Физическая информационная безопасность - Physical information security

Физическая информационная безопасность это пересечение, точка соприкосновения между физическая охрана и информационная безопасность. В первую очередь это касается защиты материальных активов, связанных с информацией, таких как компьютерные системы и носители, от реальных реальных угроз, таких как несанкционированный физический доступ, кража, пожар и наводнение. Обычно он включает в себя физические средства контроля, такие как защитные барьеры и замки, источники бесперебойного питания и измельчители. Средства контроля информационной безопасности в физическом домене дополняют средства контроля в логическом домене (например, шифрование), а также процедурные или административные средства контроля (например, осведомленность об информационной безопасности и соблюдение политик и законов).

Фон

Активы по своей природе ценны, но при этом уязвимы для широкого спектра угроз, как злонамеренных (например, кража, поджог), так и случайных / естественных (например, утраченное имущество, лесной пожар). Если угрозы материализуются и используют эти уязвимости, вызывая инциденты, вероятно, будут неблагоприятные воздействия на организации или отдельных лиц, которые законно владеют и используют активы, от незначительных до разрушительных. Меры безопасности предназначены для снижения вероятности или частоты возникновения и / или серьезности воздействий, возникающих в результате инцидентов, тем самым защищая стоимость активов.

Физическая безопасность предполагает использование средств контроля, таких как детекторы дыма, пожарной сигнализации и огнетушителей, а также соответствующих законов, постановлений, политик и процедур, касающихся их использования. Барьеры, такие как заборы, стены и двери, являются очевидными средствами физической безопасности, предназначенными для предотвращения или предотвращения несанкционированного физического доступа в контролируемую зону, такую ​​как дом или офис. Рвы и стены средневековых замков являются классическими примерами контроля физического доступа, равно как и банковские хранилища и сейфы.

Средства контроля информационной безопасности защищают ценность информационных активов, в частности, самой информации (т.е. нематериального информационного содержания, данных, интеллектуальной собственности, знаний и т. Д.), А также компьютерного и телекоммуникационного оборудования, носителей информации (включая бумаги и цифровые носители), кабелей и прочего. материальные активы, связанные с информацией (например, компьютерные блоки питания). Корпоративная мантра «Наши люди - наши величайшие активы» буквально верна в том смысле, что так называемые работники умственного труда квалифицируются как чрезвычайно ценные, возможно, незаменимые информационные активы. Поэтому меры по охране здоровья и безопасности и даже медицинская практика также могут быть классифицированы как средства контроля физической информационной безопасности, поскольку они защищают людей от травм, болезней и смерти. Эта точка зрения демонстрирует повсеместность и ценность информации. Современное человеческое общество сильно зависит от информации, и информация имеет значение и ценность на более глубоком, более фундаментальном уровне. В принципе, субклеточные биохимические механизмы, обеспечивающие точность репликации ДНК, можно даже классифицировать как жизненно важные средства контроля информационной безопасности, учитывая, что гены являются «информацией жизни».

В число злоумышленников, которые могут извлечь выгоду из физического доступа к информационным активам, входят: компьютерные взломщики, корпоративные шпионы, и мошенники. Ценность информационных активов очевидна в случае, например, украденных ноутбуков или серверов, которые можно продать за наличные, но информационное содержание часто гораздо более ценно, например ключи шифрования или пароли (используемые для получения доступа к дополнительным системам и информации), коммерческие тайны и другую интеллектуальную собственность (по своей сути ценную или ценную из-за предоставляемых ими коммерческих преимуществ) и номера кредитных карт (используемые для совершения мошенничества с идентификационными данными и дальнейшего кражи). Кроме того, потеря, кража или повреждение компьютерных систем, а также перебои в подаче электроэнергии, механические / электронные сбои и другие физические инциденты препятствуют их использованию, обычно вызывая сбои и косвенные расходы или убытки. Несанкционированное раскрытие конфиденциальной информации и даже принудительная угроза такого раскрытия может нанести ущерб, как мы видели в Взлом Sony Pictures Entertainment в конце 2014 года и в многочисленных инцидентах с нарушением конфиденциальности. Даже при отсутствии доказательств того, что раскрытая личная информация действительно была использована, сам факт того, что она больше не защищена и не находится под контролем ее законных владельцев, сам по себе потенциально может нанести вред конфиденциальности. Существенных штрафов, вреда для публичности / репутации и других штрафов за несоблюдение требований и последствий, проистекающих из серьезных нарушений конфиденциальности, лучше всего избегать, независимо от причины!

Примеры физических атак с целью получения информации

Есть несколько способов получить информацию с помощью физических атак или эксплуатации. Ниже приводится несколько примеров.

Дайвинг в мусорных контейнерах

Дайвинг в мусорных контейнерах это практика поиска в мусоре в надежде получить что-то ценное, например, информацию, небрежно выброшенную на бумагу, компьютерные диски или другое оборудование.

Открытый доступ

Иногда злоумышленники просто заходят в здание и забирают нужную информацию.[1]Часто при использовании этой стратегии злоумышленник маскируется под того, кто принадлежит к ситуации. Они могут изображать из себя сотрудника копировальной комнаты, снимать документ с чьего-либо стола, копировать документ, заменять оригинал и уходить с скопированным документом. Лица, претендующие на техническое обслуживание здания может получить доступ к другому ограниченные пространства.[2][3]Они могут выйти прямо из здания с мешком для мусора, содержащим конфиденциальные документы, неся портативные устройства или носители информации, оставленные на столе, или, возможно, просто запомнив пароль на стикере, прикрепленном к чьему-то экрану компьютера или позвонив в коллега через открытый офис.

Примеры физических средств контроля информационной безопасности

Буквальное измельчение бумажных документов перед их утилизацией - это обычная физическая мера защиты информации, предназначенная для предотвращения попадания информационного содержания - если не носителя - в чужие руки. Цифровые данные также могут быть измельчены в переносном смысле, либо путем надежного шифрования, либо путем многократной перезаписи до тех пор, пока не исчезнет реальная вероятность того, что информация когда-либо будет извлечена, даже с использованием сложного судебного анализа: это тоже представляет собой физический контроль безопасности информации, поскольку очищенный компьютерные носители данных можно свободно выбрасывать или продавать без ущерба для исходного информационного содержания. Эти два метода можно комбинировать в ситуациях с высокой степенью защиты, когда за цифровым измельчением содержимого данных следует физическое измельчение и сжигание для уничтожения носителя.

Многие организации ограничивают физический доступ в контролируемые зоны, такие как офисы, требуя от людей предъявления действительных удостоверений личности, проездных или физических ключей. При условии, что жетоны доступа или устройства сами строго контролируются и защищены (что затрудняет их получение, изготовление и использование неуполномоченными лицами), а соответствующие электронные или механические замки, двери, стены, барьеры и т. Д. Являются достаточно прочными и целостными, неавторизованными. физический доступ в контролируемые зоны предотвращен, что обеспечивает защиту информации и других активов внутри. Аналогичным образом, офисных работников обычно поощряют или требуют соблюдать политику «чистого стола», защищая документы и другие носители информации (включая портативные ИТ-устройства), убирая их вне поля зрения, возможно, в запираемых ящиках, картотечных шкафах, сейфах или хранилищах в соответствии с риски. Требование от работников запоминать свои пароли, а не записывать их в месте, которое может быть замечено посторонним (например, коллегой, посетителем или злоумышленником), является примером избежания риска.

Компьютеры явно нуждаются в электроэнергии, поэтому они уязвимы для таких проблем, как отключение электроэнергии, случайное отключение, разряженные батареи, отключение электроэнергии, скачки напряжения, скачки напряжения, электрические помехи и сбои электроники. Физические меры защиты информации для устранения связанных рисков включают: предохранители, бесперебойные источники питания с резервным питанием от батарей, электрические генераторы, резервные источники питания и кабели, предупреждающие знаки «Не снимать» на вилках, устройства защиты от перенапряжения, мониторинг качества электроэнергии, запасные батареи. , профессиональное проектирование и монтаж силовых цепей плюс регулярные проверки / испытания и профилактика. Парадоксально, что так называемые источники бесперебойного питания часто приводят к перебоям в подаче электроэнергии, если они неадекватно определены, спроектированы, изготовлены, используются, управляются или обслуживаются - пример отказа критически важного (физического) элемента управления.

Смотрите также

Рекомендации

  1. ^ Грейнджер, Сара (2001-12-18). «Основы социальной инженерии. Часть I: Хакерские тактики». Безопасность. Получено 2006-08-27.
  2. ^ «Четверо мужчин арестованы за проникновение в государственную собственность под ложным предлогом с целью совершения тяжкого преступления». Министерство юстиции США (Пресс-релиз). ФБР - Отделение Нового Орлеана. 26 января 2010 г.. Получено 3 октября, 2010.
  3. ^ «Четверо мужчин признали себя виновными во вторжении в федеральную собственность под ложным предлогом. Они проникли в кабинет сенатора Мэри Ландрие для тайной записи разговоров с сотрудниками офиса». Пресс-релиз Министерства юстиции. ФБР - Отделение Нового Орлеана. 26 мая 2010 г. Архивировано с оригинал 31 мая 2010 г.. Получено 3 октября, 2010.

внешняя ссылка