Аудит систем обеспечения физической безопасности

Обеспечение физической безопасности и контроля физического доступа организации – важный аспект не только для снижения финансовых и материальных рисков, но и вероятности реализации угроз ИБ. Требования наличия хорошо выстроенной системы физической безопасности и контроля физического доступа определены в нормативных документах регулятора и строго контролируются. При отсутствии элементов такой системы вероятность преступных посягательств в отношении материальных ценностей организации многократно возрастает. В процессе совершения преступления (кражи) преступник может похитить носитель информации, сервер, системный блок АРМ пользователя или администратора, на которых содержится конфиденциальная информация.

Например, в 2015 году при краже имущества частной IT-компании в г. Кострома был похищен файловый сервер, стоимость которого составляла 409 тысяч рублей, но главное, что на данном сервере хранилась конфиденциальная информация, включая персональные данные. Данное преступление стало возможным только потому, что руководитель организации пренебрёг ограничением физического доступа, а именно установкой металлической двери в серверное помещение.

В этих условиях особое значение имеют государственные нормативы по обеспечению физической безопасности, например:

• Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ
• Приказ ФСТЭК № 21
• Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ
• Федеральный закон «О безопасности» от 28.12.2010 N 390-ФЗ
• Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ
• Федеральный закон «О ведомственной охране» от 14.04.1999 N 77-ФЗ
• ПП № 456
• ISO/IEC 27002
• ГОСТ Р ИСО/МЭК 17799-2005

Именно для снижения финансовых, правовых, репутационных рисков, а также рисков ИБ необходим аудит физической безопасности.

Для чего нужен аудит систем обеспечения физической безопасности

Данная услуга необходима для организаций, которые в рамках своей информационной инфраструктуры и деятельности обрабатывают, хранят и используют конфиденциальную информацию с целью организации физической безопасности. Построение эффективной системы обеспечения физической защиты и контроля физического доступа — это первоочередная задача для организации, которые обладают большим количеством физических активов (оборудование, складские запасы и пр.).

Как проходит аудит

При проведении аудита систем обеспечения физической безопасности анализируются все составляющие такой системы, а именно:

• Физическая охрана здания в целом и помещений в частности, а также службы быстрого реагирования «по кнопке»;
• Система видеонаблюдения: эффективность секторов охвата камер видеонаблюдения и иное оборудование, являющееся частью данной системы (например, проверка регистратора на предмет удовлетворения нужд бизнес-процессов организации);
• Документация системы контроля управления физическим доступом (включая тонкости, такие как: маршруты и периодичность осмотра охраняемой территории);
• Система контроля и управления доступом (СКУД);
• Система контроля целостности периметра здания и помещений проверяемой организации;
• Наличие и надежность металлических дверей на входе в критически важные помещения, а также запираемых стоечных шкафов для хранения технических средств защиты информации и носителей конфиденциальной информации.

Также в процессе проведения аудита совершается визит сотрудников RTM Group в проверяемую организацию для более детального анализа системы физической защиты и контроля физического доступа.

Основные этапы проведения аудита

Аудит систем обеспечения физической безопасности и контроля физического доступа проходит в несколько этапов:

• Запрос и анализ документации Заказчика (2 недели)
• Интервьюирование сотрудников (2 недели)
• Запрос свидетельств (фотографии, лог-файлы СКУД и т.д.) (2 недели)
• Выезд сотрудника (если необходимо)
• Составление отчетных документов (2 недели)

Результаты аудита

По окончании аудита, специалисты компании предоставят:

• Отчет по результатам анализа системы обеспечения физической безопасности и контроля физического доступа, а также результат оценки рисков реализации угроз.
• Рекомендации для повышения экономической устойчивости организации в направлении построения системы обеспечения физической безопасности и контроля физического доступа в организации.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 821-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты