Skip to main content

7.11 Wspierające usługi infrastrukturalne

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Detekcyjne, Integralność
Koncepcje cyberbezpieczeństwa: Ochrona, Wykrywanie, Bezpieczeństwo fizyczne
Obszary operacyjne: Kontrola

Kontrola

Obiekty przetwarzania informacji powinny być chronione przed awariami zasilania i innymi zakłóceniami wynikającymi z awarii usług infrastrukturalnych.

Cel

Zapobieganie utracie, uszkodzeniu lub kompromitacji informacji i innych powiązanych zasobów oraz uniknięcie przerw w działalności organizacji spowodowanych awarią i zakłóceniami w działaniu usług infrastrukturalnych.

Wytyczne

Organizacje są zależne od usług infrastrukturalnych (np. energii elektrycznej, telekomunikacji, dostaw wody, gazu, kanalizacji, wentylacji i klimatyzacji) wspierających ich obiekty przetwarzania informacji. W związku z tym organizacja powinna:

  • a) zapewnić, że sprzęt obsługujący usługi infrastrukturalne jest skonfigurowany, obsługiwany i utrzymywany zgodnie z odpowiednimi specyfikacjami producenta;
  • b) regularnie oceniać zdolność usług infrastrukturalnych do spełniania rosnących potrzeb biznesowych i interakcji z innymi systemami wsparcia;
  • c) regularnie kontrolować i testować sprzęt obsługujący usługi infrastrukturalne, aby zapewnić jego prawidłowe działanie;
  • d) w razie potrzeby wdrożyć alarmy wykrywające awarie usług infrastrukturalnych;
  • e) tam, gdzie to konieczne, zapewnić wielokrotne źródła dostaw usług infrastrukturalnych z różnorodnymi fizycznymi trasami doprowadzenia;
  • f) zapewnić, że sprzęt obsługujący usługi infrastrukturalne znajduje się w oddzielnej sieci od obiektów przetwarzania informacji, jeśli jest podłączony do sieci;
  • g) zapewnić, że sprzęt obsługujący usługi infrastrukturalne jest podłączony do Internetu tylko wtedy, gdy jest to konieczne i wyłącznie w bezpieczny sposób.

Należy zapewnić oświetlenie awaryjne oraz systemy komunikacji kryzysowej. Wyłączniki awaryjne oraz zawory odcinające dopływ prądu, wody, gazu i innych mediów powinny być umiejscowione w pobliżu wyjść awaryjnych lub pomieszczeń technicznych. Dane kontaktowe służb odpowiedzialnych za infrastrukturę powinny być zapisane i dostępne dla personelu na wypadek awarii.

Inne informacje

Dodatkową redundancję dla łączności sieciowej można uzyskać poprzez zastosowanie wielu tras od więcej niż jednego dostawcy usług infrastrukturalnych.