www.hakin9.org
hakin9 Nr 5/2007
36
Obrona
O
chrona fizyczna jest najstarszą, ale
ciągle pewną metodą ochrony zaso-
bów materialnych i informacyjnych.
Jeżeli w organizacji nie wdrożono podstawo-
wych środków ochrony fizycznej, to nie można
mówić o jakimkolwiek bezpieczeństwie. Ochro-
na fizyczna stanowi pierwszą linię obrony insty-
tucji przed zagrożeniami.
Organizacje, które kładą nacisk na ochro-
nę teleinformatyczną zasobów IT, często nie
doceniają mechanizmów ochrony fizycznej.
Brak odpowiednich zabezpieczeń fizycznych
może nieść za sobą katastrofalne skutki, po-
cząwszy od kradzieży sprzętu, komputerowych
nośników informacji, po uszkodzenia wskutek
awarii zasilania lub systemu klimatyzacji. Brak
zasobów, ich uszkodzenie, czy też niedostęp-
ność może zakłócić ciągłość funkcjonowania
instytucji i realizowania przez nią zadań sta-
tutowych.
Projektując system ochrony fizycznej za-
sobów IT należy kierować się wymaganiami
biznesowymi, wymaganiami prawa i tzw. naj-
lepszymi praktykami w tym zakresie. Można
skorzystać z zaleceń zawartych w normie ISO
17799, a zwłaszcza w rozdziale Bezpieczeń-
stwo fizyczne i środowiskowe. Punktem wyjścia
do zbudowania skutecznego sytemu ochrony
fizycznej zasobów IT jest przeprowadzenie
analizy ryzyka. Poziom ochrony zasobów IT
(sprzętu komputerowego, sprzętu sieciowego
– urządzeń aktywnych, sprzętu telekomuni-
kacyjnego, okablowania, oprogramowania,
komputerowych nośników informacji, licencji
na oprogramowanie, dokumentacji technicznej,
systemów zasilania i klimatyzacji, personelu
IT, itp.) zależy od poziomu ryzyka związanego
z materializacją zagrożeń.
Skuteczny system ochrony fizycznej ma
uniemożliwić osobom nieuprawnionym dostęp
do elementów systemów i sieci teleinforma-
Ochrona fizyczna
zasobów IT
Andrzej Guzik
stopień trudności
Ochrona fizyczna jest najstarszą metodą ochrony zasobów
materialnych i informacyjnych. Stanowi ona pierwszą linię
obrony instytucji przed zagrożeniami. Zgodnie z normą ISO
17799 jej celem jest zapobieganie nieuprawnionemu dostępowi,
uszkodzeniom i ingerencji w pomieszczenia instytucji i jej
informacje.
Z artykułu dowiesz się
• jak dobrać zabezpieczenia czynne (osobowe)
i bierne (budowlano-mechaniczne i elektronicz-
ne) zasobów IT instytucji.
Powinieneś wiedzieć
• znać podstawy systemu zarządzania bezpie-
czeństwem informacji.
Ochrona fizyczna zasobów IT
hakin9 Nr 5/2007
www.hakin9.org
37
tycznych. Podstawową zasadą, ja-
ka musi być uwzględniona przy pro-
jektowaniu systemu kontroli dostę-
pu jest jasny i spójny podział obiektu
na strefy zabezpieczające. Popraw-
nie wyznaczone strefy dostępu (wła-
ściwie zlokalizowane), odpowiednio
zabezpieczone pomieszczenia oraz
skuteczna kontrola dostępu (kontro-
la wejść i wyjść oraz przebywania)
gwarantują realizację przyjętego w
organizacji poziomu bezpieczeństwa
zasobów IT. Strefy dostępu, w za-
leżności od sposobu ochrony, moż-
na podzielić na: strefy ogólnodostęp-
ne, strefy z ograniczonym dostępem,
strefy szczególnie chronione, strefy
zastrzeżone. Następnie należy każ-
dej ze stref przyporządkować odpo-
wiednią klasę środków ochrony. Doj-
ście do najbardziej chronionych stref
i pomieszczeń powinno przebiegać
przez więcej niż jeden punkt kontro-
li zależnie od ważności miejsca chro-
nionego. Eliminuje się wtedy możli-
wość przypadkowego ominięcia po-
jedynczego punktu kontroli. Nale-
ży również do minimum ograniczyć
ilość osób mających dostęp do klu-
czowych pomieszczeń.
Dla większej skuteczności syste-
mu kontroli dostępu wskazane jest
zainstalowanie centralnego syste-
mu kontroli dostępu, a nie pojedyn-
czych urządzeń (czytników sterują-
cych poszczególnymi bramkami, czy
też drzwiami) oraz specjalizowane
oprogramowanie do analizy zdarzeń
z narzędziami pozwalającymi wy-
chwycić nieautoryzowany dostęp do
kluczowych miejsc w organizacji.
Aby system ochrony fizycznej
spełniał swoje zadania, środki ochrony
(mechanizmy zabezpieczające) mu-
szą być kompleksowe, komplementar-
ne (wzajemnie się uzupełniać), racjo-
nalne (zaakceptowane przez użytkow-
ników) i efektywne (koszt zabezpie-
czeń nie może przekraczać wartości
chronionych zasobów) oraz obejmo-
wać wszystkie rodzaje zabezpieczeń,
począwszy od zabezpieczeń organi-
zacyjnych (często lekceważonych),
poprzez zabezpieczenia budowlane,
mechaniczne, elektroniczne, a skoń-
czywszy na ochronie fizycznej (czyn-
nej). Ważne jest wreszcie zagwaran-
towanie optymalnych warunków pracy
dla sprzętu elektronicznego – stąd za-
lecana jest instalacja klimatyzacji oraz
zapewnienie awaryjnego zasilania.
Przystępując do budowy sys-
temu ochrony fizycznej zasobów
IT powinniśmy odpowiedzieć sobie
na następujące pytania: Co chroni-
my? Przed czym chronimy? W jaki
sposób chronimy? Z jakim skutkiem
chronimy?
Rysunek 1.
Zarządzanie ryzykiem
Związki w zarządzaniu ryzykiem
Wykorzystują
chronią przed
zwiększają
zmniejszają
analiza
wskazuje
realizowane przez
zwiększają
zwiększają
narażają
posiadają
ZAGROŻENIA
PODATNOŚCI
ZASOBY
RYZYKA
ZABEZPIECZENIA
WYMAGANIA
W ZAKRESIE
OCHRONY
WARTOŚCI
(stąd potencjalnie
następstwa dla
działania instytucji)
Tabela 1.
Kategoria zagrożonej wartości, a wartości podlegające ochronie
Kategoria
zagrożonej
wartości
Wartości podlegające ochronie
Z1
mienie małej wartości, które można zastąpić
Z2
mienie średniej wartości, które można wymienić lub zastąpić
dokumenty lub przedmioty o wartości zabytkowej lub muzealnej, występujące w powtarzalnych eg-
zemplarzach lub które można odtworzyć
dokumenty stanowiące tajemnicę służbową
Z3
mienie dużej wartości
dokumenty lub przedmioty mające zabytkowa wartość, niepowtarzalne w kraju
dokumenty o dużej wartości, których uszkodzenie, zniszczenie lub kradzież jak również poznanie
może prowadzić do dużych szkód
życie ludzi związanych z wartościami wymienionymi w punktach a, b, c
Z4
mienie bardzo dużej wartości
przedmioty zabytkowe stanowiące dziedzictwo kultury światowej
dokumenty, których kradzież jak również poznanie lub przejrzenie przez osoby niepowołane może
zagrażać porządkowi społecznemu, osłabieniu obronności albo egzystencji państwa
życie wielu ludzi
hakin9 Nr 5/2007
www.hakin9.org
Obrona
38
Analiza ryzyka powinna obej-
mować analizę wartości zasobów
IT (chronimy tylko zasoby warto-
ściowe, słabo zabezpieczone, za-
grożone), analizę zagrożeń (powin-
niśmy brać pod uwagę tylko zagro-
żenia realne, a nie hipotetyczne),
analizę podatności (słabości zaso-
bów) oraz analizę aktualnego sta-
nu zabezpieczenia zasobów IT (za-
bezpieczenia organizacyjne i tech-
niczne). Następnie, na podstawie
wyników analizy ryzyka, powinni-
śmy dobrać zabezpieczenia tak,
aby zminimalizować ryzyko zwią-
zane z wykorzystaniem podatno-
ści przez zagrożenia. Ryzyko, któ-
re pozostaje po wprowadzeniu za-
bezpieczeń, nazywamy ryzykiem
szczątkowym.
Zaprojektowane zabezpiecze-
nia należy ująć w planie zabezpie-
czeń (planie ochrony zasobów IT)
oraz opracować harmonogram ich
wdrożenia. Polska norma, PN-93
E-08390/14 Systemy alarmowe
Wymagania ogólne Zasady sto-
sowania wyróżnia, ze względu na
stopień zagrożenia osób i wartość
szkód, cztery kategorie zagrożo-
nych wartości, od Z1 do Z4, odpo-
wiadające różnym poziomom ryzy-
ka występującym w dozorowanych
obiektach.
Do oceny skuteczności zabez-
pieczenia określonej kategorii za-
grożonej wartości norma ustala
trzy poziomu bezpieczeństwa (niż-
szy, normalny, wyższy) chronio-
nych zasobów i przyporządkowuje
im odpowiedniej klasy środki elek-
troniczne wspomagające ochronę
fizyczną, w postaci stosownej klasy
systemów alarmowych (systemów
sygnalizacji włamania i napadu), od
SA1 do SA4.
Do szacowania wartości wymier-
nej mienia (chronionych zasobów)
można posłużyć się wielokrotnością
współczynnika N, definiowanego ja-
ko średni roczny dochód pracownika
w pięciu podstawowych działach go-
spodarki (publikowany przez ZUS).
Na potrzeby niniejszego artykułu
przyjęto cztery poziomy ryzyka (ni-
skie, średnie, wysokie, bardzo wyso-
kie) i odpowiadające mu cztery kate-
gorie zagrożonej wartości (od Z1 do
Z4) oraz cztery klasy środków ochro-
ny: zabezpieczenia pierwszego typu
(BM1, E1, OF1), klasa – popularna,
zabezpieczenia drugiego typu (BM2,
E2, OF2), klasa – standardowa, za-
bezpieczenia trzeciego typu (BM3,
E3, OF3), klasa – certyfikowana i za-
bezpieczenia czwartego typu (BM4,
E4, OF4), klasa – specjalna.
Po dokonaniu klasyfikacji zaso-
bów IT można je przyporządkować
do określonej kategorii zagrożonej
wartości i w prosty sposób dobrać,
adekwatne do poziomu zagroże-
nia (poziomu ryzyka), stosowne za-
bezpieczenia, pierwszego, drugie-
go, trzeciego lub czwartego typu,
w postaci odpowiednich zabezpie-
czeń czynnych – osobowych (od
OF1 do OF4) i zabezpieczeń bier-
nych: budowlano-mechanicznych (od
BM1 do BM4) oraz elektronicznych
(od E1 do E4).
Środki ochrony fizycznej (czyn-
nej) obejmują: dozorców, portierów,
recepcjonistów, wartowników, patrole
interwencyjne, pracowników ochrony
fizycznej pierwszego i drugiego stop-
nia, SUFO (specjalizowane uzbrojo-
ne formacje ochronne), odpowiednio
do klasy środków ochrony (1, 2, 3
lub 4). Środki ochrony budowlano-
mechaniczne obejmują: ogrodzenia,
bramy, ściany, stropy, drzwi, okna,
szyby, zamki, kłódki, kraty, żaluzje,
Tabela 2.
Poziom bezpieczeństwa chronionych zasobów (obiektu), klasa systemu alarmowego, a kategoria
zagrożonej wartości
Kategoria
zagrożonej
wartości
Poziom bezpieczeństwa
niższy
normalny
wyższy
uzyskany przez system alarmowy klasy
Z1
nieokreślonej
SA1
SA2
Z2
SA1
SA2
SA3
Z3
SA2
SA3
SA4
Z4
SA3
SA4
SA4+(SA3+SA2)
Tabela 3.
Szacowanie wartości wymiernej mienia (chronionych zasobów)
Kategoria zagrożonej wartości
Szacowana wartość mienia
Z1
wartość ≤ 10 x N
Z2
10 x N < wartość ≤ 100 x N
Z3
100 x N < wartość ≤ 1000 x N
Z4
wartość > 1000 x N
Ochrona fizyczna zasobów IT
hakin9 Nr 5/2007
www.hakin9.org
39
rolety, kasety, sejfy, szafy metalowe
do przechowywania wartości, szafy
ognioodporne do przechowywania
komputerowych nośników informa-
cji, odpowiednio do klasy środków
ochrony (1, 2, 3 lub 4). Środki ochro-
ny elektronicznej obejmują: systemy
sygnalizacji włamania i napadu,
systemy kontroli dostępu, systemy
telewizji dozorowej, systemy sygnali-
zacji pożarowej, dźwiękowe systemy
ostrzegawcze, odpowiednio do klasy
środków ochrony (1, 2, 3 lub 4).
Projektując system ochrony fi-
zycznej nie należy zapominać o
ochronie przeciwpożarowej zaso-
bów IT. Powinno się zabezpieczyć
obiekt, lub co najmniej kluczowe po-
mieszczenia, czujkami systemu sy-
gnalizacji pożarowej oraz systemem
gaśniczym, np. serwerownie, cen-
trale telefoniczne, pomieszczenia,
w których przechowuje się kopie za-
pasowe danych, pomieszczenia, w
których zlokalizowano sprzęt tele-
komunikacyjny – urządzenia aktyw-
ne, szafy dystrybucyjne, urządze-
nia awaryjnego zasilania (centralny
UPS, agregat prądotwórczy). Ochro-
na przeciwpożarowa nie wchodzi w
skład ochrony fizycznej, regulują ją,
m.in. przepisy: Ustawy z dnia 24
sierpnia 1991 r. o ochronie przeciw-
pożarowej, Rozporządzenie MSWiA
z dnia 21 kwietnia 2006 r. w spra-
wie ochrony przeciwpożarowej bu-
dynków, innych obiektów budowla-
nych i terenów oraz Rozporządze-
nie MI z dnia 12 kwietnia 2002 r.
w sprawie warunków technicznych,
jakim powinny odpowiadać budynki
i ich usytuowanie.
Ważnym aspektem ochrony fi-
zycznej jest system przepustek (iden-
tyfikatorów) lub inny system upraw-
niający do wejścia, przebywania i wyj-
ścia ze stref dostępu, zasady przy-
znawania i odbierania uprawnień do
przebywania w strefach dostępu oraz
okresowa kontrola uprawnień. W ten
sposób możemy mieć pewność, że
uprawnienia dostępu w systemie ma-
ją tylko upoważnione osoby. Bardzo
przydatne są tu systemy telewizji do-
zorowej wraz z chronioną rejestracją
obrazu. Cyfrowe rejestratory obrazu
zapewniają długi czas nagrań i mogą
zostać użyte do celów dowodowych
w przypadku incydentu.
Należy również wdrożyć procedu-
ry organizacyjne obejmujące: eskorto-
wanie gości, zamykanie drzwi i okien
w pomieszczeniach, zarządzanie klu-
czami do pomieszczeń (szczelny sys-
tem przechowywania kluczy do po-
mieszczeń chronionych użytku bieżą-
cego i zapasowych), nadzór nad pra-
cą personelu pomocniczego, zwłasz-
cza sprzątaniem pomieszczeń i pra-
cą personelu serwisowego, przecho-
wywanie kopii zapasowych w zabez-
pieczonych pomieszczeniach (jak naj-
bardziej odległych w pionie i poziomie
od miejsc ich wytworzenia) w specjal-
nych szafach ognioodpornych, służą-
cych do przechowywania komputero-
wych nośników informacji, zapewnie-
nie aktualnej dokumentacji technicz-
nej (zasilania, okablowania, sprzętu,
oprogramowania, planów awaryjnych
i planów ciągłości działania).
Najsłabszym ogniwem każdego
systemu bezpieczeństwa jest czyn-
nik ludzki. Należy o nim pamiętać
już na etapie rekrutacji i zatrudnia-
nia personelu IT (należy zatrudniać
właściwych ludzi, sprawdzać ich
referencje z poprzednich miejsc pra-
cy, szkolić personel IT z procedur
bezpieczeństwa, ciągle podnosić
jego świadomość, rozdzielać kluczo-
we obowiązki pomiędzy dwóch pra-
cowników zgodnie z zasadą „dwóch
par oczu”).
Wszyscy pracownicy IT powinni
podpisać stosowne zobowiązania
o poufności, a z kluczowymi pracow-
nikami IT należy podpisać umowy
o zakazie konkurencji.
Reasumując, zaprojektowanie sku-
tecznego sytemu ochrony zasobów IT
wymaga zastosowania właściwej me-
todyki obejmującej następujące dzia-
łania:
• klasyfikacja zasobów IT (analiza
wartości zasobów),
• analiza zagrożeń,
• analiza podatności,
• analiza aktualnego stanu bezpie-
czeństwa,
• ustalenie wymaganego poziomu
ochrony zasobów IT,
• określenie kategorii zagrożonej
wartości,
• ustalenie klas środków ochrony,
• opracowanie planu zabezpieczeń
(planu ochrony zasobów IT),
• wdrożenie zabezpieczeń,
• monitorowanie zabezpieczeń,
• doskonalenie systemu zabezpie-
czeń.
Poddaję to pod rozwagę osobom od-
powiedzialnym za bezpieczeństwo
fizyczne zasobów IT w organiza-
cjach. l
O autorze
Andrzej Guzik – audytor systemów za-
rządzania jakością i bezpieczeństwem
informacji, specjalista w zakresie ochro-
ny informacji prawnie chronionych,
redaktor portalu http://www.ochronain-
formacji.pl.
Kontakt z autorem a.guzik@ochrona-
informacji.pl
Tabela 4.
Wymagana klasa środków ochrony, a kategoria zagrożonej wartości
Kategoria zagrożonej wartości
Wymagane klasy środków ochrony
Z1
BM1
E1
OF1
Z2
BM2
E2
OF2
Z3
BM3
E3
OF3
Z4
BM4
E4
OF4