Jump to content

Физическая информационная безопасность

Физическая информационная безопасность — это пересечение или точка соприкосновения между физической безопасностью и информационной безопасностью . В первую очередь это касается защиты материальных информационных активов, таких как компьютерные системы и носители данных, от физических угроз реального мира, таких как несанкционированный физический доступ, кража, пожар и наводнение. Обычно это включает в себя физические средства контроля, такие как защитные барьеры и замки, источники бесперебойного питания и измельчители. Средства контроля информационной безопасности в физическом домене дополняют меры в логическом домене (например, шифрование), а также процедурные или административные средства контроля (например, осведомленность об информационной безопасности и соблюдение политик и законов).

Предыстория [ править ]

Активы ценны по своей сути, но при этом уязвимы для широкого круга угроз, как злонамеренных (например, кража, поджог), так и случайных/естественных (например, утрата имущества, лесной пожар). Если угрозы материализуются и используют эти уязвимости, вызывая инциденты, это, вероятно, будет иметь неблагоприятные последствия для организаций или отдельных лиц, которые законно владеют и используют активы, последствия могут варьироваться от тривиальных до разрушительных. Меры безопасности предназначены для снижения вероятности или частоты возникновения и/или серьезности последствий, возникающих в результате инцидентов, тем самым защищая стоимость активов.

Физическая безопасность предполагает использование средств контроля, таких как детекторы дыма, пожарная сигнализация и огнетушители, а также соответствующих законов, правил, политик и процедур, касающихся их использования. Барьеры, такие как заборы, стены и двери, являются очевидными средствами физической безопасности, предназначенными для сдерживания или предотвращения несанкционированного физического доступа к контролируемой зоне, например, дому или офису. Рвы и зубцы средневековых замков, равно как и банковские хранилища и сейфы, являются классическими примерами контроля физического доступа.

Средства обеспечения информационной безопасности защищают ценность информационных активов, особенно самой информации (т.е. нематериального информационного содержания, данных, интеллектуальной собственности, знаний и т. д.), а также компьютерного и телекоммуникационного оборудования, носителей информации (включая бумажные и цифровые носители), кабелей и других средств. материальные активы, связанные с информацией (например, блоки питания компьютеров). Корпоративная мантра «Наши люди — наш самый большой актив» в буквальном смысле верна в том смысле, что так называемые работники умственного труда считаются чрезвычайно ценными и, возможно, незаменимыми информационными активами. Таким образом, меры по охране здоровья и безопасности и даже медицинская практика также могут быть классифицированы как средства обеспечения физической информационной безопасности, поскольку они защищают людей от травм, болезней и смерти. Эта точка зрения иллюстрирует повсеместность и ценность информации. Современное человеческое общество в значительной степени зависит от информации, а информация имеет значение и ценность на более глубоком, более фундаментальном уровне. В принципе, субклеточные биохимические механизмы, поддерживающие точность репликации ДНК, можно даже классифицировать как жизненно важные средства контроля информационной безопасности, учитывая, что гены — это «информация жизни».

К злоумышленникам, которые могут получить выгоду от физического доступа к информационным ресурсам, относятся компьютерные взломщики , корпоративные шпионы и мошенники. Ценность информационных активов очевидна в случае, скажем, украденных ноутбуков или серверов, которые можно продать за наличные, но информационный контент зачастую гораздо более ценен, например, ключи шифрования или пароли (используемые для получения доступа к информации). к другим системам и информации), коммерческие тайны и другая интеллектуальная собственность (ценная по своей сути или ценная из-за коммерческих преимуществ, которые они предоставляют), а также номера кредитных карт (используемые для мошенничества с личными данными и дальнейшей кражи). Кроме того, потеря, кража или повреждение компьютерных систем, а также перебои в подаче электроэнергии, механические/электронные сбои и другие физические происшествия препятствуют их использованию, что обычно приводит к сбоям в работе и последующим затратам или потерям. Несанкционированное раскрытие конфиденциальной информации и даже принудительная угроза такого раскрытия могут нанести ущерб, как мы видели на примере взлома Sony Pictures Entertainment. в конце 2014 года и в многочисленных случаях нарушения конфиденциальности. Даже при отсутствии доказательств того, что раскрытая личная информация действительно была использована, сам факт того, что она больше не защищена и не находится под контролем ее законных владельцев, сам по себе является потенциально опасным воздействием на конфиденциальность. Существенных штрафов, вреда для рекламы/репутации и других наказаний за несоблюдение требований, а также последствий, возникающих в результате серьезного нарушения конфиденциальности, лучше всего избегать, независимо от причины!

Примеры физических атак с целью получения информации [ править ]

Существует несколько способов получения информации посредством физических атак или злоупотреблений. Ниже описано несколько примеров.

Дайвинг в мусорных контейнерах [ править ]

Дайвинг в мусорных контейнерах — это практика поиска мусора в надежде получить что-то ценное, например информацию, небрежно выброшенную на бумагу, компьютерные диски или другое оборудование.

Открытый доступ [ править ]

Иногда злоумышленники просто заходят в здание и забирают нужную им информацию. [1] Часто при использовании этой стратегии злоумышленник маскируется под человека, который принадлежит к данной ситуации. Они могут выдать себя за сотрудника копировальной комнаты, снять документ с чьего-то стола, скопировать документ, заменить оригинал и уйти с копией документа. Лица, претендующие на обслуживание зданий, могут получить доступ к закрытым в противном случае пространствам . [2] [3] Они могут выйти прямо из здания с мешком для мусора, содержащим конфиденциальные документы, с портативными устройствами или носителями информации, оставленными на столах, или, возможно, просто запомнив пароль на стикере, прикрепленном к экрану чьего-то компьютера, или окликнув кого-то. коллега в открытом офисе.

Примеры мер защиты физической информации

Уничтожение бумажных документов перед их утилизацией может предотвратить непреднамеренную утечку информации . Цифровые данные могут быть зашифрованы или надежно удалены .

Офисы могут потребовать от посетителей предъявить действительные удостоверения личности или действительные ключи доступа. От офисных работников могут потребовать соблюдать политику «чистого стола», защищая документы и другие носители информации (включая портативные ИТ-устройства), убирая их подальше от глаз (например, в запертые ящики, картотеки, сейфы или банковское хранилище ). Работникам может потребоваться запомнить свои пароли или использовать менеджер паролей вместо того, чтобы писать пароли на бумаге.

Компьютеры уязвимы к сбоям, вызванным отключениями электроэнергии, случайным отключением, разрядом батарей, отключением электроэнергии, скачками напряжения, скачками напряжения, электрическими помехами и сбоями в работе электроники. Средства физической защиты информации для устранения связанных с этим рисков включают в себя: предохранители, бесперебойные источники питания с батарейным питанием, электрические генераторы, резервные источники питания и кабели, предупреждающие знаки «Не снимать» на вилках, устройства защиты от перенапряжения, контроль качества электроэнергии, запасные батареи. , профессиональное проектирование и монтаж силовых цепей, а также регулярные проверки/испытания и профилактическое обслуживание .

См. также [ править ]

Ссылки [ править ]

  1. ^ Грейнджер, Сара (18 декабря 2001 г.). «Основы социальной инженерии, часть I: Тактика хакеров» . Фокус безопасности . Проверено 27 августа 2006 г.
  2. ^ «Четверо мужчин арестованы за проникновение на государственную собственность под ложным предлогом с целью совершения уголовного преступления» . Министерство юстиции США (Пресс-релиз). ФБР - Отдел Нового Орлеана. 26 января 2010 года . Проверено 3 октября 2010 г.
  3. ^ «Четверо мужчин признали себя виновными в проникновении на федеральную собственность под ложным предлогом и проникли в офис сенатора Мэри Ландрие, чтобы тайно записать разговоры сотрудников офиса» . Пресс-релиз Министерства юстиции . ФБР - Отдел Нового Орлеана. 26 мая 2010 года. Архивировано из оригинала 31 мая 2010 года . Проверено 3 октября 2010 г.

Внешние ссылки [ править ]


Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 769e4e32fd12dcd4f6cfe18601634018__1715787900
URL1:https://arc.ask3.ru/arc/aa/76/18/769e4e32fd12dcd4f6cfe18601634018.html
Заголовок, (Title) документа по адресу, URL1:
Physical information security - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)