суббота, 20 февраля 2010 г.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Часть 1

В этой части рассмотрены следующие вопросы:
  • Введение в Физическую безопасность
  • Процесс планирования 
  • Предотвращение преступлений посредством проектирования окружения
  • Естественное управление доступом
  • Естественное наблюдение
  • Естественное укрепление территории
Безопасность очень важна для организаций и их инфраструктуры и физическая безопасность – не исключение. Хакинг – не единственный способ компрометации информации и связанных с ней систем. Физическая безопасность учитывает угрозы, уязвимости и риски, отличающиеся от тех, которые мы уже рассматривали ранее. Механизмы физической безопасности включают в себя планирование помещений, компонентов окружения, планирование действий на случай чрезвычайных происшествий, проведение тренингов по выполнению таких планов, контроль доступа, выявление вторжений, защиту систем электроснабжения, противопожарную безопасность. Механизмы физической безопасности защищают людей, данные, оборудование, системы, сооружения и многие другие активы компании.


Физическая безопасность компьютеров и их ресурсов в 60-х и 70-х годах была не так сложна, как сегодня. В те времена использовались в основном мейнфреймы, которые можно было запереть в серверной комнате и только горстка людей знала что с ними делать. Сегодня компьютер есть на каждом столе каждой компании, а доступ к устройствам и ресурсам распространился на всю среду. Компании имеют несколько кроссовых и серверных комнат, удаленных и мобильных пользователей, выносящих мобильные компьютеры и данные за пределы здания компании. Надежная защита этих компьютерных систем, сетей, зданий и сотрудников стала крайне сложной задачей для многих компаний.

Во многих компаниях растет ущерб от воровства, мошенничества, саботажа, вандализма, несчастных случаев. Это связано с тем, что их среда становится более сложной и динамичной. Безопасность и сложность – это трудносовместимые вещи. По мере роста сложности среды и технологий, появляется больше уязвимостей, которые могут привести к компрометации. Многие компании сталкиваются с хищениями модулей памяти и процессоров из рабочих станций, а также хищениями компьютеров и ноутбуков. Многие компании становятся жертвами более опасных преступлений – вооруженные ограбления, вспышки ярости раздраженных сотрудников, бомбы, террористическая деятельность. Многие компании имеют охрану, систему видеонаблюдения, системы выявления вторжений, поддерживают осведомленность сотрудников о рисках безопасности. Это лишь некоторые элементы, относящиеся к физической безопасности. Если какой-то из них не предоставляет необходимого уровня защиты, он может стать слабым звеном и потенциальной брешью в системе безопасности.

Большинство людей, занимающихся информационной безопасностью, недостаточно задумываются о физической безопасности, они сосредоточены на компьютерной безопасности, хакерах, портах, вирусах и технологических контрмерах. Но информационная безопасность без надежной физической безопасности – это пустая трата времени.

Даже специалисты по физической безопасности не всегда не всегда имеют целостный взгляд на физическую безопасность. В физической безопасности так много различных аспектов, которые необходимо учитывать, что люди обычно специализируются на отдельных областях, таких как безопасность зданий, выявление и анализ рисков, обеспечение защиты центров обработки данных (ЦОД), противопожарная ,безопасность, внедрение систем обнаружения вторжений и систем видеонаблюдения, обучение персонала по действиям в чрезвычайных ситуациях, аспекты требований законодательства и регуляторов в области физической безопасности и т.п. Каждый фокусируется на своей области и имеет свои навыки, но для обеспечения целостной системы безопасности компании все эти области должны быть поняты и учтены.

Как и большинство программных продуктов, построенных, в первую очередь, с учетом функциональности, а не безопасности, так и многие здания и сооружения построены с учетом функциональности, эстетизма, а уже затем – безопасности. Многие кражи и несчастные случаи могли бы быть предотвращены, если бы компания реализовала организованную, зрелую и целостную систему физической безопасности. Большинство людей не знают о множестве преступлений, случающихся каждый день. Многие не догадываются о большом количестве гражданских исков к компаниям, не уделяющим должного внимания физической безопасности. Ниже представлено несколько примеров проблем, которые могут возникнуть у компаний, плохо реализовавших или поддерживающих свою физическую безопасность:
  • Кусты, растущие очень близко от банкомата, позволяют преступникам скрыться за ними и нападать на людей, снявших деньги со своих банковских карт.
  • Неосвещенная часть подземного гаража позволяет злоумышленникам сидеть и ждать сотрудников, которые задержались на работе допоздна.
  • Ночной магазин развесил очень много рекламных плакатов и постеров на наружных окнах, что привлекает к нему грабителей, т.к. развешенные плакаты скрывают происходящее внутри магазина от прохожих и проезжающих машин.
Для специалистов по безопасности очень важно производить оценку, основываясь на точке зрения потенциального преступника. Это позволит выявить и устранить наиболее критичные уязвимые места, которые могут быть использованы преступниками. Специалисты по безопасности должны рассматривать безопасность как целостный процесс, оценивать его со всех сторон, использовать различные подходы. Опасность может прийти отовсюду, она может принимать любые формы и иметь различные последствия.

Физическая безопасность работает с набором угроз, уязвимостей и контрмер, отличающимся от компьютерной и информационной безопасности. Этот набор для физической безопасности в большей степени направлен на физическое уничтожение, на нарушителей, на объекты среды, на воровство и вандализм. Когда специалисты по безопасности думают об информационной безопасности, они представляют себе, как кто-то несанкционированно проникнет во внутреннюю сеть через открытый на межсетевом экране порт или беспроводную точку доступа. Думая о физической безопасности, специалисты по безопасности представляют себе, как злоумышленник входит в здание и наносит ущерб.

Угрозы, перед лицом которых стоит компания, можно разделить на следующие категории:
  • Природные угрозы. Затопление, землетрясение, шторм, торнадо, пожар, экстремальные температуры и т.д.
  • Угрозы в отношении систем обеспечения. Перебои электроснабжения, связи, перебои со снабжением водой, газом и т.п.
  • Рукотворные угрозы. Несанкционированный доступ (внешний и внутренний), ущерб от преднамеренных действий персонала, ошибки сотрудников, халатность, вандализм, мошенничество, воровство и т.д.
  • Политические угрозы. Нападения, беспорядки, гражданское неповиновение, террористические атаки, бомбы и т.д.
В любой ситуации нужно в первую очередь продумать, что мешает достижению целей безопасности. Когда мы проектируем безопасность, мы в первую очередь должны думать о том, как защитить человеческую жизнь. Хорошее планирование поможет нам сбалансировать безопасность жизни людей с другими мерами безопасности. Например, закрытие дверей аварийных выходов с целью предотвращения несанкционированного доступа может помешать эвакуировать людей в случае пожара.
ПРИМЕЧАНИЕ. Цели защиты жизни должны всегда превосходить любые другие цели.
Программа физической безопасности должна объединять в себе механизмы обеспечения защиты и безопасности. Под защитой (safety) подразумевается защита жизни людей, а также защита активов компании от огня, природных катастроф, разрушительных инцидентов. Под безопасностью (security) подразумевается защита от вандализма, краж, атак злоумышленников. Часто возникают пересечения между различными типами угроз, поэтому их нужно понимать и надлежащим образом планировать. Этот Домен рассматривает как механизмы защиты, так и механизмы безопасности, о которых должен знать каждый специалист по безопасности.

Физическую безопасность следует внедрять на основе многоуровневой модели защиты (layered defense model), в которой защитные меры должны работать совместно. Эта концепция предусматривает, что если защита на одном уровне нарушена, другие уровни продолжат защищать ценный актив. Уровни защиты должны быть реализованы на пути от периметра до актива. Например, у вас есть изгородь вокруг здания, затем стены самого здания, система контроля доступа на смарт-картах при входе в здание, система выявления вторжений, запертые компьютерные корпуса и сейфы. Такая последовательность уровней защиты предназначена для защиты критичных активов компании, размещенных в самой глубине контролируемой зоны. Так, если плохие парни преодолеют изгородь и перехитрят охранников на входе, им нужно будет преодолеть еще несколько уровней защиты, прежде чем они получат доступ к защищаемым ресурсам и системам.

Безопасность должна обеспечивать защиту всех активов компании и увеличивать ее продуктивность, обеспечивая безопасную и предсказуемую среду. Хорошая безопасность позволяет сотрудникам сосредоточиться на своих задачах, а злоумышленников вынуждает переключаться на другие, более уязвимые и легкие цели. Это в идеале, конечно. Вспоминая AIC-триаду безопасности, описанную в Домене 01, мы можем взглянуть на физическую безопасность, как на защиту доступности ресурсов компании, целостности активов и среды, конфиденциальности данных и бизнес-процессов.


Должна быть определена группа разработчиков (или отдельный разработчик) для создания или совершенствования программы физической безопасности компании. Эта группа должна работать с руководством, чтобы определить цели программы, разработать программу, систему показателей ее эффективности, а также процессы оценки этих показателей, позволяющие убедиться, что все цели достигнуты.

Цели программы физической безопасности зависят от требуемого уровня защиты для различных активов и компании в целом. А этот требуемый уровень защиты, в свою очередь, зависит от уровня приемлемых для компании рисков. При определении приемлемого уровня рисков, следует основываться на законодательстве и требованиях регуляторов, которым компания должна соответствовать, а также на основании профиля угроз для компании в целом. Это требует определить, кто (или что) может нанести ущерб бизнес-активам, определить типы атак и преступлений, которые могут произойти, понять степень воздействия на бизнес этих угроз. Тип требуемых физических контрмер, их адекватность (или неадекватность) могут быть оценены на основании профиля угроз компании. Профили угроз финансовых компаний сильно отличаются друг от друга и, соответственно, сильно отличается приемлемый уровень рисков для них. Профиль угроз для продовольственных магазинов довольно прост. А профиль угроз больницы отличается от профиля угроз военной базы. Группа, разрабатывающая программу физической безопасности, должна понимать, какие типы злоумышленников должны быть учтены, каковы их возможности, их ресурсы и тактика. (Посмотрите еще раз Домен 01, где обсуждается концепция приемлемого уровня риска).

Физическая безопасность – это комбинация людей, процессов, процедур и оборудования для защиты ресурсов. Разработка полноценной программы физической безопасности должна быть систематичной и взвешенной с точки зрения целей программы и доступных ресурсов. Хотя каждая компания имеет свои отличия, подход к построению и поддержке программы физической безопасности у всех компаний одинаков. Сначала нужно определить уязвимости, угрозы, источники угроз и их цели.
ПРИМЕЧАНИЕ. Помните, что уязвимость – это слабость, а угроза – это потенциал того, что кто-то попытается выявить эту слабость и использовать ее против вас. Источник угрозы – это человек или механизм, который сможет воспользоваться выявленной уязвимостью.
Угрозы можно разделить на внутренние и внешние. Внутренние угрозы могут включать неисправность устройств, пожар, действия внутренних сотрудников, направленные на нанесение вреда компании. Внутренние сотрудники имеют более глубокие знания о возможностях и активах компании, которые они используют для выполнения своих повседневных задач. С одной стороны это необходимо им для работы, но в то же время это облегчает им возможные действия, направленные против компании, затрудняя при этом их выявление. К сожалению, серьезной угрозой для компаний могут являться их собственные охранники, которые бездействуют, пока уже не будет слишком поздно. Кроме того, эти люди имеют ключи и коды доступа во все помещения и обычно работают в нерабочее время. Это дает охранникам обширные возможности для совершения преступлений. Компании нужно принять очень важное решение – проводить при приеме на работу охранников собственные проверки кандидатов, либо заплатить за это специализированной компании.

Внешние угрозы могут иметь множество различных форм. Например, государственные учреждения иногда выбирают компании для публичного наказания. Если ваша компания занимается нелегальной или полулегальной деятельностью, вам стоит опасаться такого развития событий. Ну и, конечно же, банки и бронированные автомобили постоянно привлекают организованную преступность.

Еще сложнее защититься от угроз, связанных с возможным сговором двух или более лиц, выполняющих мошенническую деятельность совместно. Многие преступления совершаются скрытыми инсайдерами, работающими совместно с внешними лицами для нанесения вреда компании. Для защиты от этого используются процедурные защитные механизмы, описанные в Домене 01. Они могут включать в себя разделение обязанностей, проверку кандидатов на работу, ротацию обязанностей и надзор.

Также как в любом другом типе безопасности, большой резонанс получают слухи и кричащие заголовки вокруг крупных преступлений. В информационной безопасности люди часто сосредоточены на вирусах и хакерах, а вовсе не на компонентах, реализующих программу безопасности компании. То же самое справедливо и для физической безопасности. Многие люди говорят о грабежах, убийствах и других криминальных действиях, но не уделяют внимания основам, которые должны быть реализованы и поддерживаться для снижения вероятности таких действий. Программа физической безопасности компании должна учитывать следующие цели:
  • Предотвращение преступлений и разрушений посредством сдерживания (устрашения). Ограждения, посты охраны, сигнализация и т.д.
  • Уменьшение повреждений посредством использования задерживающих механизмов. Уровни защиты, задерживающие злоумышленника, например, замки, персонал безопасности, барьеры.
  • Выявление вторжений или повреждений. Дымовые датчики, детекторы движения, видеонаблюдение и т.д.
  • Оценка инцидентов. Реакция охраны на выявленные инциденты и определение уровня ущерба.
  • Процедуры реагирования. Механизмы пожаротушения, порядки действий в случае чрезвычайных ситуаций, уведомления о требованиях законодательства, консультации с внешними специалистами по безопасности.
Таким образом, компании следует пытаться предотвращать возможные преступления и ущерб, однако при этом ей нужно иметь план действий на тот случай, если это все-таки произойдет. Преступник должен быть задержан до получения им доступа к ресурсам, даже если он смог преодолеть несколько уровней защиты. Должна существовать возможность выявления всех типов преступлений и разрушений с помощью компонентов, реализующих программу безопасности. В случае выявления вторжения, должна быть вызвана охрана для оценки ситуации. Охранники должны знать, как нужно правильно реагировать на широкий спектр потенциально опасных действий. Реакция на чрезвычайные ситуации должна осуществляться внутренней группой безопасности или внешними экспертами.

Все это может звучать достаточно просто пока группа, ответственная за разработку программы физической безопасности компании, не приступит к рассмотрению возможных угроз, в условиях ограниченного бюджета, в рамках которого она будет работать, а также сложного выбора правильной комбинации контрмер и обеспечения их согласованной совместной работы, гарантирующей отсутствие брешей в защите. Все эти вещи должны быть абсолютно ясны до начала создания программы безопасности.

Как и для любой программы безопасности, вы можете определить, насколько она выгодна и эффективна, только если вы отслеживаете ее выполнение, используя подход, основанный на показателях и метриках эффективности ваших контрмер. Это даст возможность руководству сопоставлять инвестиции в физическую безопасность компании с ее бизнес-целями. Это направлено на повышение эффективности программы физической безопасности и снижение рисков компании наиболее выгодным способом. Вам следует определить первоначальную эффективность (базис), а затем проводить оценку текущего уровня эффективности на постоянной основе, чтобы быть уверенным, что цели защиты компании достигаются. Ниже приведены несколько примеров возможных показателей эффективности:
  • Число успешных преступлений
  • Число успешных фактов нанесения ущерба
  • Число неудачных преступлений и фактов нанесения ущерба
  • Соотношение времени на выполнение этапов выявления, оценки и восстановления
  • Влияние инцидентов на бизнес
  • Количество ложных срабатываний
  • Время, необходимое злоумышленнику, чтобы преодолеть защиту
  • Время, необходимое для восстановления функционирования среды
Мониторинг этих показателей эффективности позволяет компании выявить недостатки, оценить улучшение защитных мер, провести анализ затрат/выгод. Группа физической безопасности должна провести анализ рисков, в процессе которого должны быть выявлены уязвимости компании, угрозы и их влияние на бизнес. Группа должна предоставить собранную информацию руководству для определения приемлемого уровня риска, знание величины которого необходимо для разработки программы физической безопасности. Исходя из этого, группа должна разработать описание базиса (минимального уровня безопасности) и метрики для определения влияния и оценки внедряемых контрмер. По мере того, как группа определяет и внедряет контрмеры, их эффективность следует постоянно оценивать посредством заранее определенных метрик. Текущие значения следует сравнивать с базисом. Если базисный уровень безопасности постоянно поддерживается (уровень безопасности не опускается ниже базисного), программа безопасности успешна, так как приемлемый уровень риска не превышается. Это показано на Рисунке 4-1.
Рисунок 4-1. Взаимосвязь рисков, базисов и контрмер

Таким образом, перед внедрением программы безопасности, необходимо выполнить следующие шаги:
  • Определить группу внутренних сотрудников и/или внешних консультантов, которые будут создавать программу физической безопасности посредством приведенных ниже шагов.
  • Провести анализ рисков для выявления уязвимостей и угроз, рассчитать влияние на бизнес каждой угрозы.
  • Работать с руководством для определения приемлемого уровня риска для программы физической безопасности.
  • Определить требуемый базисный уровень эффективности защитных мер, исходя из приемлемого уровня риска.
  • Создать показатели эффективности контрмер.
  • По результатам анализа разработать критерии, описывающие уровень защиты и эффективности, требуемые для следующих категорий программы безопасности:
    • Сдерживание (устрашение)
    • Задерживание
    • Выявление
    • Оценка
    • Реакция
  • Определить и внедрить контрмеры для каждой категории программы.
  • Постоянно сопоставлять оценку текущего уровня эффективности контрмер с базисным уровнем для уверенности в том, что приемлемый уровень риска не превышается.
Когда эти шаги реализованы (или продолжают выполняться, как в случае последнего из вышеуказанных шагов), группа готова продвинуться дальше в фазе реального проектирования. Проект будет объединять защитные меры, которые требуются для каждой категории программы: сдерживание (устрашение), задерживание, оценка и реакция. Мы глубже рассмотрим эти категории и соответствующие им защитные меры позже в этом Домене, в разделе «Проектирование программы физической безопасности».

Один из подходов, наиболее часто используемый при разработке программы физической безопасности, описан в следующем разделе.
Схожесть в подходах. Шаги анализа рисков очень похожи на шаги разработки программы безопасности компании, описанные в Домене 01, а также шаги процесса анализа воздействия на бизнес, описанные в Домене 07, так как каждый из этих процессов (разработка программы информационной безопасности, физической безопасности или плана обеспечения непрерывности бизнеса) направлен на цели, похожие на цели двух других процессов, отличаясь только точкой фокуса. Каждый процесс требует создания группы для определения угроз компании, выполнения анализа рисков. Программа информационной безопасности смотрит на внутренние и внешние угрозы ресурсам и данным через бизнес-процессы и технологии. Непрерывность бизнеса анализирует, как могут повредить компании природные катастрофы и разрушения. А физическая безопасность рассматривает внешние и внутренние физические угрозы ресурсам компании.
Каждый из этих процессов требует полноценного анализа рисков. Посмотрите еще раз Домен 01, чтобы вспомнить ключевые аспекты любого процесса анализа рисков.


Предотвращение преступлений посредством проектирования окружения (CPTED – Crime Prevention Through Environmental Design) – это дисциплина, которая описывает, как правильно
спроектировать физическое окружение, чтобы снизить вероятность преступлений, напрямую влияя на поведение человека. CPTED представляет собой руководство по снижению и предотвращению преступлений посредством правильной конструкции здания, окружающих компонентов и процедур.

Концепция CPTED была разработана в 1960-х годах. Она основана на влиянии окружения на типы преступлений. CPTED используется не только для разработки корпоративных программ физической безопасности, но также для крупномасштабной деятельности, такой как проектирование районов и целых городов. При этом учитывается рельеф, здания, планировки района, освещение, размещение дорог, дорожное движение и т.п. Учитываются как микроокружение (например, офисы, туалеты), так и макроокружение (например, учебные заведения и города). Концепция CPTED направлена на физическое окружение, которое может создать эффект управления поведением, снижая количество преступлений и опасность совершения преступлений. Учитываются компоненты, влияющие на взаимодействие людей и окружения. Это объединяет физические, социальные и физиологические потребности людей, использующих различные типы окружения и предсказывает поведение обычных людей и преступников.

CPTED говорит о многих вещах, о которых многие из нас не задумываются. Например, живая изгородь вокруг здания не должна быть выше 2,5 футов (0,76 метров), иначе она может позволить злоумышленнику добраться до окон. ЦОД следует размещать в центре здания, чтобы избежать угроз внешнего воздействия на его стены. Уличный инвентарь (скамейки, столы) должен размещаться таким образом, чтобы использующие его люди заодно видели происходящее вокруг, что снизит активность преступников. Ландшафт территории вокруг здания не должен иметь мест, в которых злоумышленник мог бы спрятаться. Убедитесь, что камеры видеонаблюдения хорошо заметны, чтобы преступники понимали, что их действия фиксируются, а обычные люди чувствовали себя в безопасности, видя, что все происходящее вокруг контролируется.

CPTED и нацеленность на укрепленность – это два разных подхода. Нацеленность на укрепленность (target hardening) сосредоточена на исключении доступа через естественные и искусственные барьеры (сигнализация, замки, ограждения и т.д.). Традиционная укрепленность может вести к ограничению удобства использования, удовольствия, эстецизма окружения. Мы, конечно же, можем установить целую систему ограждений, замков, поставить устрашающие знаки и барьеры, но что хорошего это нам даст? Если это окружение тюрьмы, возможно, это именно то, что нужно. Но если это офисное здание, его окружение не должно выглядеть как декорации Форт-Нокса, оно просто должно обеспечивать необходимый уровень защиты. Механизмы защиты должны быть едва заметны и ненавязчивы.

Предположим, что группа решила, что вашей компании требуется защитить боковые двери здания. Традиционный ориентированный на укрепление подход предусматривает установку замков, сигнализации, системы контроля доступа со смарт-картами, камеры над дверью, проведения инструктажа охранников, контролирующих проход через дверь. Подход CPTED предлагает не прокладывать дорогу к этой двери прямо от входа на территорию компании, чтобы посетители и не пытались воспользоваться ей. Подход CPTED предлагает убедиться в отсутствии высоких деревьев или кустов, не позволяющих увидеть того, кто входит в эту дверь. Барьеры, такие как деревья и кусты могут позволить злоумышленнику чувствовать себя более комфортно, пытаясь проникнуть через эту дверь внутрь здания.

Наиболее правильным подходом было бы сначала построить окружение в соответствии с подходом CPTED, а уже потом применять повышающие укрепленность компоненты, если это необходимо.

Если многоярусный подземный гараж компании построен с учетом подхода CPTED, его лестницы и лифты будут иметь стеклянные, а не металлические стены. Это позволит людям чувствовать себя в безопасности, а потенциальным злоумышленникам не позволит совершить преступление в таком окружении. Пешеходные дороги должны быть построены таким образом, чтобы люди видели происходящее за линией машин и выявляли подозрительную активность. Сторона для парковки машин должна быть отделена низкими стенами и столбиками (а не сплошными стенами), позволяющими пешеходам видеть происходящее в гараже.

CPTED предоставляет три основных стратегии, позволяющие увеличить общую защиту за счет физического окружения и социального поведения: естественное управление доступом, естественное наблюдение и естественное укрепление территории.


Естественное управление доступом (natural access control) – это управление людьми, входящими и выходящими из дверей, из-за ограждений, из освещенных и других мест. Например, офисное здание может иметь внешние столбики ограждения со встроенным освещением, как показано на Рисунке 4-2. Эти столбики ограждения на самом деле выполняют несколько различных функций безопасности. Сами по себе они защищают здание от физических повреждений, предотвращая столкновения со зданием машин. Освещение не позволяет преступникам укрыться в темных местах. Освещенные столбики направляют людей по тротуару к входу без использования каких-либо знаков и указателей. Как показано на Рисунке 4-2, газоны, тротуары, светящиеся столбики и ясные видимые линии используются как естественное управление доступом. Все они работают совместно, чтобы дать людям чувство безопасности окружения и при этом сдерживают преступников.

Рисунок 4-2. Тротуары, освещение, газоны могут использоваться для защиты
ПРИМЕЧАНИЕ. Короткие столбики ограждения часто используются для предотвращения въезда транспорта и для защиты пешеходов на тротуарах и здания от машин. Они могут также использоваться для направления движения пешеходов.
Свободные, просматриваемые и прозрачные маршруты могут использоваться, чтобы обескуражить потенциальных преступников, чтобы они не могли скрыть свою преступную деятельность.

Модель CPTED показывает, как можно создавать зоны безопасности. Окружающее пространство может быть разделено на зоны с различными уровнями безопасности в зависимости от того, кто должен находиться в этих зонах и от соответствующих рисков. Зоны могут быть помечены как контролируемые, ограниченного доступа, общие (неограниченного доступа) и критичные. Эта концепция похожа на классификацию данных, описанную в Домене 01. Для классификации данных создаются различные классы, соответствующие им процедуры обработки данных, определяются уровни защиты для каждого класса. То же самое справедливо и для физических зон. Для каждой зоны должен быть определен необходимый уровень защиты, который укажет необходимые типы защитных мер.


Управление доступом необходимо для ограничения и контроля возможностей перемещения людей из одной зоны безопасности в другую. Управление доступом должно быть реализовано также для всех входов в здание и выходов из него. Группа разработки программы безопасности должна учесть все возможные пути, которыми нарушитель может попасть в здание (например, взобравшись на растущее рядом дерево, а с него на крышу, верхний балкон и окно). Различные компании для управления доступом обычно используют следующие защитные меры:
  • Ограничение количества точек входа
  • Требование для гостей – обязательно заходить на проходную и расписываться в журнале посетителей перед входом на внутреннюю территорию
  • Уменьшение количества точек входа в нерабочее время, когда вокруг не так много сотрудников
  • Проверка охранниками бейджей с фотографиями перед допуском входящих в здание
  • Сопровождение гостей при их перемещении по внутренней территории
  • Рекомендации сотрудникам задавать вопросы незнакомцам
Барьеры, ограничивающие доступ, могут быть естественного происхождения (скалы, реки, холмы), уже существующими рукотворными сооружениями (железная дорога, автомобильная трасса) или иметь искусственное происхождение, т.е. быть созданными специально, чтобы препятствовать движению (ограждения, тупики).


Наблюдение также может быть организационным (охранники), техническим (видеонаблюдение) или естественным (открытые маршруты, низкий ландшафт, приподнятый вход). Цель естественного наблюдения (natural surveillance) – создать некомфортные условия для преступника, обеспечивая множество способов обзора, позволяющего увидеть его, а также создать чувство безопасности и комфорта всем остальным людям, предоставляя им открытое и приятное окружение.

Естественное наблюдение – это размещение и использование возможностей физического окружения для обеспечения максимальной видимости пешеходных тротуаров и всех мест, где происходят какие-либо действия. Рисунок 4-3 показывает пример открытой и просматриваемой лестницы в парковочном гараже.

Рисунок 4-3. Открытые области снижают вероятность криминальных действий


Третья стратегия CPTED – это естественное укрепление территории (natural territorial reinforcement), которое создает физическое окружение, подчеркивающее или расширяющее физическую сферу влияния компании так, чтобы легитимные пользователи этого окружения чувствовали себя его хозяевами. Укрепление территории может быть реализовано с помощью стен, ограждений, газонов, освещения, флагов, четкого написания адресов, декоративных тротуаров. Цель укрепления территории состоит в создании чувства особого сообщества. Компании внедряют эти элементы таким образом, чтобы сотрудники чувствовали гордость за окружение и имели чувство причастности, которое они будут защищать, если понадобится. Эти элементы также внедряют, чтобы создать у потенциальных злоумышленников чувство, что они здесь лишние, что их действия рискованны, что они будут замечены, что их действия никто не будет терпеть и игнорировать.

В большинстве случаев компании используют смесь подхода CPTED и подхода, направленного на укрепленность. CPTED в основном связан со строительством зданий, их внутренним и внешним дизайном, компонентами внешнего окружения, такими как газоны и освещение. Если окружение построено на основе CPTED, дополнительные компоненты укрепленности похожи на крем сверху торта. Направленный на укрепленность подход, использует более детальные механизмы защиты, такие как замки и детекторы движения.

В оставшейся части этого раздела мы рассмотрим физические защитные меры, которые могут быть использованы в обоих подходах.

4 комментария:

eafanasov комментирует...

>>Постоянно сопоставлять оценку текущего уровня эффективности контрмер с базисным уровнем для уверенности в том, что приемлемый уровень риска не превышается.

>>Когда эти шаги реализованы (или продолжают выполняться, как в случае последнего из вышеуказанных шагов), группа готова перейти к реальной фазе проектирования.

IMHO, оценка текущего уровня эффективности контрмер может быть произведена ПОСЛЕ проектирования и внедрения, а никак не ПЕРЕД проектированием.

eagle комментирует...

Спасибо за комментарий. Вы правы, действительно была пара ошибок в переводе - поправил. Насколько я понял автора, речь идет о том, что нужно запустить процесс постоянного контроля эффективности контрмер, а затем двигаться дальше в проектировании программы безопасности. В оригинале звучит так:
So, before an effective physical security program can be rolled out, the following steps must be taken:
...
- Continuously evaluate countermeasures against the set baselines to ensure the acceptable risk level is not exceeded.

Once these steps have taken place (...), then the team is ready to move forward in its actual design phase.

eagle комментирует...

- William Deutsch. A Building Security Checklist. http://bizsecurity.about.com/od/physicalsecurity/a/A-Building-Security-Checklist.htm

каталог комментирует...

Смотрим на мониторинг инженерных систем здания почитать об СМИС и СМИК можно на сайте Системсервис.