Skip to main content

7.2 Kontrola dostępu fizycznego

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: #Prewencyjne #Poufność #Integralność #Dostępność
Koncepcje cyberbezpieczeństwa: #Ochrona #Bezpieczeństwo_fizyczne #Zarządzanie_tożsamością_i_dostępem #Ochrona
Obszary operacyjne: Kontrola

Kontrola

Obszary zabezpieczone powinny być chronione przez odpowiednie mechanizmy kontroli dostępu oraz punkty wejścia.

Cel

Zapewnienie, że tylko upoważnione osoby mają fizyczny dostęp do informacji organizacji i innych powiązanych zasobów.

Wytyczne

Ogólne

Punkty dostępu, takie jak strefy dostaw i załadunku oraz inne miejsca, przez które osoby nieupoważnione mogą dostać się na teren obiektu, powinny być kontrolowane i, jeśli to możliwe, oddzielone od pomieszczeń przetwarzania informacji w celu uniknięcia nieautoryzowanego dostępu.

Należy rozważyć następujące wytyczne:

  • a) ograniczenie dostępu do obiektów i budynków wyłącznie dla upoważnionego personelu. Proces zarządzania prawami dostępu do obszarów fizycznych powinien obejmować przyznawanie, okresowy przegląd, aktualizację i cofanie uprawnień (zob. 5.18);
  • b) bezpieczne przechowywanie i monitorowanie fizycznego rejestru wejść lub elektronicznego dziennika audytowego wszystkich dostępów oraz ochrona wszystkich logów (zob. 5.33) i poufnych danych uwierzytelniających;
  • c) ustanowienie i wdrożenie procesu oraz mechanizmów technicznych zarządzania dostępem do obszarów, gdzie przetwarzane lub przechowywane są informacje. Mechanizmy uwierzytelniania mogą obejmować karty dostępu, biometrię lub uwierzytelnianie dwuskładnikowe (np. karta dostępu i kod PIN). Warto rozważyć zastosowanie podwójnych drzwi zabezpieczających dla obszarów wrażliwych;
  • d) utworzenie obszaru recepcyjnego monitorowanego przez personel lub inne środki kontroli dostępu do obiektu lub budynku;
  • e) kontrola i przeglądanie rzeczy osobistych pracowników i osób zainteresowanych przy wejściu i wyjściu;

Uwaga: Mogą istnieć lokalne przepisy prawne dotyczące możliwości przeszukiwania rzeczy osobistych.

  • f) wymaganie od wszystkich pracowników i osób zainteresowanych noszenia widocznych identyfikatorów oraz niezwłoczne powiadamianie personelu ochrony w przypadku napotkania nieeskortowanych gości lub osób bez identyfikatora. Warto rozważyć zastosowanie łatwo rozpoznawalnych plakietek, aby lepiej identyfikować stałych pracowników, dostawców i gości;
  • g) ograniczenie dostępu personelu dostawców do zabezpieczonych stref lub pomieszczeń przetwarzania informacji wyłącznie wtedy, gdy jest to konieczne. Taki dostęp powinien być autoryzowany i monitorowany;
  • h) zwrócenie szczególnej uwagi na bezpieczeństwo fizyczne w budynkach przechowujących zasoby wielu organizacji;
  • i) zaprojektowanie środków bezpieczeństwa fizycznego tak, aby można było je wzmocnić w przypadku zwiększonego ryzyka incydentów fizycznych;
  • j) zabezpieczenie innych punktów wejścia, takich jak wyjścia awaryjne, przed nieautoryzowanym dostępem;
  • k) ustanowienie procesu zarządzania kluczami, zapewniającego kontrolę nad fizycznymi kluczami lub informacjami uwierzytelniającymi (np. kodami zamków, zamkami szyfrowymi do biur, pomieszczeń i obiektów takich jak szafy na klucze), a także prowadzenie dziennika dostępu lub corocznego audytu kluczy (zob. 5.17).

Goście

Należy rozważyć następujące wytyczne:

  • a) uwierzytelnianie tożsamości gości za pomocą odpowiednich środków;
  • b) rejestrowanie daty i godziny wejścia oraz wyjścia gości;
  • c) przyznawanie dostępu gościom wyłącznie do określonych, autoryzowanych celów, wraz z instrukcjami dotyczącymi wymagań bezpieczeństwa w danej strefie oraz procedur awaryjnych;
  • d) nadzorowanie wszystkich gości, chyba że udzielono wyraźnego wyjątku.

Strefy dostaw i załadunku oraz materiały przychodzące

Należy rozważyć następujące wytyczne:

  • a) ograniczenie dostępu do stref dostaw i załadunku osobom zidentyfikowanym i upoważnionym;
  • b) projektowanie stref dostaw i załadunku w taki sposób, aby dostawy mogły być realizowane bez uzyskiwania nieautoryzowanego dostępu do innych części budynku przez personel dostawczy;
  • c) zabezpieczanie zewnętrznych drzwi stref dostaw i załadunku, gdy otwierane są drzwi do stref chronionych;
  • d) kontrola dostaw przychodzących pod kątem materiałów wybuchowych, chemikaliów lub innych niebezpiecznych substancji przed ich przemieszczaniem ze stref dostaw i załadunku;
  • e) rejestrowanie dostaw przychodzących zgodnie z procedurami zarządzania zasobami (zob. 5.9 i 7.10) przy wejściu na teren obiektu;
  • f) fizyczne oddzielanie przesyłek przychodzących od wychodzących, jeśli to możliwe;
  • g) sprawdzanie dostaw przychodzących pod kątem śladów manipulacji w trakcie transportu. W przypadku wykrycia manipulacji należy niezwłocznie zgłosić to personelowi ochrony.

Inne informacje

Brak dodatkowych informacji.