для широкого круга угроз, как злонамеренных (например, кража, поджог), так и случайных/естественных (например, утрата имущества, лесной пожар). Если угрозы материализуются и используют эти уязвимости, вызывая инциденты, это, вероятно, будет иметь неблагоприятные последствия для организаций или отдельных лиц, которые законно владеют и используют активы, последствия могут варьироваться от тривиальных до разрушительных. Меры безопасности предназначены для снижения вероятности или частоты возникновения и/или серьезности последствий, возникающих в результате инцидентов, тем самым защищая стоимость активов.

Физическая безопасность предполагает использование средств контроля, таких как детекторы дыма, пожарная сигнализация и огнетушители, а также соответствующих законов, правил, политик и процедур, касающихся их использования. Барьеры, такие как заборы, стены и двери, являются очевидными средствами физической безопасности, предназначенными для сдерживания или предотвращения несанкционированного физического доступа к контролируемой зоне, например, дому или офису. Рвы и зубцы средневековых замков, равно как и банковские хранилища и сейфы, являются классическими примерами контроля физического доступа.

Средства обеспечения информационной безопасности защищают ценность информационных активов, особенно самой информации (т.е. нематериального информационного содержания, данных, интеллектуальной собственности, знаний и т. д.), а также компьютерного и телекоммуникационного оборудования, носителей информации (включая бумажные и цифровые носители), кабелей и других средств. материальные активы, связанные с информацией (например, блоки питания компьютеров). Корпоративная мантра «Наши люди — наш самый большой актив» в буквальном смысле верна в том смысле, что так называемые работники умственного труда считаются чрезвычайно ценными и, возможно, незаменимыми информационными активами. Таким образом, меры по охране здоровья и безопасности и даже медицинская практика также могут быть классифицированы как средства обеспечения физической информационной безопасности, поскольку они защищают людей от травм, болезней и смерти. Эта точка зрения иллюстрирует повсеместность и ценность информации. Современное человеческое общество в значительной степени зависит от информации, а информация имеет значение и ценность на более глубоком, более фундаментальном уровне. В принципе, субклеточные биохимические механизмы, поддерживающие точность репликации ДНК, можно даже классифицировать как жизненно важные средства контроля информационной безопасности, учитывая, что гены — это «информация жизни».

К злоумышленникам, которые могут получить выгоду от физического доступа к информационным ресурсам, относятся компьютерные взломщики , корпоративные шпионы и мошенники. Ценность информационных активов очевидна в случае, скажем, украденных ноутбуков или серверов, которые можно продать за наличные, но информационный контент зачастую гораздо более ценен, например, ключи шифрования или пароли (используемые для получения доступа к информации). к другим системам и информации), коммерческие тайны и другая интеллектуальная собственность (ценная по своей сути или ценная из-за коммерческих преимуществ, которые они предоставляют), а также номера кредитных карт (используемые для мошенничества с личными данными и дальнейшей кражи). Кроме того, потеря, кража или повреждение компьютерных систем, а также перебои в подаче электроэнергии, механические/электронные сбои и другие физические происшествия препятствуют их использованию, что обычно приводит к сбоям в работе и последующим затратам или потерям. Несанкционированное раскрытие конфиденциальной информации и даже принудительная угроза такого раскрытия могут нанести ущерб, как мы видели на примере взлома Sony Pictures Entertainment. в конце 2014 года и в многочисленных случаях нарушения конфиденциальности. Даже при отсутствии доказательств того, что раскрытая личная информация действительно была использована, сам факт того, что она больше не защищена и не находится под контролем ее законных владельцев, сам по себе является потенциально опасным воздействием на конфиденциальность. Существенных штрафов, вреда для рекламы/репутации и других наказаний за несоблюдение требований, а также последствий, возникающих в результате серьезного нарушения конфиденциальности, лучше всего избегать, независимо от причины!

Примеры физических атак с целью получения информации [ править ]

Существует несколько способов получения информации посредством физических атак или злоупотреблений. Ниже описано несколько примеров.

Дайвинг в мусорных контейнерах [ править ]

Дайвинг в мусорных контейнерах — это практика поиска мусора в надежде получить что-то ценное, например информацию, небрежно выброшенную на бумагу, компьютерные диски или другое оборудование.

Открытый доступ [ править ]

Иногда злоумышленники просто заходят в здание и забирают нужную им информацию. ^[1]Часто при использовании этой стратегии злоумышленник маскируется под человека, который принадлежит к данной ситуации. Они могут выдать себя за сотрудника копировальной комнаты, снять документ с чьего-то стола, скопировать документ, заменить оригинал и уйти с копией документа. Лица, претендующие на обслуживание зданий, могут получить доступ к закрытым в противном случае пространствам . ^[2]^[3]Они могут выйти прямо из здания с мешком для мусора, содержащим конфиденциальные документы, с портативными устройствами или носителями информации, оставленными на столах, или, возможно, просто запомнив пароль на стикере, прикрепленном к экрану чьего-то компьютера, или окликнув кого-то. коллега в открытом офисе.

Примеры мер защиты физической информации

Уничтожение бумажных документов перед их утилизацией может предотвратить непреднамеренную утечку информации . Цифровые данные могут быть зашифрованы или надежно удалены .

Офисы могут потребовать от посетителей предъявить действительные удостоверения личности или действительные ключи доступа. От офисных работников могут потребовать соблюдать политику «чистого стола», защищая документы и другие носители информации (включая портативные ИТ-устройства), убирая их подальше от глаз (например, в запертые ящики, картотеки, сейфы или банковское хранилище ). Работникам может потребоваться запомнить свои пароли или использовать менеджер паролей вместо того, чтобы писать пароли на бумаге.

Компьютеры уязвимы к сбоям, вызванным отключениями электроэнергии, случайным отключением, разрядом батарей, отключением электроэнергии, скачками напряжения, скачками напряжения, электрическими помехами и сбоями в работе электроники. Средства физической защиты информации для устранения связанных с этим рисков включают в себя: предохранители, бесперебойные источники питания с батарейным питанием, электрические генераторы, резервные источники питания и кабели, предупреждающие знаки «Не снимать» на вилках, устройства защиты от перенапряжения, контроль качества электроэнергии, запасные батареи. , профессиональное проектирование и монтаж силовых цепей, а также регулярные проверки/испытания и профилактическое обслуживание .

См. также [ править ]

Ссылки [ править ]

^ Грейнджер, Сара (18 декабря 2001 г.). «Основы социальной инженерии, часть I: Тактика хакеров» . Фокус безопасности . Проверено 27 августа 2006 г.
^ «Четверо мужчин арестованы за проникновение на государственную собственность под ложным предлогом с целью совершения уголовного преступления» . Министерство юстиции США (Пресс-релиз). ФБР - Отдел Нового Орлеана. 26 января 2010 года . Проверено 3 октября 2010 г.
^ «Четверо мужчин признали себя виновными в проникновении на федеральную собственность под ложным предлогом и проникли в офис сенатора Мэри Ландрие, чтобы тайно записать разговоры сотрудников офиса» . Пресс-релиз Министерства юстиции . ФБР - Отдел Нового Орлеана. 26 мая 2010 года. Архивировано из оригинала 31 мая 2010 года . Проверено 3 октября 2010 г.

Внешние ссылки [ править ]

Основы социальной инженерии

[1] Грейнджер, Сара (18 декабря 2001 г.). «Основы социальной инженерии, часть I: Тактика хакеров» . Фокус безопасности . Проверено 27 августа 2006 г.

[four_men-2] «Четверо мужчин арестованы за проникновение на государственную собственность под ложным предлогом с целью совершения уголовного преступления» . Министерство юстиции США (Пресс-релиз). ФБР - Отдел Нового Орлеана. 26 января 2010 года . Проверено 3 октября 2010 г.

[The_FBI_-_New_Orleans_Division-3] «Четверо мужчин признали себя виновными в проникновении на федеральную собственность под ложным предлогом и проникли в офис сенатора Мэри Ландрие, чтобы тайно записать разговоры сотрудников офиса» . Пресс-релиз Министерства юстиции . ФБР - Отдел Нового Орлеана. 26 мая 2010 года. Архивировано из оригинала 31 мая 2010 года . Проверено 3 октября 2010 г.

[1]

[2]

[3]